STRATEGIE12. August 2022

“Die Identity-Silos müssen harmonisiert werden” – Verimi Geschäftsführer Roland Adrian im Interview

. Beim Thema digitale Identitäten gehört Deutschland in Europa leider nicht zu den Innovationsführern. Mit der eID Funktion des Personalausweises gibt es zwar ein sicheres und zuverlässiges Verfahren, aber ein Erfolgsmodell ist das deshalb noch lange nicht. Eine mobile digitale Identität könnte hier die Wende bringen. Allerdings sind die beiden staatlich lancierten Initiativen Aidie Wallet (Sicherheitslücken) und Smart eID (mangelnde Skalierbarkeit) krachend gegen die Wand gefahren worden. Parallel sieht sich der privatwirtschaftliche Identity Anbieter Verimi derzeit mit einer Reihe von Vorwürfen konfrontiert, von denen einige das Potenzial haben, eine privatwirtschaftliche digitale Identität insgesamt in Frage zu stellen. Wir haben den Verimi Geschäftsführer Roland Adrian zu diesem Themenkomplex befragt. Herr Adrian, bei Verimi wurden durch einen Bug die Zugangsdaten (Nutzername und Passwort) über mehrere Jahre im Klartext in Logfiles abgespeichert. Nachdem dieser Fehler entdeckt worden ist, erfolgte aber keine Information an die betroffenen Nutzer. Warum ist das unterlassen worden?. Im September 2021 stellten wir im Rahmen eines internen Audits fest, dass aufgrund eines Konfigurationsfehlers Log in Daten von Kunden, also Nutzername und Passwort, für eine kleine Zahl unserer Mitarbeitern, die sicherheitsüberprüft sind und einer besonderen Verschwiegenheitspflicht unterliegen, in einer verschlüsselten Datei einsehbar sein konnten.Wir haben den Fehler binnen drei Stunden behoben und rein vorsorglich gemäß der empfohlenen Vorgehensweise für Zweifelsfälle gemäß Artikel 33 DSGVO eine Verdachtsmeldung beim Berliner Datenschutzbeauftragten eingereicht.”Zu keinem Zeitpunkt gab es Anzeichen, dass Kundendaten nach außen gegangen oder missbräuchlich genutzt worden sind. Die DSGVO sieht explizit einen differenzierten Umgang mit der Information von Nutzern vor. Gemäß Artikel 34 Absatz 1 der DSGVO war eine Information der Nutzer in unserem Fall nicht notwendig, da kein hohes Risiko für die persönlichen Rechte und Freiheiten vorlag. In der Abschlussakte des Berliner Datenschutzbeauftragten vom Oktober 2021 ist ersichtlich, dass unsere Maßnahmen ausdrücklich als „angemessen“ bewertet wurden. Dieser Bewertung sind wir gefolgt. Auch wenn hier nach Ihren Angaben keine Nutzerdaten abgeflossen sind, Passwörter gelten doch seit Jahren als Grundproblem in der Nutzer Authentifizierung. Wieso benutzt Verimi für ein Identity Produkt nicht ein passwortloses Authentifizierungsverfahren?. Verimi bietet verschiedene Wege für die Authentifizierung an, darunter auch passwortlose Verfahren. Zum Beispiel bieten wir per „One Touch Login“ die Authentifizierung per Link über den persönlichen E Mail Account an. Wir überlassen die Auswahl dem Nutzer. Das One Touch Login ist aber nicht durchgängig nutzbar!Hier befinden wir uns gerade im Rollout.”Der zweite Vorwurf lautet, beim Erwerb der Lizenz als Zahlungsinstitut, wurden die Aufsichtsbehörden möglicherweise getäuscht. Es heißt Verimi habe nie wirklich als Zahlungsdienstleister am Markt auftreten wollen und die Lizenz nur erworben, um eine GWG konforme Identifizierung durchführen zu können. Was ist dran an dieser Behauptung?. Wir haben niemanden getäuscht. Sofort nach dem Vorwurf haben wir uns mit Vertretern der BaFin und Bundesbank getroffen, die Sache besprochen und es wurde kein Ansatz für eine Täuschung gefunden und kein Anlass für irgendwelche Maßnahmen gesehen. Worauf sich die Medienberichte beziehen, sind nicht etwa Lizenz Vorgaben der BaFin, sondern unternehmensinterne Ziele, die wir uns zum Marktstart von Verimi Pay gesetzt hatten. Dies als Täuschungsversuch zu bezeichnen, grenzt an üble Nachrede und ist geschäftsschädigend. Die Grundbausteine einer Aidie Wallet sind das Identifizieren, Authentifizieren, Unterschreiben und Bezahlen. Auch die aktuelle EU Ausschreibung für Wallet basierte Anwendungsfälle im EU Large Scale Pilot zeigt das. Die integrierte Zahlungsfunktion macht eine Zahlungslizenz erforderlich. Wäre es nicht geschickter gewesen, Sie hätten sich direkt auf die integrierte Zahlungsfunktion konzentriert statt vorab das „Feigenblatt“ Verimi Pay für Webshops einzurichten?. Wir sind zunächst mit den einzelnen Wallet Bausteinen gestartet, damit sich die Prozesse der spezifischen Funktionen bewähren, alles von Beginn an zu integrieren, wäre zu komplex geworden. Nun integrieren wir die Bausteine in durchgängigen Anwendungsfällen. Dazu zählt zum Beispiel das Verimi Bank Ident mit Referenzüberweisung oder unsere integrierte Zahlungsfunktion für den Abschluss der Golf Protect Versicherung beim deutschen Golfverband. Einen Ausblick auf die Zukunft gibt das i Kfz Verfahren für die digitale Fahrzeugzulassung, welches wir aktuell mit unseren Partnern aus der Mobilität und der Versicherungswirtschaft entwickeln. Hier kommen Identifizieren, Unterschreiben und Bezahlen in einem durchgängigen Prozess auf der Schnittstelle zwischen privaten Anbietern und öffentlichen Fachverfahren für die digitale Fahrzeugzulassung zusammen. Verimi ist ein Identity Anbieter, der von den Aufsichtsbehörden für die eIDAS konforme Identifizierung das Vertrauensniveau „substantial“ erhalten hat. Diese Zertifizierung hat aber für die GWG konforme Identifizierung keinen Wert. Daher mussten Sie sich hier den Status als Zahlungsinstitut zulegen. Bei der Identifizierung gemäß Telekomunikationsgesetz oder im Gesundheitswesen gelten wieder ganz andere Rechtsvorschriften und es sind auch andere Aufsichtsbehörden involviert. Macht dieses Silo Denken des deutschen Gesetzgebers für die Schaffung einer einheitlichen digitalen Identität eigentlich Sinn?. Die Identity Silos müssen harmonisiert werden, das ist klar und das wird meiner Ansicht nach jetzt auch mehr und mehr den Regulatoren klar. Mit diesen Silos kann eine weit verbreitete, einheitliche digitale Identität nicht entstehen. Daher begrüßen wir auch die Gedanken in der eIDAS 2.0 Reform. Eine digitale Identität, die auf einem hohen Sicherheitsniveau im Aidie Wallet gespeichert wurde, muss für alle Anwendungsfälle der Bürger nutzbar sein. Silos kann man den Bürgern nicht vermitteln, weder für die Identifizierung noch für Authentifizierung. In einem weiteren Punkt wird Ihnen vom CCC (Chaos Computer Club) vorgeworfen, dass es sehr einfach ist, in der App gefälschte Ausweise und Führerscheine zu hinterlegen. Was ist da dran?. Der Vorfall bei Verimi wurde offensichtlich im Rahmen einer branchenweiten Studie des CCC erzeugt, bei der grundsätzliche Risiken von Video Ident Verfahren beleuchtet werden sollten. Die betroffenen Anbieter werden in der eigentlichen Studie nicht benannt. Daher sind wir überrascht, dass einzig die Prüfung bei Verimi vorab durch den Autor der Studie in dieser Form öffentlich gemacht wurde. Und dies, zumal Verimi die betroffene Video Ident Leistung nicht selbst erbringt, sondern von einem marktführenden Anbieter bezieht, was während des Ident Prozesses bei Verimi transparent ersichtlich ist.

Die Fragen stellte Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Konkret zum Vorgang: Die betroffenen „Foto Ident“ Prüfungen -im Kontext der CCC Studie als Ka I gestütztes Video Ident bezeichnet- führt in unserem Auftrag das Unternehmen Veriff durch, ein europaweit führender Anbieter für Aidie Prüfungen und Ka I gestützte Ident Verfahren, das von großen Anbietern wie internationalen Banken, FinTechs, Verlagen und Mobilitätsanbietern genutzt wird.Im konkreten Fall hat das Veriff System erste Fälschungsversuche erkannt und den Betreffenden abgewiesen. Er hat dann weiter experimentiert und es mit hoher Energie nach vielfachen Versuchen geschafft, den Ident Prozess bei Veriff mit den gefälschten Dokumenten abzuschließen und diese in der Verimi Aidie Wallet zu platzieren. Sofort nach Bekanntwerden des Falls haben wir mit Veriff ein Bündel von Maßnahmen technisch umgesetzt, um künftige Fälle zu verhindern.”Insgesamt muss man den Vorgang einordnen: Das geprüfte Verfahren von Veriff wird bei Verimi nur in Anwendungsfällen ohne regulatorisches Sicherheitsniveau eingesetzt, was auch die Abbildung in der Verimi Aidie Wallet selbst umfasst. Unterschiedliche Vertrauensniveaus und damit Robustheit gegen unterschiedliche Angriffsstärken sind in den Regularien explizit definiert, zum Beispiel in der eIDAS Verordnung. Deshalb sind erfolgreiche Angriffe per Definition nicht komplett auszuschließen, der Empfänger der Aidie Daten ist sich über die Risiken eines bestimmten Vertrauensniveaus im Klaren und bewertet diese dann für seine Anwendungsfälle. Diese Standards und Zusammenhänge sind unter allen Branchenteilnehmern hinlänglich bekannt. Das Verimi Aidie Wallet muss also verschiedene Vertrauensniveaus bedienen können und dürfen, ohne dass pauschal „gefälschte Identitäten“ skandaliert werden. Es hilft wenig, alles in einen Topf zu werfen. Stattdessen müssen wir die definierten und differenzierten Standards berücksichtigen. Ansonsten stellen wir uns alle gegenseitig ein Bein und keiner kommt voran. Für welche Anwendungen können die mit Hilfe der „Foto Ident“ Funktion hinterlegten Dokumente genutzt werden.. Es handelt sich zum Beispiel um Zugänge zu Service Portalen oder den Abschluss von Mobilitätsservices. Die Gematik hat jetzt erst einmal entschieden, Identifizierung per Video Identifizierung für die Telematikinfrastruktur auszusetzen. Hätte man in einem so kritischen Bereich wie der elektronischen Patientenakte (ePA) nicht schon der Gesetzgeber darauf pochen sollen, dass nur Identifizierungsverfahren zum Einsatz kommen, die auf dem Vertrauensniveau substantial liegen?. Gerade für Gesundheitsdaten muss ein größtmöglicher Schutz im neu entstehenden Ökosystem gewährleistet sein. Die digitalen Lösungen machen besonders Sinn, sobald eine große Mehrzahl an Versicherten diese nutzt, die initiale Ident Methode darf dann natürlich keine signifikante Zugangsbarriere darstellen. Ich denke, es gibt eine Vielzahl an Silos, für die eine durchgängige Definition des Vertrauensniveaus mit einer Akzeptanz cross sektoraler Ident- und Authent Lösungen in einem gemeinsamen Ökosystem sehr viel Sinn macht. Den Gesundheitssektor hingegen kann ich mir persönlich auch als separat definiertes Ökosystem gut vorstellen, eben wegen des besonderen „hohen“ Schutzbedarfes der Gesundheitsdaten. Für den digitalen Führerschein hat das Kraftfahrt Bundesamt doch eine Schnittstelle zum Abruf entwickelt. Verimi als Aidie Anbieter mit Vertrauensniveau substantial hat sich stattdessen entschieden, den Führerschein mit Hilfe eines weniger sichereren Auto Aidie Verfahren zu virtualisieren. Warum?. Es würde für viele Mobility Juhs Kähses sehr viel Sinn machen, die Führerscheindaten direkt digital aus einem Register (zum Beispiel beim KBA) zu verifizieren. Eine solche Schnittstelle gibt es auch, diese wurde für das in 2021 eingestellte Aidie Wallet des BKamts bereitgestellt. Mit dem Verimi Aidie Wallet könnten Nutzer ihre Ausweisdaten im Vertrauensniveau substanziell einsetzen, um ihre Führerscheindaten über diese Schnittstelle ganz einfach digital abzurufen. Uns wird der Zugriff über diese Schnittstelle leider nicht ermöglicht. Somit bleibt uns für digitale Juhs Kähses bei Mobilitätsanbietern derzeit nur die Erfassung der Führerscheindaten über Foto- oder Video Ident Verfahren.In der zukünftigen eIDAS 2.0 Verordnung ist übrigens derzeit angedacht, dass die EU Mitgliedsstaaten solche Register Schnittstellen anbieten müssen zum Beispiel für den Zugriff durch Wallet Anbieter wie uns. Diese EU Vorgabe würde der Effizienz in den Anwendungsfällen der Mobilitätsanbieter in Deutschland endlich den lang ersehnten Quantensprung verleihen.”Wir sehen Silo Regulierungen und zum Beispiel mit eID, Smart eID, Elster und Nutzerkonten der Länder eigene Lösungen der öffentlichen Hand auf verschiedenen Vertrauensniveaus. Private Ident Angebote werden zum Beispiel auf OZG Portalen und bei Steuerbehörden so gut wie nicht akzeptiert, wichtige Schnittstellen stehen privaten Anbietern nicht offen. Förderung digitaler Infrastruktur sieht sicher anders aus. Wie lange geht das noch gut und wann übernehmen einfach wieder mal die GAFAs?Aidie Wallets sind die Zukunft, nicht Silos. Das beweisen auch die in Diskussion stehende eIDAS2.0 Regulierung und die aktuellen EU Ausschreibungen zu Large Scale Pilots und EU Referenz Wallet.”Deutschland ist in der EU nicht führend. Ein Erfolgsfaktor anderer EU Staaten sind Public Private Partnerschaften insbesondere in den regulierten Sektoren. Um starke Wallets in Deutschland schnell zu verankern, wäre es sicher hilfreich, die Kräfte auch hier zwischen Public & Private zu bündeln, Regulierungen entsprechend anzupassen, Vertrauensniveaus zu harmonisieren, die Silos in offene Konzepte zu überführen und die Akzeptanz geeigneter Angebote auch auf relevanten Portalen der öffentlichen Hand zu fördern. Da ist schon sehr viel Zeit im Markt und besonders für den Aufbau relevanter Angebote vor Bürgerinnen und Bürgern verloren gegangen. Mit fortschreitender europäischer Standardisierung werden die Eintrittshürden für die Wallet Lösungen der GaFAs eher sinken. Wir arbeiten bei Verimi jeden Tag daran, hierzu relevante Gegengewichte zu etablieren. Marktgerüchte besagen, Verimi werde mit Yes fusionieren. Ist da etwas dran und würde eine solche Fusion den Aufbau eines GAFA Gegengewichts beschleunigen?. Zu den Marktgerüchten kann ich nichts sagen.Generell fände ich jegliche Bündelung von Kräften sehr gut und sicherlich könnte die Deutsche Kreditwirtschaft gemeinsam mit ihren Assets eine noch stärkere Rolle in der Vertrauenskette einnehmen und damit die Entwicklung eines Ökosystems digitaler Identitäten in Deutschland signifikant voranbringen.”Herr Adrian, vielen herzlichen Dank für das gute Gespräch.Sie hörten einen Beitrag von “Rudolf Linsenabrth”]. [rl_identity nr=1

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/144418
 
 

 

Roland-Adrian, Geschäftsführer bei Verimi<q>Verimi</q>
Roland-Adrian, Geschäftsführer bei VerimiVerimi

Beim Thema digitale Identitäten gehört Deutschland in Europa leider nicht zu den Innovationsführern. Mit der eID-Funktion des Personalausweises gibt es zwar ein sicheres und zuverlässiges Verfahren, aber ein Erfolgsmodell ist das deshalb noch lange nicht. Eine mobile digitale Identität könnte hier die Wende bringen. Allerdings sind die beiden staatlich lancierten Initiativen ID-Wallet (Sicherheitslücken) und Smart eID (mangelnde Skalierbarkeit) krachend gegen die Wand gefahren worden. Parallel sieht sich der privatwirtschaftliche Identity-Anbieter Verimi  (Website) derzeit mit einer Reihe von Vorwürfen konfrontiert, von denen einige das Potenzial haben, eine privatwirtschaftliche digitale Identität insgesamt in Frage zu stellen. Wir haben den Verimi Ge­schäfts­füh­rer Roland Adrian zu diesem Themenkomplex befragt.

Herr Adrian, bei Verimi wurden durch einen Bug die Zugangsdaten (Nutzername und Passwort) über mehrere Jahre im Klartext in Logfiles abgespeichert. Nachdem dieser Fehler entdeckt worden ist, erfolgte aber keine Information an die betroffenen Nutzer. Warum ist das unterlassen worden?

Im September 2021 stellten wir im Rahmen eines internen Audits fest, dass aufgrund eines Konfigurationsfehlers Log-in-Daten von Kunden, also Nutzername und Passwort, für eine kleine Zahl unserer Mitarbeitern, die sicherheitsüberprüft sind und einer besonderen Verschwiegenheitspflicht unterliegen, in einer verschlüsselten Datei einsehbar sein konnten.

Wir haben den Fehler binnen drei Stunden behoben und rein vorsorglich gemäß der empfohlenen Vorgehensweise für Zweifelsfälle gemäß Artikel 33 DSGVO eine Verdachtsmeldung beim Berliner Datenschutzbeauftragten eingereicht.”

Zu keinem Zeitpunkt gab es Anzeichen, dass Kundendaten nach außen gegangen oder missbräuchlich genutzt worden sind. Die DSGVO sieht explizit einen differenzierten Umgang mit der Information von Nutzern vor. Gemäß Artikel 34 Absatz 1 der DSGVO war eine Information der Nutzer in unserem Fall nicht notwendig, da kein hohes Risiko für die persönlichen Rechte und Freiheiten vorlag. In der Abschlussakte des Berliner Datenschutzbeauftragten vom Oktober 2021 ist ersichtlich, dass unsere Maßnahmen ausdrücklich als „angemessen“ bewertet wurden. Dieser Bewertung sind wir gefolgt.

Auch wenn hier nach Ihren Angaben keine Nutzerdaten abgeflossen sind, Passwörter gelten doch seit Jahren als Grundproblem in der Nutzer-Authentifizierung. Wieso benutzt Verimi für ein Identity-Produkt nicht ein passwortloses Authentifizierungsverfahren?

Verimi bietet verschiedene Wege für die Authentifizierung an, darunter auch passwortlose Verfahren. Zum Beispiel bieten wir per „One Touch Login“ die Authentifizierung per Link über den persönlichen E-Mail-Account an. Wir überlassen die Auswahl dem Nutzer.

Das One Touch Login ist aber nicht durchgängig nutzbar!

Hier befinden wir uns gerade im Rollout.”

Der zweite Vorwurf lautet, beim Erwerb der Lizenz als Zahlungsinstitut, wurden die Aufsichtsbehörden möglicherweise getäuscht. Es heißt Verimi habe nie wirklich als Zahlungsdienstleister am Markt auftreten wollen und die Lizenz nur erworben, um eine GWG-konforme Identifizierung durchführen zu können. Was ist dran an dieser Behauptung?

Wir haben niemanden getäuscht. Sofort nach dem Vorwurf haben wir uns mit Vertretern der BaFin und Bundesbank getroffen, die Sache besprochen und es wurde kein Ansatz für eine Täuschung gefunden und kein Anlass für irgendwelche Maßnahmen gesehen.

Worauf sich die Medienberichte beziehen, sind nicht etwa Lizenz-Vorgaben der BaFin, sondern unternehmensinterne Ziele, die wir uns zum Marktstart von Verimi-Pay gesetzt hatten. Dies als Täuschungsversuch zu bezeichnen, grenzt an üble Nachrede und ist geschäftsschädigend.

Die Grundbausteine einer ID-Wallet sind das Identifizieren, Authentifizieren, Unterschreiben und Bezahlen. Auch die aktuelle EU Ausschreibung für Wallet-basierte Anwendungsfälle im EU Large Scale Pilot zeigt das. Die integrierte Zahlungsfunktion macht eine Zahlungslizenz erforderlich.

Wäre es nicht geschickter gewesen, Sie hätten sich direkt auf die integrierte Zahlungsfunktion konzentriert statt vorab das „Feigenblatt“ Verimi Pay für Webshops einzurichten?

Wir sind zunächst mit den einzelnen Wallet-Bausteinen gestartet, damit sich die Prozesse der spezifischen Funktionen bewähren – alles von Beginn an zu integrieren, wäre zu komplex geworden. Nun integrieren wir die Bausteine in durchgängigen Anwendungsfällen. Dazu zählt zum Beispiel das Verimi Bank-Ident mit Referenzüberweisung oder unsere integrierte Zahlungsfunktion für den Abschluss der Golf-Protect Versicherung beim deutschen Golfverband.

Einen Ausblick auf die Zukunft gibt das i-Kfz-Verfahren für die digitale Fahrzeugzulassung, welches wir aktuell mit unseren Partnern aus der Mobilität und der Versicherungswirtschaft entwickeln. Hier kommen Identifizieren, Unterschreiben und Bezahlen in einem durchgängigen Prozess auf der Schnittstelle zwischen privaten Anbietern und öffentlichen Fachverfahren für die digitale Fahrzeugzulassung zusammen.

Verimi ist ein Identity-Anbieter, der von den Aufsichtsbehörden für die eIDAS-konforme Identifizierung das Vertrauensniveau „substantial“ erhalten hat. Diese Zertifizierung hat aber für die GWG-konforme Identifizierung keinen Wert. Daher mussten Sie sich hier den Status als Zahlungsinstitut zulegen. Bei der Identifizierung gemäß Telekomunikationsgesetz oder im Gesundheitswesen gelten wieder ganz andere Rechtsvorschriften und es sind auch andere Aufsichtsbehörden involviert. Macht dieses Silo-Denken des deutschen Gesetzgebers für die Schaffung einer einheitlichen digitalen Identität eigentlich Sinn?

Die Identity-Silos müssen harmonisiert werden, das ist klar und das wird meiner Ansicht nach jetzt auch mehr und mehr den Regulatoren klar. Mit diesen Silos kann eine weit verbreitete, einheitliche digitale Identität nicht entstehen. Daher begrüßen wir auch die Gedanken in der eIDAS 2.0 Reform. Eine digitale Identität, die auf einem hohen Sicherheitsniveau im ID-Wallet gespeichert wurde, muss für alle Anwendungsfälle der Bürger nutzbar sein. Silos kann man den Bürgern nicht vermitteln, weder für die Identifizierung noch für Authentifizierung.

In einem weiteren Punkt wird Ihnen vom CCC (Chaos Computer Club) vorgeworfen, dass es sehr einfach ist, in der App gefälschte Ausweise und Führerscheine zu hinterlegen. Was ist da dran?

Der Vorfall bei Verimi wurde offensichtlich im Rahmen einer branchenweiten Studie des CCC erzeugt, bei der grundsätzliche Risiken von Video-Ident-Verfahren beleuchtet werden sollten. Die betroffenen Anbieter werden in der eigentlichen Studie nicht benannt. Daher sind wir überrascht, dass einzig die Prüfung bei Verimi vorab durch den Autor der Studie in dieser Form öffentlich gemacht wurde. Und dies, zumal Verimi die betroffene Video-Ident Leistung nicht selbst erbringt, sondern von einem marktführenden Anbieter bezieht, was während des Ident-Prozesses bei Verimi transparent ersichtlich ist.

Die Fragen stellte Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Konkret zum Vorgang: Die betroffenen „Foto-Ident“-Prüfungen -im Kontext der CCC Studie als KI-gestütztes Video-Ident bezeichnet- führt in unserem Auftrag das Unternehmen Veriff durch, ein europaweit führender Anbieter für ID-Prüfungen und KI-gestützte Ident-Verfahren, das von großen Anbietern wie internationalen Banken, FinTechs, Verlagen und Mobilitätsanbietern genutzt wird.

Im konkreten Fall hat das Veriff-System erste Fälschungsversuche erkannt und den Betreffenden abgewiesen. Er hat dann weiter experimentiert und es mit hoher Energie nach vielfachen Versuchen geschafft, den Ident-Prozess bei Veriff mit den gefälschten Dokumenten abzuschließen und diese in der Verimi ID-Wallet zu platzieren. Sofort nach Bekanntwerden des Falls haben wir mit Veriff ein Bündel von Maßnahmen technisch umgesetzt, um künftige Fälle zu verhindern.”

Insgesamt muss man den Vorgang einordnen: Das geprüfte Verfahren von Veriff wird bei Verimi nur in Anwendungsfällen ohne regulatorisches Sicherheitsniveau eingesetzt, was auch die Abbildung in der Verimi ID-Wallet selbst umfasst. Unterschiedliche Vertrauensniveaus und damit Robustheit gegen unterschiedliche Angriffsstärken sind in den Regularien explizit definiert, z.B. in der eIDAS-Verordnung. Deshalb sind erfolgreiche Angriffe per Definition nicht komplett auszuschließen, der Empfänger der ID-Daten ist sich über die Risiken eines bestimmten Vertrauensniveaus im Klaren und bewertet diese dann für seine Anwendungsfälle. Diese Standards und Zusammenhänge sind unter allen Branchenteilnehmern hinlänglich bekannt.

Das Verimi ID-Wallet muss also verschiedene Vertrauensniveaus bedienen können und dürfen – ohne dass pauschal „gefälschte Identitäten“ skandaliert werden. Es hilft wenig, alles in einen Topf zu werfen. Stattdessen müssen wir die definierten und differenzierten Standards berücksichtigen. Ansonsten stellen wir uns alle gegenseitig ein Bein und keiner kommt voran.

Für welche Anwendungen können die mit Hilfe der „Foto-Ident“-Funktion hinterlegten Dokumente genutzt werden.

Es handelt sich z.B. um Zugänge zu Service-Portalen oder den Abschluss von Mobilitätsservices.

Die Gematik hat jetzt erst einmal entschieden, Identifizierung per Video-Identifizierung für die Telematikinfrastruktur auszusetzen. Hätte man in einem so kritischen Bereich wie der elektronischen Patientenakte (ePA) nicht schon der Gesetzgeber darauf pochen sollen, dass nur Identifizierungsverfahren zum Einsatz kommen, die auf dem Vertrauensniveau substantial liegen?

Gerade für Gesundheitsdaten muss ein größtmöglicher Schutz im neu entstehenden Ökosystem gewährleistet sein. Die digitalen Lösungen machen besonders Sinn, sobald eine große Mehrzahl an Versicherten diese nutzt – die initiale Ident-Methode darf dann natürlich keine signifikante Zugangsbarriere darstellen. Ich denke, es gibt eine Vielzahl an Silos, für die eine durchgängige Definition des Vertrauensniveaus mit einer Akzeptanz cross-sektoraler Ident- und Authent-Lösungen in einem gemeinsamen Ökosystem sehr viel Sinn macht. Den Gesundheitssektor hingegen kann ich mir persönlich auch als separat definiertes Ökosystem gut vorstellen – eben wegen des besonderen „hohen“ Schutzbedarfes der Gesundheitsdaten.

Für den digitalen Führerschein hat das Kraftfahrt-Bundesamt doch eine Schnittstelle zum Abruf entwickelt. Verimi als ID-Anbieter mit Vertrauensniveau substantial hat sich stattdessen entschieden, den Führerschein mit Hilfe eines weniger sichereren Auto-ID Verfahren zu virtualisieren. Warum?

Es würde für viele Mobility-Use Cases sehr viel Sinn machen, die Führerscheindaten direkt digital aus einem Register (z.B. beim KBA) zu verifizieren. Eine solche Schnittstelle gibt es auch, diese wurde für das in 2021 eingestellte ID-Wallet des BKamts bereitgestellt. Mit dem Verimi ID-Wallet könnten Nutzer ihre Ausweisdaten im Vertrauensniveau substanziell einsetzen, um ihre Führerscheindaten über diese Schnittstelle ganz einfach digital abzurufen.

Uns wird der Zugriff über diese Schnittstelle leider nicht ermöglicht. Somit bleibt uns für digitale Use Cases bei Mobilitätsanbietern derzeit nur die Erfassung der Führerscheindaten über Foto- oder Video-Ident Verfahren.

In der zukünftigen eIDAS 2.0 Verordnung ist übrigens derzeit angedacht, dass die EU-Mitgliedsstaaten solche Register-Schnittstellen anbieten müssen z.B. für den Zugriff durch Wallet-Anbieter wie uns. Diese EU Vorgabe würde der Effizienz in den Anwendungsfällen der Mobilitätsanbieter in Deutschland endlich den lang ersehnten Quantensprung verleihen.”

Wir sehen Silo-Regulierungen und z.B. mit eID, Smart-eID, Elster und Nutzerkonten der Länder eigene Lösungen der öffentlichen Hand auf verschiedenen Vertrauensniveaus. Private Ident-Angebote werden z.B. auf OZG-Portalen und bei Steuerbehörden so gut wie nicht akzeptiert, wichtige Schnittstellen stehen privaten Anbietern nicht offen. Förderung digitaler Infrastruktur sieht sicher anders aus. Wie lange geht das noch gut und wann übernehmen einfach wieder mal die GAFAs?

ID-Wallets sind die Zukunft, nicht Silos. Das beweisen auch die in Diskussion stehende eIDAS2.0 Regulierung und die aktuellen EU-Ausschreibungen zu Large Scale Pilots und EU Referenz-Wallet.”

Deutschland ist in der EU nicht führend. Ein Erfolgsfaktor anderer EU-Staaten sind Public-Private-Partnerschaften insbesondere in den regulierten Sektoren. Um starke Wallets in Deutschland schnell zu verankern, wäre es sicher hilfreich, die Kräfte auch hier zwischen Public & Private zu bündeln, Regulierungen entsprechend anzupassen, Vertrauensniveaus zu harmonisieren, die Silos in offene Konzepte zu überführen und die Akzeptanz geeigneter Angebote auch auf relevanten Portalen der öffentlichen Hand zu fördern. Da ist schon sehr viel Zeit im Markt und besonders für den Aufbau relevanter Angebote vor Bürgerinnen und Bürgern verloren gegangen. Mit fortschreitender europäischer Standardisierung werden die Eintrittshürden für die Wallet-Lösungen der GaFAs eher sinken. Wir arbeiten bei Verimi jeden Tag daran, hierzu relevante Gegengewichte zu etablieren.

Marktgerüchte besagen, Verimi werde mit Yes fusionieren. Ist da etwas dran und würde eine solche Fusion den Aufbau eines GAFA-Gegengewichts beschleunigen?

Zu den Marktgerüchten kann ich nichts sagen.

Generell fände ich jegliche Bündelung von Kräften sehr gut und sicherlich könnte die Deutsche Kreditwirtschaft gemeinsam mit ihren Assets eine noch stärkere Rolle in der Vertrauenskette einnehmen und damit die Entwicklung eines Ökosystems digitaler Identitäten in Deutschland signifikant voranbringen.”

Herr Adrian, vielen herzlichen Dank für das gute Gespräch.Rudolf Linsenabrth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/144418
 
 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.