Anzeige
STRATEGIE4. März 2022

Integration von Ver­trau­ens­diens­ten im Online-Banking? Geht! So umgehen Sie technische Fallstricke …

Experte für elektronische Signatur: Hagen Pollmüller, DACH Regional Strategy Director bei OneSpan
Hagen Pollmüller, DACH Regional Strategy Director OneSpanOneSpan

Online- und Mobile-Banking ist für viele Verbraucher selbstverständlich. Damit werden Banken zu Vertrauensdienstleistern. Sogar für Online-Geschäfte aller Art. Aber wie genau können Banken die Sicherheit dieser Dienstleistungen sicherstellen und Mechanismen für Vertrauensdienstleistungen in ihr bestehendes Online-Banking-System integrieren? Was zu beachten und warum die Integration technisch nicht schwierig ist 

von Hagen Pollmüller, DACH Regional Strategy Director bei OneSpan

Um Dienstleistungen wie die Eröffnung eines Bankkontos oder die Beantragung eines Kredits aus der Ferne zu ermöglichen, müssen Banken Dienste integrieren, um die Identität der Kunden und die Rechtsgültigkeit der Transaktion sicherzustellen. Hierfür haben sich qualifizierte elektronische Signaturen als Standard etabliert.

Der Ausgangspunkt, damit Banken Vertrauensdienstleistungen anbieten können, ist ein Trust Service Provider Hub (TSP Hub). So können auch qualifizierte elektronische Signaturen einfach in den Signierungsprozess übernommen werden.

Ein TSP Hub verifiziert das Zertifikat eines Nutzers automatisch und das positive Prüfergebnis wird zum Teil des Signierprozesses.”

Wichtig ist, dass der verwendete TSP Hub die Zertifikate aller in der Europäischen Union zugelassenen Zertifizierungsstellen akzeptiert. Vorgeschrieben ist der X.509-Standard zum Erstellen digitaler Zertifikate. Es müssen sowohl Remote-Zertifikate als auch lokale hardware-basierte Zertifikate unterstützt werden. Remote-Zertifikate müssen von qualifizierten TSPs sicher in einem Hardware-Sicherheitsmodul (HSM) aufbewahrt werden. Durch hardware-basierte Zertifikate (z. B. auf Smartcards) verbleibt der Nutzer in Besitz seines digitalen Zertifikats. Hardware-basierte Zertifikate sind besonders sicher und sollten gegenüber Remote-Zertifikaten bevorzugt werden.

Flexibler Einsatz von fortgeschrittenen elektronischen Signaturen

Nicht jedes Szenario erfordert die Verwendung einer qualifizierten elektronischen Signatur. Deshalb sollte auch die fortgeschrittene elektronische Signatur (FES) berücksichtigt werden. Damit die Integration ins Online-Banking rechtssicher gelingt, muss folgendes gewährleistet sein:

Die FES ist eindeutig dem Unterzeichner zuzuordnen. Dafür muss bei unbekannten Nutzern eine zweifelsfreie Identifikation, bei bekannten eine sichere Authentifizierung erfolgen.”

Autor Hagen Pollmüller, OneSpan
Hagen Pollmüller ist als DACH Re­gio­nal Stra­te­gy Di­rec­tor für OneSpan (Web­sei­te) tä­tig. Der aus­ge­bil­de­te Kauf­mann für Da­ten­ver­ar­bei­tung ver­fügt über lang­jäh­ri­ge Er­fah­rung in den Be­rei­chen IT, Se­cu­ri­ty so­wie Go­ver­nan­ce und Com­p­li­an­ce. Zu­vor ar­bei­te­te er als Ser­ver Spe­cia­list für IBM UK, wo er En­t­er­pri­se-Kun­den mit ih­ren Hard­ware-Lö­sun­gen un­ter­stütz­te und be­treu­te und eng mit IBM Busi­ness Part­nern in Groß­bri­tan­ni­en, Ir­land und der DACH-Re­gi­on zu­sam­men­ar­bei­te­te. An­schlie­ßend war er zehn Jah­re lang für Tho­mas Reu­ters in Lon­don und Genf für den Ver­trieb von Da­ta- und Tra­ding-So­lu­ti­ons an Front-, Midd­le- und Back-Of­fice für den Roh­stoff- und En­er­gie­han­del zu­stän­dig. Be­vor er zu OneSpan kam, ar­bei­te­te er als En­t­er­pri­se Ac­count Ma­na­ger bei Ave­Point in Zürich.
Die Identifikation geschieht durch die digitale Ausweis-Verifikation in kurzer Zeit. Besonders bequem ist die automatische Übernahme von Daten des Ausweises in das zu unterzeichnende Formular. Der Identifikationsprozess enthält aus Sicherheitsgründen einen Gesichtsvergleich (biometrisches Merkmal) und generiert einen einmaligen Passcode (OTP) per E-Mail oder SMS zur zusätzlichen Sicherheit.

Sehr sicher im Kontext der Authentifizierung sind die Zwei-Faktor-Authentifizierung sowie die Dynamic Knowledge-Based-Authentification (Dynamic KBA). Bei letzterer werden, realisiert durch Online-ID-Dienste, die angegebenen Nutzerdaten im Hintergrund auf Plausibilität geprüft. Alle Transaktionsdaten müssen für alle Unterzeichner zugänglich gemacht werden. Um auf wechselnde Szenarien eingehen zu können, sollte die Signatur-Lösung offen für die Authentifizierung durch Drittparteien sein. Ob Security Assertion Markup Language (SAML), OAuth-Protokolle (Open Authorization) oder eine API – es gibt vielfältige Möglichkeiten der Integration, die berücksichtigt werden sollten.

Es muss insgesamt gewährleistet sein, dass die Signatur nachträglich nicht verändert werden kann. Wird beispielsweise ein PDF-Dokument signiert, müssen die Adobe-Root-Zertifikate überprüft werden. Archivdaten der Signatur müssen jederzeit mit Zeitstempeln versehen sein und dem Standard „ETSI TS 102 778-2“ für elektronisch signierte PDF-Dokumente entsprechen. Allgemein gesprochen muss für jeden Unterzeichner eine digitale Signatur und ein Hash erstellt werden, um das Dokument gegen Fälschungen zu schützen. In diesem Zusammenhang ist in der EU die Einhaltung der PAdES-Standards (PDF Advanced Electronic Signatures) vorgeschrieben.

Den Signatur-Workflow einfach halten

Wurden passende Anwendungen für die Integration von elektronischen Signaturen ins Banking gefunden, gilt es den Signatur-Workflow auszugestalten.”

Egal ob qualifizierte oder fortgeschrittene elektronische Signatur, dieser sieht zusammengefasst so aus:

1. Bereitstellung eines Zugangs zu den Dokumenten: B. per E-Mail oder QR-Code direkt auf der Webseite. Ob per Zugangsdaten zu eigenem Webportal oder Integration eines Drittanbieter-Portals – elektronische Signaturen sollen von Plattformen unabhängig sein.
2. Identifikation bzw. Authentifizierung: Unbekannte Nutzer identifizieren sich per digitaler Ausweiskontrolle, bekannte Nutzer erhalten z. B. durch SMS- oder E-Mail-Authentifizierung Zugang zum Dokument. Relevante Daten werden im Dokument vorausgefüllt.
3. Präsentation des zu unterzeichnenden Dokuments: Hier ist die browserbasierte Lösung von Vorteil, da die Nutzer so keine Zusatz-Software installieren müssen.
4. Datenerfassung: Manchmal kann die manuelle Erfassung von Daten durch den Nutzer nötig sein, meistens sind zu unterzeichnende Dokumente aber bereits abschließend vorausgefüllt.
5. Dokumentenupload: In speziellen Fällen kann der Upload von neuen Dokumenten nötig sein, z. B. für den Vertrag wichtige Nachweis-Dokumente
6. Das eigentliche Signieren: Bei FES reicht ein Klick auf eine Schaltfläche oder eine handschriftliche Eingabe per Maus. Soll eine qualifizierte elektronische Signatur erfolgen, überprüft der TSP Hub das verwendete Zertifikat.
7. Bereitstellung der signierten Dokumente: Per Download-Link kann eine Kopie des unterzeichneten Dokumentes heruntergeladen oder ausgedruckt werden.

Die Integration von Vertrauensdiensten so flexibel und effizient wie möglich gestalten

Sind alle erforderlichen Kriterien an eine qualifizierte bzw. fortgeschrittene elektronische Signatur erfüllt und ist der Signatur-Workflow ausgestaltet, muss die Integration einer Signatur-Lösung ins Online-Banking darüber hinaus flexibel und effizient sein. Es muss darauf geachtet werden, dass eine Signatur-Lösung folgende Kriterien erfüllt:

  • Eine entwicklerfreundliche API inklusive iOS und Android SDK-Support. So wird die Auslieferung auf alle Endgeräte der Bankkunden gewährleistet.
  • Flexible Deployment-Optionen: Ob On-Premises oder in der Public / Private Cloud, Szenarien können sich ändern. DSGVO-Konformität muss dabei vom Anbieter der qualifizierten elektronischen Signatur garantiert werden.
  • Gute Support-Dienstleistungen – direkt und per Selfservice (z. B. Tutorials und Foren)
  • White-Label-Experience: Die Kunden sollen nicht am Design merken, dass sie das Portal der Bank verlassen. Das vermeidet Irritationen und stärkt die Marke der Bank.
  • Third-Party-Datenfelder müssen einen bidirektionalen Datenaustausch zwischen allen beteiligten Anwendungen der Bank und des externen Anbieters ermöglichen.

Fazit – Der Weg von der Bank zum Vertrauensdienstleister ist nicht schwer

Werden alle Kriterien beachtet – von der Auswahl eines geeigneten TSP Hub über die geeignete Identifikation und Authentifizierung der Nutzer hin zu Flexibilität und Effizienz bei der Integration – ist der Weg für eine Bank frei, schon bald Vertrauensdienstleister zu sein.

Denn tatsächlich stehen die passenden Lösungen für elektronische Signaturen schon bereit. Banken müssen sich diese nur zu Nutze machen.”

Hagen Pollmüller, OneSpan

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert