Verimi: Diese Single-Sign-on-Lösung bringt Bewegung in den Markt

Eine datenschutzfreundliche Single-Sign-on-Lösung als Alternative beispielsweise zum Facebook-Log-in oder zu anderen proprietären Lösungen soll mit Verimi geschaffen werden. Das System, hinter dem eine Gesellschaftergruppe großer Unternehmen steht, soll den europäischen Nutzern eine Datenplattform bieten, bei der sie ihre Daten sicher hinterlegen und bei unterschiedlichen Online-Diensten einsetzen können.

Das Gesellschafterkonsortium besteht unter anderem aus Allianz, Deutsche Bank, Deutsche Telekom, Giesecke + Devrient und Lufthansa. Das Start-up mit Sitz in Berlin ist mit 50 Mio. Euro ausgestattet und beschäftigt rund 30 fest angestellte Mitarbeiter sowie etwa 50 weitere, die aus dem Gesellschafterkreis kommen.

Zunächst wird deutschlandweit ein Basisprodukt (Minimum Viable Produkt) gelauncht. Als erste Verimi-Nutzer sind die Deutsche Bank und die Bundesdruckerei dabei. Der grüne Button ist damit für die Online-Kunden der Deutschen Bank und die Kunden der Bundesdruckerei live geschaltet. In Zukunft soll es mit Verimi möglich sein, digitale Zahlungen über eine qualifizierte digitale Signatur auszuführen. Auch ansonsten ist die Zahl der möglichen Anwendungen groß und wird in Zukunft sicher noch anwachsen:

Der Start der Plattform ist ein wichtiger Meilenstein in der Geschichte von Verimi und für die Digitalwirtschaft in Europa. Wir sind jetzt mit unserem Verimi-System live, stufenweise binden wir in den nächsten Wochen und Monaten weitere Gesellschafter und Anwendungspartner an. Uns war es wichtig, jetzt mit der Plattform unter realen Bedingungen live zu gehen.”

Donata Hopfen, CEO bei Verimi

Parallel ist mit Weltsparen, Compaio und Docyet ein ausgewählter Kreis von Start-ups angebunden, die von Beginn an die Entwicklung aktiv begleitet haben. Ziel ist es, nach dem Start der Plattform diese zügig mit neuen Produktfeatures auszustatten und die Reichweite schrittweise zu erweitern. Neben dem Single-Sign-on ist das Video-Ident-Verfahren von Beginn an Teil des Produktes, bei dem man nach eigener Aussage vor allem auf die strikte Einhaltung der europäischen Datenschutzanforderungen (auch über die DSGVO hinausgehend) Wert legt.

Bezahldienst und Dokumentenarchivierung sollen integriert werden

Dabei können sich Nutzer mit Hilfe ihres Personalausweises oder Reisepasses direkt online legitimieren. Weitere Funktionen kommen sukzessive dazu, zum Beispiel die qualifizierte elektronische Signatur nach eIDAS, Bezahldienste, das Hochladen und das Archivieren sensibler Dokumente sowie Funktionalitäten für Personaldokumente. Verimi ermöglicht damit in Zukunft auch so genannte digitale Behördengänge, also beispielsweise die sichere Identifikation und Authentifizierung mit Bürgerportalen.

Für Banken und Versicherungen könnte die zentrale Single-Sign-on-Lösung tatsächlich ein Schritt in die richtige Richtung sein. Hat das System erst einmal einen größeren Kundenstamm gefunden, so dass ein De-Facto-Standard geschaffen ist, könnte das zu einer höheren Akzeptanz und zu mehr Vertrauen gegenüber entsprechenden Online-Anwendungen, bei denen es auf Diskretion ankommt, führen.

Nur der vertrauenswürdige Umgang mit den Daten der Kunden öffnet dauerhaft die Tür zu digitalen Geschäftsmodellen. VERIMI geht als offene Plattform jetzt voran und wir laden alle deutschen und europäischen Unternehmen ein, sich uns anzuschließen.”

Markus Pertlwieser, Digitalchef für Privat- und Firmenkunden der Deutschen Bank

Das Verimi-System ist als zentrale und branchenübergreifende Plattform konzipiert. Nutzer registrieren sich einmalig und können danach die digitalen Services und Produkte der angebundenen Partner nutzen. Darüber hinaus bietet Verimi für Nutzer die einfache Möglichkeit, bereits hinterlegte Kundendaten auf die Plattform zu übertragen. Wesentlicher Vorteil ist dabei, dass Nutzer die volle Kontrolle über ihre eigenen Daten behalten. Über Einstellungen auf der Plattform können sie selbst bestimmen, welche persönlichen Daten welcher Partner erhalten soll und welche im Konto verbleiben. Einmal erteilte Genehmigungen können jederzeit widerrufen werden. Verimi ist im ersten Release als zentrale Plattform konzipiert, wird jedoch bei entsprechendem Reifegrad der Technologien auf ein dezentrales Modell umgestellt.

Für Partnerunternehmen bedeutet die Integration von VERIMI eine sichere und einfache Möglichkeit, Kunden im Einklang mit der Datenschutz-Grundverordnung (DSGVO) digital anzusprechen und zu binden. VERIMI liefert zudem sichere Identitäten an die angebundenen Partner, was zu weniger Abbrüchen bei Transaktionen und zu geringeren Zahlungsausfällen führt. Zudem gewinnt VERIMI kontinuierlich neue Partner und Kunden und steigert damit Reichweite und Relevanz der Plattform. VERIMI ist als eine für alle Branchen und Industrien offene Plattform entwickelt, die es Unternehmen leicht macht, die grünen VERIMI-Button über die API-Schnittstelle bequem in bestehende Online-Angebote zu integrieren.

Datensicherheit auf höchstem Niveau

Die technischen Details wirken überzeugend: Die offene Plattform, die von den Anwendungspartnern auf Basis von Standard-Protokollen wie OAuth und OpenID Connect in Websites und Apps eingebunden werden kann, unterstützt zukünftig alle vier Authentifizierungsstufen (LoA 1-4) nach ISO-Standard, startend mit dem einfachen Log-in und der Bestätigung eines zweiten Faktors (z.B. Zahlencode via SMS). Die höheren Stufen drei und vier werden in enger Zusammenarbeit mit der Bundesdruckerei bis zum Ende des Jahres bereitgestellt: durch den Einsatz des Personalausweises oder dem Einsatz mobiler Identifikationslösungen auf dem Handy.

Die Architektur sorgt zusätzlich dafür, dass Kundendaten auf mehreren Ebenen geschützt werden. So werden beispielsweise sämtliche Nutzer-Konten wie auch die hinterlegten Daten in den Konten individuell verschlüsselt. Damit wären die Nutzerdaten selbst bei einem unerlaubten Eindringen in die Systeme sicher. Verimi erfüllt somit die hohen Datenschutz- und Sicherheitsanforderungen der Europäischen Union, einschließlich der im Mai in Kraft tretenden Datenschutz-Grundverordnung (DSGVO).tw