Beim Thema Video-Identifizierung soll jetzt endlich Rechtssicherheit herrschen. Die Finanzaufsicht Bafin hat gerade ein neues Rundschreiben veröffentlicht, in dem sie darlegt, welche Anforderungen die Anbieter solcher Identifikationsverfahren erfüllen müssen. In vielen Punkten schafft das Schreiben tatsächlich Klarheit. Einige Vorgaben, die zwischenzeitlich angedacht waren und das Verfahren komplizierter gemacht hätten, sind verschwunden. Bei einem Punkt gehen die Interpretationen allerdings noch weit auseinander und ein Anbieter erwartet durch die neuen Vorgaben gar eine „Marktbereinigung“.
Die Video-Identifizierung bieten inzwischen viele etablierte Banken, aber auch junge Finanztechnologie-Unternehmen als Alternative zum Post-Ident-Verfahren an. Wer früher ein Konto eröffnen wollte, musste dafür entweder in eine Bankfiliale gehen oder – insbesondere im Fall von Direktbanken ohne Filialnetz – zur Post. Dort prüfte ein Postmitarbeiter den Ausweis und bestätigte in einem Formular die Identität des angehenden Bankkunden. Video-Ident dagegen kann der Kunde vom heimischen Sofa aus erledigen. Dafür benötigt er eine Webcam oder ein Smartphone mit Kamera. In einem Video-Chat muss er seinen Ausweis in die Kamera halten, ihn hin und her kippen, damit die Hologramme sichtbar werden, und verschiedene Fragen beantworten.
Wie genau eine solche Video-Identifizierung ablaufen muss, wollte die Bafin schon im vergangenen Mai regeln (4/2016). Der erste Entwurf wurde nach einem Aufschrei der Branche – inklusive der großen Kreditinstitute – aber rasch wieder zurückgezogen. Knapp zwei Wochen später folgte im vergangenen Juni die zweite Version, doch die war kaum verändert. Die Proteste blieben und so wurde das Rundschreiben erst einmal ausgesetzt. Zu den Kritikpunkten zählte, dass das Verfahren nur noch von Kreditinstituten genutzt werden sollte, dass die Verbraucher zusätzlich durch Referenzüberweisungen identifiziert und in sonstigen Datenquellen über sie recherchiert werden sollte.
Sicherheit im Onlinebanking
Bei diesem Autorisierungsverfahren müssen Nutzer lediglich ihre Kontonummer oder einen Nutzernamen eintragen und eine dazugehörige PIN eingeben. Bitkom hält diese Autorisierung für sehr unsicher. Sie sei lediglich für Umsatzabfragen oder den Zugang zur Nachrichtenbox geeignet.
Indizierte Transaktionsnummer (iTAN) sind Transaktionsnummern, die von der Bank auf einer Liste in einem Index zusammengestellt wurden. Für Überweisungen müssen sie dann eine bestimmte TAN der Liste eingeben. Laut Bitkom besteht bei Verwendung von iTAN nur ein geringes Risiko eines Datenabgriffs. Wenn auch Manipulationen durch zwischengeschaltete Schadsoftware während der Eingabe der TAN möglich sind.
(Quelle: Bitkom)
Mobile TAN werden per SMS-Nachricht an den Bankkunden übertragen. Jeder eingeleitete Buchungsvorgang des Kunden muss mit der dazugehörigen verschickten mTAN bestätigt werden. Weil Smartphones, die die SMS-TAN empfangen, heute aber häufig mit dem Internet verbunden sind, besteht auch hier die Gefahr eines illegalen Abgriffs der TAN. Bitkom ordnet SMS-TAN als unsicher ein.
Über ein Lesegerät erzeugt der Bankkunde mit seiner EC-Karte eine TAN. Verschiedenste Varianten von smart-TAN, Chip-TAN bis zu e-TAN gelten laut Bitkom als sichere Authentifikationswege.
Viele Sparkassen und VR-Banken nutzen das Verfahren: Der Kunde muss weiterhin eine Karte in einen TAN-Generator stecken. Sobald er eine Überweisung im Onlinebanking ausführt, erscheint ein Schwarz-Weiß-Code auf dem Bildschirm. Diesen muss er dann mit seinen TAN-Generator samt EC-Karte einscannen. Aus den Daten des Schwarz-Weiß Codes liest der Generator die Überweisungsdetails und kreiert eine zugehörige TAN, die dann im Onlinebanking eingegeben werden muss. Bitkom schätzt die Verwendung als mindestens so sicher wie das iTAN-Verfahren.
Kunden müssen bei einer Überweisung einen Code auf dem PC-Bildschirm mit ihrem Smartphone scannen. Anschließend halten sie zur Verifizierung ihre NFC-fähige EC-Karte an das Smartphone. Über das Internet (oder auch per Hand) wird dann eine TAN übertragen. Nicht alle Smartphones und EC-Karten sind für dieses Verfahren ausgestattet. Laut Bitkom besteht dafür aber ein geringes Risiko, dass Hacker Daten abgreifen können.
Mit ihrem jetzt veröffentlichten Rundschreiben (3/2017) richtet sich die Bafin nun explizit nicht nur an Banken, sondern ebenso an Versicherungen und viele weitere Unternehmen, für die Video-Ident relevant sein kann. Abgerückt sind die Aufseher von der Referenzüberweisung. Dabei hätten die Anbieter einen kleinen Betrag auf das Konto des Antragstellers überweisen müssen, um zu prüfen, ob der Person tatsächlich das angegebene Konto gehört. Eine bestehende Kontoverbindung wäre also Bedingung für die Nutzung des Verfahrens gewesen. Dass es nicht dazu kommt, sieht Frank-Christian Pauli, Finanzexperte des Verbraucherzentrale Bundesverbands (vzbv), positiv. „Solche Buchungen nehmen Verbraucher auf ihrem Konto unter Umständen gar nicht wahr oder erkennen ihre Bedeutung nicht, wenn sie plötzlich unerwartet entdeckt werden. Der Schutz ist also nicht so gut.“
Weiterer Streitpunkt war eine zusätzliche Überprüfung anhand „öffentlich zugänglicher Daten und Informationen“. Auch diese Idee wurde wieder verworfen. Konkrete Vorgaben macht die Bafin allerdings weiterhin zum Ablauf der Identifizierung. So müssen etwa die Mitarbeiter speziell geschult werden, unter anderem über gängige Fälschungsmöglichkeiten und datenschutzrechtliche Vorschriften. Zudem müssen die Anfragen zufällig auf die Mitarbeiter verteilt werden, um Manipulationen vorzubeugen. Und es werden zahlreiche optische Sicherheitsmerkmale der Ausweise benannt, von denen einige abgeprüft werden müssen.
Call-Center extern oder intern
Soweit, so klar. Aber dann ist da ein Satz, der doch noch für Unsicherheit sorgt. Dabei geht es um die Nutzung von externen Call-Centern – ein Punkt, in dem sich die Anbieter unterscheiden. IDnow beispielsweise nutzt sowohl eigene als auch externe Call-Center, Arvato und Web ID Solutions jedoch nicht. Im Rundschreiben steht: „Eine weitere (Sub-)Auslagerung bzw. ein Zurückgreifen eines Dritten i.S.v. § 7 Abs. 1 GwG auf einen weiteren Dritten ist nicht zulässig.“ Ein Bafin-Sprecher erklärt dem Handelsblatt: „Die Nutzung eines externen Call-Centers stellt aus unserer Sicht eine (weitere) vertragliche Auslagerung der Erfüllung der Kundensorgfaltspflicht dar, die nach dem Rundschreiben 3/2017 nicht weiter ausgelagert werden darf (Sub-Auslagerung).“ Soll heißen: Die Nutzung externer Call-Center ist nicht erlaubt.
IDnow-Geschäftsführer Michael Sittek gibt sich dennoch optimistisch: „Wir stehen kontinuierlich in engem Austausch mit der Bafin und haben auch an den Inhalten der neuen Version des Rundschreibens mitgewirkt“, sagt er. „Daher sehen wir keine Veranlassung, dass wir an unserer Praxis etwas ändern müssen. Wir können unseren Service auch weiterhin rechtskonform anbieten.“ Darüber hinaus lobt er das Rundschreiben: „Wir freuen uns sehr, dass das neue Rundschreiben die Sicherheit der Video-Identifikation weiter erhöht, ohne dabei die Nutzerfreundlichkeit einzuschränken.“ Die Zahl der Kunden beziffert er aktuell auf „mehr als 130 Unternehmen vor allem aus der Finanzindustrie, aber auch aus anderen Bereichen“, zudem seien Anfragen „im siebenstelligen Bereich“ bearbeitet worden.
Beim Konkurrenten Web ID Solutions klingt die Freude noch euphorischer. Frank Stefan Jorga, Geschäftsführer und Gründer von WebID bezeichnet das Rundschreiben als „Paukenschlag für die Banken- und Finanzwelt“. Web ID erfülle alle genannten Anforderungen, aber Anbieter, die nicht die aktuellen Sicherheitskriterien erfüllen, könnten kein Geldwäschegesetz-konformes Video-Ident-Verfahren mehr anbieten. „Wir rechnen daher damit, dass sich der Markt in Kürze bereinigen wird.“ Nach eigenen Angaben hat das Unternehmen von Solingen aus bisher 1,7 Millionen Identifikationen gemacht und zählt zu seinen 70 internationalen Kunden unter anderem die Deutsche Bank, DKB und ING-Diba.
Auch Verbraucherschützer Pauli befürwortet das Video-Ident-Verfahren. „Aus Verbrauchersicht ist es grundsätzlich zu begrüßen, dass es zu umständlichen Verfahren wie der Legitimierung in der Post-Filiale einfache Alternativen gibt“, sagt er. „Wenn die Bafin Anbieter von Video-Identifizierung vor dem Hintergrund des Geldwäschegesetzes als sicher einstuft, können sie auch aus Sicht der Kunden als hinreichend sicher gelten.“ Eine hundertprozentige Sicherheit biete allerdings kein System. „Neu zu überdenken wären die Anforderungen, wenn im Namen argloser Verbraucher von unbefugten Konten eröffnet würden“, mahnt er. Auch die Bafin plant bereits, die Vorgaben bei begründetem Anlass, spätestens aber drei Jahre nach Inkrafttreten zu evaluieren.
