Schon seit den frühen achtziger Jahren konnten Bankgeschäfte über BTX von zu Hause aus getätigt werden. Erste Kreditinstitute nutzten diese Technologie. Mit einer Zugangs- und einer Schlüsselnummer nahmen Kunden Transaktionen vor. Das Onlinebanking war geboren. Für BTX gab die Bundespost spezielle Terminals an die User aus. Sie verfügten teilweise bereits über ein integriertes Modem. Die direkte Verbindung mit den Bank-Computern wurde über ein von der Post betriebenes Netz hergestellt. Als Ende des Jahrtausends BTX eingestellt wurde, kamen die ersten Onlinebanking-Zugänge über das Internet auf. Im Jahr 2005 wickelten 30 Prozent aller Kunden weltweit ihre Bankgeschäfte über Onlinedienste ab. Reine Onlinebanken etablierten sich. Die Übertragung der Daten erfolgte über SSL-verschlüsselte Verbindungen.
Sämtlich Bankgeschäfte via Internet
Seitdem hat sich viel getan: Heutzutage lassen sich sämtlich Bankgeschäfte via Internet erledigen - ohne Umwege beziehungsweise Medienbruch. Bis vor etwa vier Jahren war dies jedoch noch nicht der Fall. Denn die Feststellung der Identität der Neukunden von Onlinebanken lief noch ausschließlich über die Post und ihre Filialen. Dort nahm ein Angestellter die Personalien auf und versicherte mittels Stempel, dass der Auftraggeber für Depot-, Kontoeröffnung oder Kreditaufnahme derselbe Mensch sei wie der auf seinem vorgezeigten Personalausweis.
Dieser aus Kundensicht relativ aufwendige Umweg, führte unter anderem dazu, dass etwa ein Drittel bis die Hälfte aller Anträge nicht zum Abschluss geführt haben. Ein großes Ärgernis für die Anbieter. Diese Marktlücke schlossen schließlich Fintechs, die erstmals eine Online- respektive Videolegitimation entwickelten.
Videolegitimation: Convenience und maximale Sicherheit
Zu Beginn des Legitimationsprozesses gibt der Neukunde seine persönlichen Daten online ein. Daraufhin wird er an einen Legitimationsdienstleister weitergeleitet. Das Gespräch führt ein sogenannter Videoagent. Er prüft auf Basis einer Vielzahl von Sicherheitsmerkmalen undabfragen unter anderem die Echtheit des Dokumentes und die Übereinstimmung des Neukunden mit dem auf dem Personalausweis aufgedruckten Foto. Bei der Videolegitimation hält der Kunde im Rahmen eines Videogespräches seinen Personalausweis in die Web-Kamera seines Computers oder mobilen Endgerätes. Wird der Kunde als vertrauenswürdig identifiziert, erhält er einen Code auf sein Mobiltelefon und gibt diesen erneut in eine Maske ein. Damit hat er sich als Person respektive als Träger des passenden Personalausweises legitimiert.
Das skizzierte Verfahren bietet viele Vorteile: Der Weg zur Post entfällt. Der Legitimationsprozess erfolgt bequem von zu Hause aus, papierlos und verkürzt sich - im Vergleich zum Post-Ident-Verfahren und den damit verbundenen Brieflaufzeiten - um mehrere Tage auf die Dauer von wenigen Minuten. Auch nicht zu unterschätzen in diesem Kontext sind die Öffnungszeiten der Post. Eine Legitimation nach Feierabend oder am Wochenende ist in der Regel nicht möglich, was zu weiteren Verzögerungen führen kann.
Aus sicherheitstechnischer Sicht stellt sich der Ablauf einer Videolegitimation wie folgt dar: Die Daten übermittelt die Bank erst nach persönlicher und ausdrücklicher Einwilligung des Kunden über eine SSL- Verschlüsselung an den Dienstleister. Die persönlichen Daten des Kunden werden aus Datenschutz- und Sicherheitsgründen am Beispiel der SWK Bank nicht im Frontend gespeichert. Die Systeme und Schnittstellen der Bank werden fortwährend sogenannten PEN-Tests unterzogen.
Umfassende Prüfungen der Datensicherheit
Dabei handelt es sich um umfassende Prüfungen der Empfindlichkeit gegenüber Angriffen von außen, der Verwendung von Hacker-Methoden sowie Schwachstellenanalysen. Zudem prüfen externe Institutionen, wie der TÜV, regelmäßig die Datensicherheit. Die Kundenlegitimation findet über eine verschlüsselte Peer-to-Peer-Übertragung zwischen dem Operator und dem Kunden statt. Die erfolgreichen Datensätze der Kundenlegitimation werden über gesicherte Verbindungen zwischen Kooperationspartner und Bank abgeholt und gelöscht.
Die Dienstleister ihrerseits sorgen ebenfalls für die entsprechende Datensicherheit in ihren Systemen und werden regelmäßig überprüft. Die Mitarbeiter des Legitimationsanbieters erhalten nur nach Prüfung ihrer Person überhaupt Zugang in das Callcenter. Die Datenbanken des Dienstleisters sind nicht über das Internet erreichbar und bieten somit keine Angriffsfläche für Cyberattacken.
Generell lässt sich sagen, dass die Videolegitimation das Potenzial haben kann, die Sicherheit gegenüber dem Post-Ident-Verfahren deutlich zu erhöhen: Mitarbeiter der Dienstleister sind intensiv geschult, sammeln im Rahmen ihrer Tätigkeit umfangreiche Erfahrungen und entwickeln sich so relativ schnell zu Legitimations- Prüfungsexperten. Im Vergleich zum Mitarbeiter etwa eines Kiosks mit Postfiliale erkennen sie Betrugsabsichten beziehungsweise gefälschte Ausweise theoretisch eher. Darüber hinaus können sie auf Datenbanken zurückgreifen, um beispielsweise die Ausweisnummer zu überprüfen. Ferner führen sie system- und algorithmusbasierte Prüfungen durch.
Richtlinien zur Videoidentifikation seit Sommer 2017 verschärft
Neben diesen schon relativ umfangreichen Sicherheitsstandards aller am Prozess Beteiligten erweiterte die BaFin diese im Sommer 2017 mit ihrem Rundschreiben 3/2017 zum Videoidentifizierungsverfahren. Dabei handelt es sich vor allem um technische und organisatorische Neuerungen: Der gesamte Identifikationsvorgang muss nun akustisch und visuell durchgängig aufgezeichnet und aufbewahrt werden, auch bei dem Post- Ident-Verfahren muss eine Ausweiskopie an die Bank übermittelt werden. Serienbilder oder Screenshots und eine reine Audiodatei reichen nicht mehr aus, sämtliche Einzelschritte sind lückenlos zu dokumentieren.
Skype oder I-Chat sowie Verbindungen mit geringerer Verschlüsselung sind nicht mehr erlaubt. Der Dialog zwischen Kunde und Ident-Dienstleister muss über eine Ende-zu-Ende-Verschlüsselung und mit mindestens 2 048 Bit laufen. Darüber hinaus haben die Dienstleister im Rahmen ihrer Sichtprüfung eine zufällige Auswahl von drei Sicherheitsmerkmalen aus verschiedenen Kategorien zu überprüfen. Beispiele hierfür sind das Laserkippbild, der Sicherheitsdruck oder die Hologramme auf dem Ausweis. Die Sichtprüfung erfolgt mithilfe ausschnittvergrößerter und hochaufgelöster Standbilder. Zugelassen sind nur noch solche Ausweisdokumente, die die geforderten Sicherheitsmerkmale aufweisen. Notwendig sind zudem eine automatisierte Gültigkeits-und Plausibilitätsprüfung der Ausweisdaten, die Bewegung des Ausweises vor der Kamera und die Bestätigung des Anlasses der Identifikation.
Verbreitung: Geduld - und Psychologie
Vor dem Hintergrund dieser hohen Sicherheitsstandards dürften aus Kundensicht ausschließlich Argumente existieren, die für eine Videolegitimation sprechen: Sie spart enorm viel Zeit und Kosten, ist bequem, einfach und sicher durchzuführen und erfordert neben einer Webkamera, die heutzutage in einer Vielzahl von Geräten bereits fest verbaut ist, keine besondere technische Ausstattung. Einer schnellen Akzeptanz beziehungsweise Verbreitung sollte nichts im Wege stehen.
Die Praxis zeigt jedoch ein anderes Bild. Mehr als vier Jahre nach der Markeinführung bei der SWK Bank, die bei der Onlinelegitimation Vorreiter im deutschen Markt war, liegt die Nutzungsquote noch nicht bei allen Produkten dort, wo man sie erwarten würde. Bei Konsumentenkrediten liegt sie gerade einmal bei etwa einem Drittel - wenn auch mit stark steigender Tendenz. Wirtschaftspsychologen verwundert dies nicht. Denn sie wissen, Veränderungen brauchen in der Regel Zeit, bevor sie sich im Markt etablieren können - seien sie auch noch so hilfreich.
Die zentrale Determinante in diesem Vertriebskontext ist die Gewohnheit. Der Geschäftsalltag zeigt immer wieder, viele Kunden brauchten lange, sich an Umstellungen zu gewöhnen. Ein analoges Beispiel dafür ist die Einführung der Kontoauszugsdrucker der Filialbanken in den achtziger Jahren. Fortan mussten Kunden nicht mehr am Schalter anstehen und warten, bis ein Kundenberater ihnen die Auszüge überreicht. Man konnte einfach die Kontokarte in den Kontoauszugsdrucker schieben und hielt kurze Zeit später das Papier in der Hand. Auch hier brauchten viele Kunden Jahre der Eingewöhnungszeit. Dieser Fakt zeigt, dass bei Innovationen stets eine entsprechende Sensibilität geboten ist. Idealerweise sollte dem Kunden stets eine Übergangszeit eingeräumt werden, er sollte also die Wahl zwischen alt und neu haben. Gerade jetzt, während der digitalen Revolution, sind solche Überlegungen besonders aktuell.
Die Verbreitung der Videolegitimation wird weiter zunehmen, vorausgesetzt, die Digitalisierung beschert nicht noch schnellere respektive kundenfreundlichere Identifizierungsmöglichkeiten. Und genau solche könnten in sehr naher Zukunft bereits zum Einsatz kommen. So arbeitet die SWK Bank derzeit an einer Lösung für eine digitale Legitimation unter dem Arbeitstitel Giro-Ident-Verfahren. Die zentrale Idee lautet: Die Legitimation des Neukunden der Bank erfolgt über dessen Hausbank mit einem aktiven Onlinebanking-Account.
Alternative Prozesse - noch mehr Convenience und Sicherheit
Dazu wählt der zu identifizierende Nutzer auf der Webseite der SWK Bank sein gewünschtes Finanzdienstleistungsprodukt aus und gibt seine persönlichen Daten für eine geldwäschekonforme Legitimation ein. Im nächsten Schritt wird dem zu identifizierenden Nutzer im Frontend das Onlineidentifizierungsverfahren angezeigt. Der Nutzer wählt anschließend, nachdem er entsprechende Informationen zum Verfahren erhalten hat, seine Hausbank als teilnehmendes Institut aus und startet anschließend das Verfahren. Im Onlinebanking seiner Hausbank bestätigt der Kunde seine aktuellen Daten und stimmt dem Datentransfer an die Bank mit der Eingabe einer TAN zu.
Über eine hochgesicherte Schnittstelle zwischen der SWK Bank und einem Identifikationsdienstleister werden die Nutzerdaten als initialer Auftragsdatensatz übermittelt. Die Schnittstellen zum Onlinebanking-System des Nutzers sind nur über eine HTTPS-Verbindung, die über ein SSL-Zertifikat abgesichert ist, erreichbar. Alle Daten sind durch einen Hash gegen Manipulation gesichert. Das Passwort für die Generierung des Hash-Wertes wird nicht übermittelt. Der Endnutzer sieht im Zuge seiner Identifikation das ihm vertraute Onlinebanking-Portal bei seinem Geldinstitut. Die Kommunikation zwischen dem Nutzer und seinem Onlinebanking erfolgt im Browser per SSL-Verbindung.
Nach Genehmigung durch die BaFin soll dieses Verfahren noch etabliert werden.
