Mehr Transparenz und Sicherheit bei Video-Identifikation

Es wird dann verpflichtend, den gesamten Ident-Vorgang durchgängig auf Video aufzunehmen, um diesen jederzeit über- und nachprüfen zu können. Weitere Anforderungen liegen unter anderem in der Ende-zu-Ende-Verschlüsselung der Video-Identifikation und der Prüfung weiterer Sicherheitsmerkmale.

Der Ident-Experte IDnow hat die wichtigsten Neuerungen zusammengefasst.

In Deutschland ist seit 2014 die rechtssichere Legitimation von Kunden per Video-Chat möglich, um etwa online ein Bankkonto zu eröffnen. In der Branche wurde das neue BaFin-Rundschreiben positiv aufgenommen, da es die Video-Identifikation bestätigt und deren Sicherheit weiter erhöht, ohne dabei die Nutzerfreundlichkeit einzuschränken. Außerdem hat es mit einigen kritischen Punkten aufgeräumt, die das Verfahren einzugrenzen drohten.

Thorsten Höche, Mitglied der Geschäftsführung und Chefjustiziar vom Bankenverband über das neue Rundschreiben:

„Erfahrungsgemäß ist die Online-Legitimation ein sicheres und nachvollziehbares Verfahren zur Kundenidentifizierung außerhalb von Bank-Filialen. Mit den neuen Vorgaben dauert der Identifikationsvorgang zwar etwas länger, aber das ist ein akzeptabler Preis für noch mehr Sicherheit und Transparenz. Die Nutzerfreundlichkeit des Verfahrens wird dadurch nicht weiter beeinträchtigt.“

Zu den wichtigsten technischen und organisatorischen Neuerungen des BaFin-Rundschreibens 3/2017 (GW)- Videoidentifizierungsverfahren gehören:

Video-Aufzeichnung: Der gesamte Identifikationsvorgang ist künftig in akustischer und visueller Form aufzuzeichnen und aufzubewahren. Damit werden durchgängige Video-Aufnahmen Pflicht. Aufzeichnungen in Form von Serienbildern oder Screenshots reichen laut BaFin nicht aus, da sie nicht gewährleisten, dass alle Einzelschritte dokumentiert werden. Die Aufnahmen müssen mindestens fünf Jahre lang nach Beendigung der Geschäftsbeziehung gespeichert bzw. archiviert werden. So wird die einzelne Identifizierung im Falle einer Revision oder Kontrolle der BaFin nachvollziehbar.

Ein Datenschutz-Konflikt entsteht laut BaFin dadurch nicht, da es der § 8 GwG erlaubt, den Prozess vollständig und dauerhaft auch ohne Schwärzung von Ausweisteilen aufzuzeichnen. Dadurch erhöht sich das Datenvolumen pro Identifikationsvorgang auf rund 10 MB, was von den Banken und Ident-Anbietern entsprechende Serverkapazitäten zur Speicherung der Aufnahmen und Ident-Informationen verlangt.

Ende-zu-Ende-Verschlüsselung: Die Kommunikation zwischen Nutzer und Ident-Spezialist muss über eine Ende-zu-Ende-Verschlüsselung und mit mindestens 2.048 Bit laufen. Dienste wie Skype oder iChat und Verbindungen mit geringerer Verschlüsselung sind damit nicht mehr erlaubt. Grundlage dafür sind die Empfehlungen der Technischen Richtlinie TR-02102 des Bundesamts für Sicherheit in der Informationstechnik (BSI) und die Anforderungen an kryptographische Verfahren.

Sichtprüfung von Sicherheitsmerkmalen: Künftig ist eine zufällige Auswahl von drei Sicherheitsmerkmalen aus verschiedenen Kategorien zu überprüfen, die im Weißlicht erkennbar sind. Dazu zählen beispielsweise die Hologramme, das Laserkippbild und der Sicherheitsdruck des Ausweises. Um Manipulationen entgegenzuwirken, müssen die Ident-Spezialisten die Sichtprüfung mithilfe ausschnittsvergrößerter Standbilder durchführen. Dafür ist es wichtig, hochaufgelöste Bilder zu erzeugen, um mühelos Sicherheitsmerkmale wie die Guillochen-Strukturen und Mikroschriften zu erkennen. Ausweisdokumente, die die geforderten Sicherheitsmerkmale nicht aufweisen, sind künftig nicht mehr zur Legitimation zugelassen.

Neu sind außerdem eine automatisierte Gültigkeits- und Plausibilitätsprüfung der Ausweisdaten, die Bewegung des Ausweises vor der Kamera und die Bestätigung des Anlasses der Identifikation. Weitere Vorgaben betreffen Schulungsmaßnahmen und -zyklen der Ident-Spezialisten, die jedoch keine wesentlichen Änderungen zum bisherigen Vorgehen darstellen.

Der Ident-Experte IDnow stand im Vorfeld des BaFin-Rundschreibens 3/2017 (GW) in enger Abstimmung mit den entscheidenden Gremien.

Der Managing Director Armin Bauer erläutert:

„Wir waren im Rahmen einer technischen Arbeitsgruppe an der Erarbeitung der neuen Maßnahmen beteiligt. Viele der neuen Vorgaben setzen wir bereits seit dem Start von IDnow Video-Ident ein. So haben wir eine patentierte Software entwickelt, über die wir hochaufgelöste Bilder erzeugen können.

Gerade mit den erhöhten Anforderungen wird diese Technologie wichtiger denn je, um die Guillochen zu prüfen. Außerdem erleichtern wir Banken die Umsetzung der neuen Anforderungen, indem wir ihnen ausreichend Speicherplatz für die geforderten Video-Aufnahmen auf firmeneigenen Servern in Deutschland anbieten.“

Michael Sittek, Managing Director von IDnow, fügt hinzu:

„Unser neuer Prozess wurde der BaFin zur Prüfung vorgelegt. Sie hat schriftlich bestätigt, dass alle Prozessschritte der IDnow-Lösung den Anforderungen des Rundschreibens 3/2017 (GW) entsprechen. Unsere Ident-Spezialisten haben wir darauf geschult, den neuen Vorgang so umzusetzen, dass die Identifikation für die Endkunden weiterhin schnell und einfach bleibt."

Bild: © Brian Jackson / fotolia.com