STRATEGIE26. Januar 2021

KYC-Identifikation auf Basis von Bankdaten

Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth

Identifizierung mit dem Online Banking, wie BankID (Schweden) oder NemID (Dänemark), ist in den nordischen Ländern gängige Praxis. In Deutschland dagegen gibt es für das Verfahren direkt noch keine Freigabe. Ein Kunstgriff macht den Einsatz in bestimmten regulierten Bereichen aber trotzdem möglich.

von Rudolf Linsenbarth

Zum Beispiel wird für die Identifikation gemäß dem „Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten“ auch Geldwäschegesetz genannt, eine Qualifizierte Elektronische Signatur (QES) als Identifikationsmedium zugelassen. Da eine QES innerhalb der EU verpflichtend anerkannt werden muss, liegt es also nahe, einmal zu abzufragen, ob es dort nicht Vetrauensdiensteanbieter (QTSP = Qualified Trusted Service Provider) gibt, die eine QES auf Basis eines Logins im Online Banking erstellen können.

Das Verfahren muss man sich ungefähr so vorstellen, der Kunde meldet sich über einen 3. Anbieter, wie man das von den Kontoinformationsdiensten bereits kennt, in seinem Online Banking an. Auf Basis der dann fließenden Daten wird die Identität des Nutzers ermittelt. Frei nach dem Motto: “Wer sich in das Bankkonto von Rudolf Linsenbarth einloggen kann, ist Rudolf Linsenbarth.”

Clubhouse: Einfach Digitalisieren – Thursday Lunch

…und hier: one more thing

„Einfach Digitalisieren –
Clubhouse Thursday Lunch“

bigstock.de

(nur mit Apple-Geräten)

Wenn es ein span­nen­des Di­gi­ta­li­sie­rungs­the­ma aus den Be­rei­chen Iden­ti­ty – Pay­ment oder an­gren­zend gibt, wol­len wir das am Don­ners­tag zwi­schen 12:00 und 13:00 Uhr mit Gäs­ten dis­ku­tie­ren. Der ers­te Club­hou­se Thurs­day Lunch hat ent­spre­chend das The­ma:

Identifikation mit Bankdaten

Mit diesem Link geht’s zum Event – Wir hören uns dann am Donnerstag!

Das ist soweit valide, nichts anderes passiert ja auch, wenn z.B. Verimi meine Identität bestätigt. Allerdings gibt es dabei einen feinen Unterschied. Während Verimi meine zusätzlichen Identitätsdaten vorab eingesammelt hat (z.B. durch ein Video Ident oder eine eID-Ausweisverifikation), liefert das Einloggen bei der Bank nur meinen Namen und die Kontonummer (IBAN). Während aber “Rudolf Linsenbarth” mit einiger Sicherheit weltweit eindeutig ist, trifft das auf “Peter Müller” schon nicht mehr zu. Außerdem müssen für beide noch Adresse, Geburtsdatum und auch der Geburtsort hinzugefügt werden. Bevor betrachtet werden soll, wie diese Datenanreicherung vonstatten gehen könnte, zunächst ein Blick auf die Player im deutschen Markt.

1. Klarna
2. Solarisbank
3. Swisscom
4. yes.com

Klarna ident und Solarisbank Bankident setzen hierbei auf die Swisscom als QTSP. Die Swisscom wiederum kooperiert mit Klarna, um ihr eigenes Identifikationsverfahren Smart Registration Service (SRS) Bank in Deutschland auf den Markt zu bringen. yes das Ident Verfahren der yes.com ist für alle QTSP-Dienste offen, derzeit dabei sind InfoCert und Namirial.

Wie wird nun aus der Kombination von IBAN und Kontonutzer eine QES und damit eine digitale Identität? Man kann annehmen, dass diese beiden Datenpunkte aus gesicherten Verfahren ermittelt worden sind. Prinzipiell liegen die fehlenden Informationen natürlich bei der kontoführenden Bank. Ansonsten ist die Schufa in Deutschland immer der nächste Verdächtige, der in der Lage ist, die Daten weiter anreichern zu können.

Der QTSP muss also in dem Land, wo der Vertrauensdienst betrieben wird, sein Identifikationsverfahren den dortigen Aufsichtsbehörden vorstellen. Also die Swisscom in Österreich und InfoCert sowie Namirial in Italien. Erhält das Identifikationsverfahren eine Vertrauensniveaubewertung von mindestens substanziell, darf darauf aufbauend eine QES erstellt werden. Die wiederum kann im Rahmen einer GWG-Identifikation z.B. für eine Kontoeröffnung verwendet werden. Der deutsche Regulator verlangt dann aber noch zusätzlich die sogenannte Referenzüberweisung von einem Konto, das der zu identifizierenden Person zugeordnet werden kann.

Interessant wäre jetzt zu erfahren, wie die einzelnen Parteien diese Vorgaben im Detail umgesetzt haben. Daher gingen die folgenden Fragen an Solarisbank, Swisscom und yes.com:

1. Wie erfolgt die Anreicherung der Daten, nachdem man eine bestätigte Namen-IBAN Kombination erhalten hat? Aus welcher Quelle kommen die fehlenden Daten?
2. Wie erfolgt die Zuordnung zur signierenden Person bei einem Gemeinschaftskonto? Wie wird unterschieden, wer hier signiert hat?
3. Können Sie sicherstellen, dass kein Verfügungsberechtigter im Namen des Kontoinhabers Signaturen erstellt?

Dazu muss man wissen, es gibt für einen Dritten in Deutschland derzeit mehrere Methoden, auf das Konto zu schauen. Wird zum Beispiel eine Schnittstelle gemäß PSD2 verwendet, dann bekommt der Kontoinformationsdienst bei einem Gemeinschaftskonto alle Kontoinhaber zurück geliefert und kann nicht sicher sein, welcher davon jetzt die Transaktion angestoßen hat. Auch ist über die PSD2-Schnittstelle nicht erkennbar, ob der Kontoinhaber oder ein Verfügungsberechtigter am anderen Ende sitzt. Es wird immer nur der Name des Kontoinhabers geliefert.

Etwas anders sieht es aus, wenn der Kontozugriff mittels Screen Scraping erfolgt. Diese derzeit für die meisten Banken in Deutschland noch zulässige Methode liefert dann deutlich mehr Informationen. Hier nun die Antworten zu unseren Fragen:

Solarisbank

Identifikation bei der Solarisbank
solarisbank

Die regulatorisch geforderten Daten kommen aus einer weiteren Quelle. Die Frage, ob es sich hierbei um die Schufa handelt, wurde mit Verweis auf das Geschäftsgeheimnis weder verneint noch bestätigt. Falls von der „externen Quelle“ keine Daten zur Verfügung gestellt werden, kommt es zum Abbruch der Identifikation. Bei Gemeinschaftskonten ist eine Identifikation nicht möglich.

Fälle, in denen ein Verfügungsberechtigter sich als Kontoinhaber ausweist, würden ebenfalls abgebrochen werden. IT Finanzmagazin liegt aber ein Fall aus einer vertrauenswürdigen Quelle vor, wo es einem Verfügungsberechtigten gelungen ist, sich als Kontoinhaber zu identifizieren.

Swisscom

Auch hier gab es keine Information, aus welcher Quelle die Datenanreicherung erfolgt. Es wäre nur eine verschwindend geringe Anzahl an deutschen Bankkonten, für die man nach dieser Methode keine QES erstellen könne. Allerdings würden sowohl bei Swisscom als auch bei Klarna die Nutzer eines Gemeinschaftskontos zuverlässig auseinandergehalten werden können. Auch sei sichergestellt, dass ein Verfügungsberechtigter keine QES im Namen des Kontoinhabers erstellen kann.

Identifikation bei Yes.comyes.com

yes sei von den beschriebenen Problemen nicht betroffen, weil bei den ca. 1000 teilnehmenden Banken im yes Scheme eine von PSD2 unabhängige Schnittstelle zusammen mit einem geeigneten Prozess implementiert worden ist. Hierüber werden alle notwendigen Identitäts- und Legitimationsdaten an den QTSP geliefert. Standardschnittstellen für Kontoinformationsdienste gemäß PSD2 würden dabei nicht verwendet. Bei am yes-System teilnehmenden Banken entfällt daher auch das Login bei den eingangs genannten 3. Anbietern.  Details zum Verfahren findet man unter dem folgenden Link.

Etwas anders sieht es aus, wenn ein Kunde sich über eine nicht am yes-Ökosystem teilnehmende Bank identifizieren möchte. Dann wird die erste Identifizierung zwar über die PSD2-Schnittstelle vorgenommen, aber nachgelagert kommt eine weitere Identifizierung mittels Personalausweis zum Tragen.

Allerdings hat yes auch nach mehreren Jahren den Launch für die QES-basierte Identifikation noch immer nicht vollzogen.

Zu guter Letzt wollten wir natürlich von der BaFin noch erfahren, wie eine KYC auf Basis von Onlinebanking-Zugriffen aus regulatorischer Sicht bewertet wird. Folgende Fragen wurden dazu gestellt:

1. Ist die „Referenzüberweisung für jede Identifikation auf Basis einer QES gemäß EU-Verordnung Nr. 910/2014 erforderlich oder nur für QES-Verfahren, die auf einer Bankidentifikation beruhen?
2. Ist ein Verfahren, das auf der Kombination von QES und „Referenzüberweisung“ basiert, automatisch qualifiziert oder gibt es für die einzelnen Varianten noch eine Abnahme durch die BaFin?
3. Warum gibt es die „Referenzüberweisung“? Prinzipiell kann man davon ausgehen, dass jede QES ja eine Identifizierung auf dem Level substanziell benötigt und damit schon eine starke Authentifizierung erfolgt ist. Eine Überweisung liefert hier keinen neuen Erkenntnisgewinn und damit eine höhere Sicherheit? Oder wird hier der Tatsache vorgebaut, dass der europäische Markt im Bereich der Vertrauensdienste noch nicht hinreichend harmonisiert ist?
4. Wenn ich es richtig verstehe, soll mit der „Referenzüberweisung“ der Nachweis erbracht werden, dass die zu identifizierende Person Zugriff auf ein Konto hat, welches auf ihren Namen lautet. Genügt hierbei die reine Bestätigung des Namens (z.B. Peter Müller) oder müssen im Rahmen dieser Überweisung noch weitere Datenpunkte verifiziert werden?

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Direkt bei der ersten Frage, zu der von mir schon vielfach kritisierten Referenzüberweisung, kam der Verweis auf den Gesetzestext. In dem folgenden Link auf Seite 118 sieht man, dass es hier sich um eine Anforderung des Gesetzgebers handelt und die BaFin gar keinen Spielraum hat. Nach genauerem Studium des Geldwäschegesetzes findet man diese Anforderung auch in §12. Das hatte ich bisher wohl übersehen. Die BaFin ist also nicht der richtige Adressat für diese unsinnige Vorschrift. Damit haben sich auch die Fragen 3 und 4 erledigt.

Zu meiner zweiten Frage antwortete die BaFin, dass sie keine Zertifizierungsstelle sei und auch ganz konkret nicht für eine etwaige Abnahme des Identitätsüberprüfungsverfahrens nach § 10 Absatz 1 Nr. 1 i.V.m. § 12 Absatz 1 Nr. 3 GwG in irgendeiner Form zuständig ist. Die Einhaltung der BaFin-Vorschriften wird also eher nachgelagert überprüft.

Die Identifikation: Fazit

Das Thema Bank-Identifikationsverfahren wird wahrscheinlich noch weiter Stoff für zukünftige Artikel liefern.”

Die politisch gewollte Gleichstellung von nicht harmonisierten eIDAS-Verfahren innerhalb der EU birgt Konfliktpotenzial. Der deutsche Regulator hat alle Eier zum Thema digitale Identität in den Korb Personalausweis gelegt. Der Markt verlangt aber mehr Flexibilität. Obwohl politisch nicht gewollt, hat sich bereits das VideoIdent für die GWG KYC-Authentifizierung durchgesetzt. Mit der Identifizierung über das Bankkonto setzt jetzt ein weiteres Verfahren zum Sprung an. Das wird nicht das Letzte sein. Das Auto Ident Verfahren mit dem Personalausweis sitzt bereits in den Startlöchern. Eine Referenzüberweisung macht die QES-Identifizierung auf jeden Fall umständlicher, ob sie dadurch sicherer wird, wage ich zu bezweifeln!

Der Gesetzgeber ist jetzt in der besonderen Verantwortung, endlich eine digitale Identifizierungsstrategie aus einem Guss zu erarbeiten!Rudolf Linsenbarth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert