STRATEGIE17. Mai 2022

Smart eID scheitert, ich.app hebt ab: “Das Bankkonto ist der Schlüssel!” — Dipl. Ing. Weinzierl, Worldline

Experte für eID der ich.app: Dipl. Ing. Peter Weinzierl, Worldline
Dipl. Ing. Peter Weinzierl, WorldlineWorldline

Kürzlich musste das Innenministerium eingestehen, dass sich die Einführung der Smart eID erneut verzögert. Mit der Lösung sollen Nutzer die Daten ihres Personalausweises auf dem Smartphone speichern und sich so online ausweisen können. Während das Thema digitale Identität in Deutschland damit weiterhin nur zögerlich vorankommt, läuft in Österreich die Pilotierung der elektronischen Identität „ich.app“ von Payment Services Austria bereits erfolgreich. Alles, was Nutzer brauchen, ist ein österreichisches Bankkonto. Dipl. Ing. Peter Weinzierl, Principal Consultant for Digital Identity bei Worldline, erklärt im Interview, wie die Lösung funktioniert, welche Vorteile sie Nutzern bietet und welche Rolle Worldline dabei spielt.

Herr Weinzierl, können Sie zunächst kurz umreißen, wobei es sich bei der „ich.app“ handelt? Was machen die Österreicher besser?

Die ich.app ist, wie der Name schon sagt, eine App, die auf Android- und iOS-Geräten läuft, und es Nutzern ermöglicht, sich nach einer einmaligen Online-Identifizierung komfortabel bei Online-Diensten wie Webshops, e-papers, Arzt-Praxen und vielem mehr einzuloggen. Sie müssen dann nicht mehr ständig persönliche Daten eingeben und sich mehr oder weniger komplizierte Passwörter ausdenken und merken.

Die Echtheit der Daten wird durch die Bank der Nutzer bestätigt.”

Die App stellt eine wichtige Alternative zum Log-in beispielsweise via Google oder Facebook dar.

Auftraggeber ist die PSA Payment Services Austria GmbH (PSA), eine Tochtergesellschaft aller österreichischen Banken. PSA verarbeitet alle österreichischen Bankomatkarten, die meisten ATM-Transaktionen, Kreditkarten und das Clearinghouse. Für die Nutzung der ich.app ist ein E-Banking-Konto bei einer österreichischen Bank Voraussetzung.

Die ich.app basiert auf einer offenen Architektur. Das bedeutet, sie kann flexibel und agil an weitere Bedürfnisse des Marktes und internationale Entwicklungen angepasst werde.”

Aktuell läuft die App noch als geschlossenes Pilotprojekt, ab 2023 wird sie dann aber frei für Nutzer verfügbar sein.

Und wie funktioniert die App? Der Bankkunde lädt sie aus einem App Store herunter und dann?

Dann folgt erst mal ein Onboarding, dabei wird der Nutzer Schritt für Schritt durchgeführt. Er kann entscheiden, unter welcher Kennung er diese Identität nutzen möchte, in der Regel ist das die E-Mail-Adresse. Jede E-Mail-Adresse lässt sich auch nur einmal bei der App registrieren. Um Missbrauch zu verhindern, wird sie zudem mithilfe eines One-Time Codes überprüft. Der Nutzer muss angeben, über welches Konto und welche Bank die Identität bestätigt wird und Benutzerinformationen zur Verfügung gestellt werden.

Der Identity Provider im Hintergrund kontaktiert dann die Bank und löst einen klassischen Strong Customer Authentification (SCA)-Prozess mit der Bank-Applikation aus, die Methode, mit der sich der Nutzer normalerweise bei seiner Bank einloggt.”

Ob das funktioniert hat und damit die Identität durch die Bank bestätigt wurde, erfährt der ich.app Identity Provider online in Echtzeit von der PSA.

Werden diese Daten des Nutzers dann in der App gespeichert?

Über Peter Weinzierl, Worldline
Peter Weinzierl ist seit 2019 als Principal Consultant für Digital Identity und Strong Authentication bei Worldline Austria (Website) tätig. Hier ver­ant­wor­tet er die Im­ple­men­tie­rung von Lö­sun­gen zur star­ken Au­then­ti­fi­zie­rung und Iden­ti­täts­ma­nage­ment in un­ter­schied­li­chen re­gu­lier­ten An­wen­dungs­be­rei­chen wie eHe­alth, Cri­ti­cal In­fra­struc­tu­res und in der Fi­nanz­in­dus­trie. Zu­vor ver­ant­wor­te­te er dort seit 2013 den Be­reich Strong Au­then­ti­ca­ti­on-Bio­metrics. Ab 2005 war der stu­dier­te Di­plom­in­ge­nieur bei Atos IT So­lu­ti­ons und Ser­vices GmbH und bei der Sie­mens AG Ös­ter­reich in den Be­rei­chen Bio­metrics so­wie Busi­ness und Com­pe­tence tätig.

Nein, die Daten werden – ganz im Sinne der DSGVO – nirgendwo zwischengespeichert. Stattdessen werden sie jedes Mal, wenn es nötig ist, live bei der Bank abgefragt und von ihr bestätigt. Im Zuge der ersten Identifikation erfolgt praktisch ein Wechsel der Authentifizierungsmethode: In der Software ist die Lösung WL Trusted Authentication von Worldline integriert, darüber erhält der Nutzer einen signierten Security Token, der entsprechend der PSD2 länger gültig ist. So lange muss nicht erneut eine SCA ausgeführt werden.

Welche Vorteile bietet die App den Nutzern?

Sie sehen bei jeder Transaktion, welche Daten der Händler oder Service-Anbieter abfragen will und können dem zustimmen oder aber den Prozess abbrechen. Diese Transparenz gibt ihnen die Kontrolle über ihre Daten zurück. Wir können heute ja kaum noch durchblicken, wer online unsere Daten wie nutzt und weiter gibt. Das soll natürlich auch Unternehmen dazu ermutigen, weniger Daten zu sammeln und nicht alles, was sie vielleicht, vielleicht auch nicht, mal brauchen könnten.

Datensparsamkeit ist hier das Stichwort.”

An sich kennt man Worldline ja eher im Zusammenhang mit Payment- und nicht Identity-Lösungen. Wie kam es zur Mitwirkung an der ich.app?

Wir arbeiten mit der PSA im Zahlungsverkehr bereits seit über zehn Jahren zusammen, entsprechend besteht zwischen uns schon ein großes Vertrauensverhältnis. Zudem hatten wir bereits Lösungen aus dem industriellen Umfeld, die wir dann an die spezifischen Anforderungen der PSA für die ich.app anpassen mussten. Neben WL Trusted Authentication ist das noch WL ID Center, ein zentraler Authentifizierungsdienst, der die natürliche Identität des Nutzers eindeutig und schnell in die ich.app überträgt.

Die PSA brauchte als Partner einen Identity Provider und auch jemanden, der das notwendige technische Architekturkonzept umsetzen konnte. Denn der Dienst braucht eine normierte Schnittstelle, die, unabhängig von den Anwendungen und wer nach den Daten des Nutzers fragt, eine garantierte digitale Identität ermöglicht.”

Dazu gehört nicht nur der Name des Nutzers, sondern auch weitere Informationen wie beispielsweise die Wohnadresse, Lieferadresse, das Alter – wobei hier nicht unbedingt immer das konkrete Alter gefragt ist, je nach Anwendung reicht etwa auch schon die Information, ob der Nutzer älter als 18 Jahre ist. Zudem muss der Identitätsprovider diese Informationen mit gewissen Garantien zur Verfügung stellen, das heißt mit einem sogenannten Zuverlässigkeitslevel, und dafür einstehen, dass die Daten tatsächlich stimmen.

Solche Garantien sind natürlich gerade für Händler ein großer Vorteil – sie haben eine verifizierte Adresse, an die sie ihre Waren schicken, und können Betrug nahezu ausschließen. Damit sinkt ihr Risikoprofil.

Kommen wir noch zum regulatorischen Rahmen – welche Freigaben hat die App da bisher?

Dadurch, dass die Technologiekomponenten aus dem E-Banking-Bereich kommen, ist sie SCA-zertifiziert.

Die Anwendung ist vorbereitet, mit einem qualifizierten Signaturdienst zusammenzuarbeiten, und ist von ihrer technischen Implementierung bis hin zur qualifizierten elektronischen Signatur ausgelegt.”

Darüber wird sie hinsichtlich einer Zertifizierung in Richtung eIDAS geprüft, grundsätzlich stehen aber erstmal kommerzielle Anbieter im Vordergrund und nicht die Behörden.

Herr Weinzierl, vielen Dank für den interessanten Einblick.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert