Neue Richtlinien zur Video-Identifikation der Banken

Ab 15. Juni 2017 wird die Video-Identifikation noch sicherer, denn dann tritt das neue „BaFin-Rundschreiben 3/2017 zum Videoidentifizierungsverfahren“ in Kraft. Darin hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Anfang April neue Standards für das etablierte Verfahren zur Kunden-Legitimation per Video-Chat festgelegt. In Zukunft wird es beispielsweise zur Pflicht, den gesamten Ident-Vorgang durchgängig auf Video aufzuzeichnen, um ihn im Nachhinein jederzeit überprüfen zu können. Weitere Anforderungen liegen unter anderem in der Ende-zu-Ende-Verschlüsselung der Video-Identifikation und der Prüfung weiterer Sicherheitsmerkmale.

In der Branche wurde das neue BaFin-Rundschreiben positiv aufgenommen, da es die Video-Identifikation bestätigt und deren Sicherheit weiter erhöht, ohne dabei die Nutzerfreundlichkeit einzuschränken. Außerdem hat es mit einigen kritischen Punkten aufgeräumt, die das Verfahren einzugrenzen drohten.

Erfahrungsgemäß ist die Online-Legitimation ein sicheres und nachvollziehbares Verfahren zur Kundenidentifizierung außerhalb von Bank-Filialen. Mit den neuen Vorgaben dauert der Identifikationsvorgang zwar etwas länger, aber das ist ein akzeptabler Preis für noch mehr Sicherheit und Transparenz. Die Nutzerfreundlichkeit wird nicht beeinträchtigt.”

Thorsten Höche, Chefjustiziar Bankenverband

Video-Ident mit Skype und iChat in Zukunft nicht mehr erlaubt

Im Einzelnen treten durch das BaFin-Rundschreiben folgende technische und organisatorische Neuerungen in Kraft:

• Video-Aufzeichnung: Der gesamte Identifikationsvorgang ist künftig in akustischer und visueller Form aufzuzeichnen und aufzubewahren. Damit werden durchgängige Video-Aufnahmen Pflicht. Aufzeichnungen in Form von Serienbildern oder Screenshots reichen laut BaFin nicht aus, da sie nicht gewährleisten, dass alle Einzelschritte korrekt dokumentiert werden. Die Aufnahmen müssen mindestens fünf Jahre lang nach Beendigung der Geschäftsbeziehung gespeichert werden. So wird die einzelne Identifizierung im Falle einer Revision oder Kontrolle der BaFin nachvollziehbar. Ein Datenschutz-Konflikt entsteht laut BaFin dadurch nicht, da es § 8 GwG erlaubt, den Prozess vollständig und dauerhaft auch ohne Schwärzung von Ausweisteilen aufzuzeichnen. Dadurch erhöht sich das Datenvolumen pro Identifikationsvorgang auf rund 10 MB, was von den Banken und Ident-Anbietern entsprechende Serverkapazitäten zur Speicherung der Aufnahmen und Ident-Informationen verlangt.
• Ende-zu-Ende-Verschlüsselung: Die Kommunikation zwischen Nutzer und Ident-Spezialist muss über eine Ende-zu-Ende-Verschlüsselung und mit mindestens 2.048 Bit laufen. Dienste wie Skype oder iChat und Verbindungen mit geringerer Verschlüsselung sind damit in Zukunft nicht mehr erlaubt. Das ist wohl für manche Banken die ihre Kunden in der Vergangenheit auf der Basis von Skype identifiziert haben, die wichtigste Neuerung. Grundlage dafür sind die Empfehlungen der Technischen Richtlinie TR-02102 des Bundesamts für Sicherheit in der Informationstechnik (BSI) und die Anforderungen an kryptographische Verfahren.
• Sichtprüfung von Sicherheitsmerkmalen: Künftig ist eine zufällige Auswahl von drei Sicherheitsmerkmale aus verschiedenen Kategorien zu überprüfen, die im Weißlicht erkennbar sind. Dazu zählen beispielsweise die Hologramme, das Laserkippbild und der Sicherheitsdruck des Ausweises. Um Manipulationen entgegenzuwirken, müssen die Ident-Spezialisten die Sichtprüfung mit Hilfe ausschnittvergrößerter Standbilder durchführen. Dafür ist es wichtig, hochaufgelöste Bilder zu erzeugen, um mühelos Sicherheitsmerkmale wie die Guillochen-Strukturen und Mikroschriften zu erkennen. Ausweisdokumente, die die geforderten Sicherheitsmerkmale nicht aufweisen, sind künftig daher nicht mehr zur Legitimation zugelassen.

Neu sind außerdem eine automatisierte Gültigkeits- und Plausibilitätsprüfung der Ausweisdaten, die Bewegung des Ausweises vor der Kamera und die Bestätigung des Anlasses der Identifikation. Weitere Vorgaben betreffen Schulungsmaßnahmen und -zyklen der Ident-Spezialisten, die jedoch keine wesentlichen Änderungen zum bisherigen Vorgehen darstellen.

Banken müssen jetzt ihre Prozesse anpassen

Der Ident-Experte IDnow stand im Vorfeld des BaFin-Rundschreibens 3/2017 (GW) in enger Abstimmung mit den entscheidenden Gremien. „Wir waren im Rahmen einer technischen Arbeitsgruppe an der Erarbeitung der neuen Maßnahmen beteiligt“, sagt Managing Director Armin Bauer. „Viele der neuen Vorgaben setzen wir bereits seit dem Start von IDnow Video-Ident ein. So haben wir eine patentierte Software entwickelt, über die wir hochaufgelöste Bilder erzeugen können. Gerade mit den erhöhten Anforderungen wird diese Technologie wichtiger denn je, um die Guillochen zu prüfen.“

In Deutschland ist seit 2014 die rechtssichere Legitimation von Kunden per Video-Chat möglich, um etwa online ein Bankkonto zu eröffnen. Am 15. Juni 2017 treten die neuen Regelungen in Kraft. Hier finden Sie das komplette „BaFin-Rundschreiben 3/2017 zum Videoidentifizierungsverfahren“. tw