Software-Entwicklung per “Tribe”-Struktur: Edwin de Ron über die Zukunft digitaler Identitätsverifikation

Signicat, Anbieter für digitale Identitätslösungen, will Identitäts­verifikation und elektronischen Signaturen leichter zugänglich machen. Edwin de Ron (Country Product Manager DACH bei Signicat) beleuchtet im IT-Basics-Interview die Technologie und Rolle des Unternehmens.

Herr de Ron, wer sind die Hauptkunden von Signicat? Zielen Sie auf bestimmte Branchen ab?

Unsere Kunden kommen sowohl aus regulierten als auch nicht regulierten Branchen.

Indem wir Lösungen anbieten, die den strengsten Vorschriften sowohl lokal als auch global entsprechen, können wir unsere Lösungen auf jeden Anwendungsfall anwenden, bei dem die digitale Identität einer Person in irgendeiner Weise erforderlich ist.”

Der Finanzsektor (Banken, FinTechs, Verbraucherkredite etc….) ist der Sektor, mit dem wir am häufigsten zusammenarbeiten, gefolgt von den Bereichen Telekommunikation, Personalwesen, Automobil, Versicherungen, Reisen oder eGaming im Bereich KYC, AML und Signing. Wir bieten auch digitale Identitätslösungen für Regierungen in ganz Europa.

Unsere Arbeit konzentriert sich auch auf die Entwicklung zukünftiger digitaler Identifizierungsverfahren in Europa.”

Signicat ist Mitglied in zwei Konsortien der Europäischen Kommission.

Bieten Sie Ihre Lösungen auch als White-Label-Service für Banken und Versicherungsunternehmen an? Wenn ja, wie individualisieren Sie diese für verschiedene Kunden?

Natürlich bieten wir unseren Kunden die Möglichkeit, unsere Lösungen so zu integrieren, wie sie es wünschen. Das Branding unserer Lösungen im Stil der vertrauenswürdigen Partei trägt zum Vertrauen der Endbenutzer bei und ist etwas, das unsere Kunden bevorzugen, um die Konsistenz ihrer Prozesse zu wahren. Vor kurzem haben wir mit Signicat Mint eine No-Code-Lösung auf den Markt gebracht, mit der jede Art von digitaler Identität erstellt werden kann. Auch ohne Codierung ermöglicht diese Lösung eine Personalisierung, so dass das Endergebnis das Logo und die Corporate Identity des Kunden trägt.

Wie werden die digitalen Identitäts- und Signaturlösungen bei Signicat entwickelt? Können Sie den Entwicklungsprozess beschreiben?

Der Entwicklungsprozess einer Lösung beginnt viele Monate vor ihrer Markteinführung mit einer Produktstrategie, die es uns ermöglicht, die Bedürfnisse des Marktes und unserer Kunden zu erkennen und sie durch modernste Technologie zu verwirklichen.

Wir durchlaufen einen internen Prozess, in dem die Produkt-, Technologie- und Geschäftsteams die Anwendungen und Anwendungsfälle des Produkts analysieren, bevor wir mit der Entwicklungs-, Test- und Korrekturphase beginnen.”

Schließlich wählen wir einen bestimmten Markt für einen Soft-Launch des Produkts aus, damit wir ihn problemlos iterieren und dann weltweit einführen können.

Wie entscheidet Ihr Unternehmen, welche Funktionen oder Produkte als Nächstes entwickelt werden?

Wie bereits erwähnt entwickeln wir neue Produkte auf der Grundlage von Kundenbedürfnissen, Marktinformationen und Branchentrends.

Da wir über das breiteste Portfolio an digitalen Identitätslösungen in Europa verfügen, wissen wir, wohin sich der Markt entwickelt und welche Bedürfnisse er hat.”

Darüber hinaus arbeiten wir eng mit den Regulierungsbehörden auf lokaler und europäischer Ebene zusammen, um Lücken zu identifizieren und auf der Grundlage unserer Erfahrungen zu beraten.

Nutzt Signicat traditionelle Methoden wie Wasserfall oder agile Ansätze wie Scrum oder Kanban für die Produktentwicklung?

Bei Signicat haben wir eine “Tribe”-Struktur eingeführt, die die Prinzipien der agilen Methodik berücksichtigt. Diese Philosophie ermöglicht es uns, die Zusammenarbeit und die Autonomie innerhalb unserer Teams zu fördern. Jedes Team hat die Freiheit zu wählen, ob es die Scrum- oder die Kanban-Methode anwenden möchte, je nachdem, was am besten zu seiner spezifischen Dynamik und seinen Zielen passt. Wir sind davon überzeugt, dass diese Flexibilität die Innovation fördert und es unseren Teams ermöglicht, sich effizient an die wechselnden Herausforderungen des Umfelds, in dem wir tätig sind, anzupassen und sich gleichzeitig auf die Schaffung von Werten zu konzentrieren.

Wie garantieren und testen Sie die Sicherheit und Zuverlässigkeit Ihrer Systeme?

Signicat organisiert seine Sicherheitsarbeit durch die Implementierung eines Informations­sicherheits­management­systems (ISMS), das der Norm ISO/IEC 27001:2013 folgt und zertifiziert ist. Wir verfügen über eine engagierte Sicherheits- und Qualitätsorganisation, die vom CISO von Signicat geleitet wird. Der CISO leitet und ist Teil des Information Security Board (ISB) von Signicat, dem das Top-Management aus verschiedenen Abteilungen von Signicat angehört. Um sicherzustellen, dass das ISMS in Übereinstimmung mit Best Practices funktioniert und implementiert wird, führen wir ein umfangreiches Auditprogramm durch. Signicat verwendet das ITIL-Framework, um sicherzustellen, dass wir über gute Prozesse verfügen. Diese Prozesse berücksichtigen Sicherheitsanforderungen und diese Anforderungen sind in die Prozesse integriert.

Welche Schnittstellen bietet Signicat für die Integration in Kernbanksysteme oder andere Unternehmenssysteme?

Um den unterschiedlichen Präferenzen unserer Kunden gerecht zu werden, ermöglichen wir mehrere Authentifizierungsprotokolle für unsere APIs. Die von uns unterstützten Schnittstellen sind REST API, OIDC. Darüber hinaus arbeiten wir mit Unternehmen zusammen, die sich auf die Entwicklung von Apps für Plattformen wie CRM-Systeme spezialisiert haben.

Wie stellen Sie sicher, dass Daten Identitätsprüfung und -verifizierung niemals in falsche Hände geraten?

Die Mission von Signicat ist es, Vertrauen in einer digitalen Welt aufzubauen, daher ist es selbstverständlich, dass Sicherheit in unserer DNA liegt. Ohne Sicherheit und 100% sichere Prozesse gibt es kein Vertrauen.

Natürlich haben wir interne Prozesse, um die Sicherheit unserer Prozesse zu gewährleisten, und was sensible Daten betrifft, so werden die Daten sowohl während der ‚transit‘ als auch im ‚rest‘ verschlüsselt.”

Wir führen für alle Kunden, mit denen wir zusammenarbeiten, einen sehr strengen KYB-Prozess durch und geben ihnen über ein einzigartiges Authentifizierungssystem Zugriff auf unsere APIs.

Wie stellt Signicat sicher, dass seine Lösungen stets den aktuellen rechtlichen Anforderungen genügen, selbst wenn diese geändert werden? (z. B. eIDAS 2.0)

Die Wahrheit ist, dass wir uns aktiv an Arbeitsgruppen beteiligen, die sich mit europäischen Vorschriften befassen. Unser Tribe Leader Electronic Signing ist bei ETtsi und gestaltet die Zukunft von Standards rund um die digitale Identität, die europäische Vorschriften wie eIDAS oder AML beeinflussen.
ETSI ist eine europäische Normungsorganisation (ESO). Sie sind das anerkannte regionale Normungsgremium, das sich mit Telekommunikations-, Rundfunk- und anderen elektronischen Kommunikationsnetzen und -diensten befasst.
Ebenso ist Signicat Mitglied von zwei Konsortien, die von der Europäischen Kommission ausgewählt wurden, um an den EU Digital Identity Wallet Large Scale Pilots (LSP) teilzunehmen.

Diese beiden groß angelegten Pilotprojekte, EBR (EUDI Wallet Konsortium) und NOBID (Nordic-Baltic eID Project), werden sich darauf konzentrieren, die Zukunft des grenzüberschreitenden Reisens, des Zahlungsverkehrs, der damit verbundenen Daten und Vertrauensdienste in Verbindung mit der EU-Wallet für digitale Identitäten zu erleichtern.”

Die Zukunft der digitalen Identität und ihrer Anwendungen ist etwas, das uns sehr bewegt und natürlich ein Thema, zu dem wir aufgrund unserer Expertise viel beitragen können. Unser Know-how kann auf so viele Branchen und Anwendungsfälle angewendet werden, wie wir uns vorstellen können. Wir sind Datenverarbeiter für unseren Kunden, der der Datenverantwortliche ist.

Welche Technologien sehen Sie als zukunftsträchtig für den Bereich der digitalen Identität und elektronischen Signaturen?

Nun, um an das anzuknüpfen, was ich oben gesagt habe: natürlich die Wallets.

Wir sind der Meinung, dass die EU Wallets viele Möglichkeiten für Regierungen, Unternehmen und Bürger in ganz Europa bieten, und wir hoffen, dass dies bald in Arbeit sein wird, da sie sowohl auf nationaler als auch auf europäischer Ebene viele Anwendungen haben.”

Im Einklang mit der europäischen eIDAS-Verordnung ist einer der Ansätze, die wir in vielen Ländern Europas sehen, das Onboarding von Kunden durch asynchrone Videoidentifikation und qualifizierte elektronische Signatur: ein Verifizierungs- und Signaturprozess, der in Kombination das Sicherheitsniveau und die Gewissheit von Angesicht zu Angesicht übertrifft. Schließlich glauben wir bei Signicat fest daran, dass die passwortlose Authentifizierung in Zukunft aus Sicherheitsgründen gestärkt wird.
Deshalb freuen wir uns auch sehr, dass die Bundesregierung die Schaufenster-Projekte zur Erforschung und Entwicklung digitaler Identitäten auf Basis von Wallets und überprüfbaren Nachweisen unterstützt. Signicat beteiligt sich als Issuer von Verifiable Credentials am Schaufenster-Projekt Sichere Digitale Identitäten Karlsruhe.

Wir glauben auch, dass Open-Banking-Lösungen in naher Zukunft gerade in Deutschland viel dazu beitragen können, den Zugang zu bestimmten Dienstleistungen des Finanzsektors zu erleichtern und zu demokratisieren.”

Wie unterscheidet sich der deutsche Markt aus Ihrer Sicht?

Der deutsche Markt befindet sich im Umbruch: Einige Technologien, die seit Jahren im Einsatz sind und damals den Stand der Technik darstellten, werden von den Bürgern als veraltet angesehen, wie z.B. die Identitätsprüfung per Videokonferenz. Es ist interessant zu sehen, wie der Markt von neuen technologischen Entwicklungen profitieren kann, die einerseits die Erfahrungen der Endnutzer verbessern und andererseits die Digitalisierung sowohl der Unternehmen als auch der öffentlichen Verwaltung beschleunigen. Wenn es eine Sache gibt, die uns COVID19 gebracht hat und die uns auch weiterhin begleiten wird, dann ist es der Bedarf an zunehmend digitalen, sicheren und schnellen Diensten.

Bei der digitalen Identität geht es nicht nur um Identitätsprüfung, Authentifizierung oder elektronische Signaturen, sondern sie hat so viele Anwendungsmöglichkeiten, wie es Bedürfnisse gibt.”

Eine vertrauenswürdige digitale Welt braucht eine vertrauenswürdige digitale Identität. In Deutschland ist der “neue Personalausweis” eine solche vertrauenswürdige elektronische Identität. Die deutsche Regierung könnte der Digitalisierung einen Schub geben, indem sie Bürger und Organisationen über die Nutzung und die Vorteile aufklärt. Wir haben ein Henne-Ei-Problem zu lösen:

Wenn die Nutzer mehr Situationen sehen, in denen sie den nPA nutzen und von seinen Vorteilen profitieren können, werden sie investieren, um zu verstehen, wie der nPA funktioniert.”

Eine Studie, die wir in Auftrag gegeben haben, um den Return on Investment bei der Implementierung unserer Lösungen zu messen, hat uns vor relativ kurzer Zeit sehr gute Ergebnisse gebracht. Unter anderem Unternehmen aus der Finanzbranche bewegen sich in einem sehr wettbewerbsintensiven Umfeld, wenn es um die digitale Welt geht.

Die Notwendigkeit, sichere, schnelle und benutzerfreundliche Prozesse anzubieten, ist eine Selbstverständlichkeit.”

Effizienter zu sein, in mehr als einem Land gleichzeitig zu skalieren und gleichzeitig die lokalen AML-Gesetze sowie Betrüger im Auge zu behalten, sind einige der Herausforderungen, mit denen unsere Kunden heute konfrontiert sind. Sie brauchen digitale Lösungen, die gleichzeitig auf ihre Probleme reagieren.

Herr de Ron, vielen Dank für das Interview! Edwin de Rob, Signicat