SECURITY9. August 2022

Verimi und Yes: Kommt es angesichts der Datenskandale zu einer Zusammenarbeit?

Verimi

Leicht hat es die Identitätsplattform Verimi aktuell nicht. Zahlreiche Datenschutzskandale und Ungereimtheiten von unverschlüsselten Passwörtern über eine ausgehebelte Fotoident-KI bis hin zu Täuschungsvorwürfen gegenüber der BaFin kommen aktuell im Wochenrhythmus ans Licht. Und das alles passiert in einer Zeit, in der offenbar Verimi und Yes über einen Zusammenschluss verhandeln, der für die Banken ein echter Schritt nach vorne im Hinblick auf eine Plattform sein könnte, über die Verträge geschlossen und abgewickelt werden können.

Ausweisen, Dokumentieren und Bezahlen – das sind die zentralen Features, bei denen die Plattform Verimi auf der einen Seite und die etwas anders gelagerte Yes-Plattform auf der anderen Seite die Bankkunden unterstützen kann. Dabei hat sich Verimi in den Jahren seit dem Launch weg von einer reinen Login-Allianz (vergleichbar mit der Net-ID oder mit den US-Plattformen Facebook oder Google) hin zu einer umfassenden Identitätsplattform gewandelt.

Verimi und Yes – zwei gar nicht so ungleiche Partner

Einerseits also Verimi, der Identitätsdienst, auf den die diversen deutschen Großunternehmen von Lufthansa bis Telekom, von Allianz bis Volkswagen (hier die Financial Services) setzen. Und natürlich die Deutsche Bank, die Degussa Bank und die Hanseatic Bank, die als Privatbanken zum Konsortium gehören. Andererseits haben sich die Volks- und Raiffeisenbanken bei Yes eingekauft, um etwas Ähnliches zu realisieren. Doch vor allem die Sparkassen sind offenbar unzufrieden mit der Geschäftsentwicklung und könnten aussteigen wollen. Über entsprechende Rückzugspläne aus dem Yes-Projekt berichten Finance Forward und die Finanzszene. Für die verbleibenden Banken könnte es dann schwierig werden, die Plattform weiter zu betreiben und vor allem neue Features zu entwickeln.

Verimi

Auch wenn mehrere Stimmen aus unterschiedlichen Umfeldern erklären, dass solche Überlegungen im Raum stehen, gibt es seitens der DSGV offenbar keine offiziellen Verlautbarungen dazu. Unterm Strich würde ein solcher Zusammenschluss der gesamten Branche durchaus Sinn ergeben – insbesondere wenn man die Versicherungswirtschaft, die sich ja über den GDV und gebündelt über die GDV Dienstleistungs-GmbH an Verimi beteiligt hat und in Zukunft entsprechende Services vorantreiben will.

Ob und wie gut die Autorisierungsplattformen Verimi und Yes zusammenpassen könnten und zu welchen Konditionen eine Zusammenarbeit überhaupt denkbar ist, bleibt unklar. Doch Medien berichten, dass Verimi in eine mögliche gemeinsame Konstellation nur dann einzuwilligen bereit ist, wenn sie dabei die Oberhand haben. Nur ob die klare Führungsrolle in diesem Joint Venture auch dann noch denkbar ist, wenn jetzt bekannt wird, dass Verimi so einige Datenschutzprobleme und Ungereimtheiten hatte?

Wie gravierend sind die Sicherheitslücken bei Verimi?

Da ist zum einen eine Datenschutzaffäre, die wohl jahrelang unter dem Deckel blieb, aber kürzlich publik wurde. So kam vor rund Wochen durch eine Anfrage heraus, dass Verimi über mehrere Jahre Nutzernamen und Passwörter im Klartext in Logfiles gespeichert haben soll. Die betroffenen Nutzer erhielten hierüber keine oder zumindest keine rechtzeitige Information, wie es heißt.

Der neue Button.
YES

Hinzu kommen neue Vorwürfe, die Ende vergangener Woche bekannt wurden, etwa dass Verimi bei der Einführung des Bezahlprodukts „Verimi Pay“ die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) getäuscht haben soll. Wobei Täuschung relativ ist, denn offenbar wurden zwar die entsprechenden Vorgaben – fünf unterstützende Shops zum Start und 2.000 Transaktionen – erfüllt, aber teils aus den eigenen Reihen.

Entsprechende Vorwürfe der IT-Sicherheitsforscherin Lilith Wittmann, die sich auch in der Vergangenheit schon kritisch gegenüber Verimi geäußert hatte, betreffen unter anderem eine E-Mail von Verimi-Chef Roland Adrian, der die 80 Mitarbeiter des Unternehmens dazu ermunterte, aus 300 tatsächlichen Zahlungen doch durch eigene Mitwirkung der Mitarbeiter die erforderlichen 2.000 bei Verimi Pay zu machen.

Und dann sind da noch Vorwürde des IT-Sicherheitsforschers Martin Tschirsich, der darüber berichtet, dass sich das Fotoident-Verfahren rund um Verimi manipulieren lasse. Die Tweets dazu wurden ebenfalls vergangene Woche veröffentlicht. Dem Sicherheitsforscher soll es offenbar durch Täuschung der KI gelungen sein, diverse digitale Führerscheine unter verschiedenen Namen zu erstellen und sogar eine ID-Karte, laut der er die Schweizer Staatsbürgerschaft besitzt.

Verimi und die Vorwürfe: Ein Spiel mit vielen Verlierern

Bemerkenswert ist schon der zeitliche Zusammenhang, mit dem durchaus ernst zu nehmende IT-Sicherheitsexperten genau zum jetzigen Zeitpunkt gehäuft auf derartige Schwachstellen stoßen – oder gestoßen werden. Von wem und warum diese kommen, darüber darf spekuliert werden. Woher die Informationen kommen, werden die Beteiligten sicherlich nicht publik machen. Dass es Auswirkungen auf die Verhandlungen der Zukunft von Verimi (und wohl auch Yes) hat, steht allerdings außer Frage.

Problematisch wäre all das vor allem, wenn es dazu beitragen würde, dass einmal mehr die Chance auf eine deutsche Allianz für die Abwicklung digitaler Verträge und Geschäftsprozesse verspielt wird, weil den Verbrauchern vor allem der Unsicherheitsfaktor und die Schwächen in Erinnerung bleiben. Ein Spiel mit sehr vielen Verlierern ist es auf jeden Fall jetzt schon, egal wie die Verhandlungen bezüglich Verimi und Yes weiter verlaufen. Denn wenn wiederum nur eine US-amerikanische Lösung zum Zug käme, wäre das für alle Beteilgten die schlechteste Variante. tw

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/144273
 
 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.