Authentifizierung mit dem Mobiltelefon

Zahlreiche Branchen und Firmen haben die Notwendigkeit in ihren elektronischen Geschäftsprozessen den Kunden zweifelsfrei zu authentifizieren, also einen Nachweis über eine behauptete Eigenschaft wie beispielsweise der Volljährigkeit zu führen. In der Regel erfordert dieser Nachweis einen Bruch in der elektronischen Kommunikation weil entweder der Ausweis im persönlichen Kontakt geprüft werden muss, die Identität und Volljährigkeit über ein eigenhändiges Einschreiben usw. nachgewiesen werden muss.

Banken, Glücksspielunternehmen, Versicherungen und generell eCommerce-Firmen mit dieser Erfordernis sind deshalb permanent auf der Suche nach einem möglichst prozesseffizienten und bruchstellenfreien Verfahren zur elektronischen Authentifizierung von natürlichen Personen.

Ein Weg dorthin wurde bereits vor Jahren mit der Einführung des neuen Personalausweises (nPA) vorgezeichnet. Dieser löst durch den hoheitlichen Anspruch und die ubiquitäre Vergabe an jeden volljährigen Bundesbürger eigentlich die Achillesferse aller sonstigen Verfahren (u.a. die von der KJM zugelassenen Verfahren zu geschlossenen Benutzergruppen) und bedarf auch keiner weiteren Genehmigung/Erlaubnis durch Behörden. Unglücklicherweise war das an sich vielversprechende Konzept in den Jahren seit seiner Einführung von unzureichender Software, mangelnder Verbreitung seitens der Ausgabebehörden, technischen Inkompatibilitäten usw. gekennzeichnet und geplagt. Im Ergebnis hat sich deshalb der nPA noch nicht in der BRD durchgesetzt, obwohl er unbestreitbare Vorteile für die elektronischen eCommerce-Prozesse hätte:

  • Abbildung der Prozessschritte Identifizierung und Authentifizierung
  • Prinzipiell bei jedem Bundesbürger verfügbar
  • Gesetzliche geregelte Akzeptanzpflicht
  • Elektronische Schnittstellen und API

Durch die zunehmende Nutzung von mobilen elektronischen Endgeräte hat sich der an sich schon bestehende Bedarf noch weiter zugespitzt, da hier der Schnittstellenbruch noch deutlicher zutage tritt. Zudem ist bislang keine Ausweis-App für diese Geräte verfügbar noch lässt sich der bislang obligatorische Kartenleser an diese Geräte anbringen.

Befindet sich die Entwicklung nun damit in der Sackgasse? Nun, lange sah es so aus und die Bemühungen um den nPA waren im Behördendschungel verschwunden.

Aber Tradition hat in Deutschland auch, dass die Firmen und Institutionen, welche sich mit dem nPA auseinandersetzen, jedes Jahr auf der deutschen IT-Leitmesse CeBit ihre hoffnungsvollen Projekte rund um diese Infrastruktur präsentieren und alljährlich den Durchbruch heraufbeschwören. So auch anlässlich der diesjährigen CeBit 2015. Link.  Zumeist beleuchten die auf der CeBit vorgestellten Initiativen und Produkte Teilbereiche einer vernünftigen nPA-Infrastruktur und haben zumindest den Anschein, dass sie mitunter primär zur Rechtfertigung der in sie verwendeten Forschungsgelder dienen.

Die Präsentation des Produktes SECCO (Secure Call Authentication) durch Authada hat aber offenbar das Potenzial, das oben beschriebene praxisrelevante Dilemma der elektronischen Authentifizierung elegant zu lösen. Dies scheint dadurch möglich, dass der bislang nötige Smart-Card-Reader durch die NFC-Funktion von modernen Smartphones ersetzt wird und die Ausweis-App durch eine entsprechende App von Authada. Im Ergebnis wird über das Smartphone ein Telefonat geführt, bei dem gleichzeitig die vom nPA gelieferte Identität mit übertragen wird. Ein separates Lesegerät ist nicht erforderlich. Lediglich die mit dem nPA verknüpfte PIN muss offenbar eingegeben werden.

Auf den ersten Blick scheint dieses Konzept die zahlreichen Schwachstellen und Hürden bisheriger Konzepte zu vermeiden und einen intelligenten Einsatz des nPA zu ermöglichen. Es bleibt zu hoffen, dass sich dieses oder ähnliche Konzepte durchsetzt, um der elektronische Authentifizierung endlich zum Durchbruch verhelfen.

 

Update: 21. April 2015

Das Münchner Start-up IDNow verbindet bekannte Technologien zu einem neuen Service und ergänzt es mit innovativen Technik zur Erkennung der ID-Card (Personalausweis) per Video-Chat und Call-Center-Mitarbeiter.

Weiterführende Quellen und Informationen

André M Bajorat

Der Kampf um unsere Identitäten Artikel

Payment and Banking, 2017.

Abstract | Links | BibTeX

Volker Weber

BSI veröffentlicht Mindeststandard für Mobile Device Management Artikel

heise.de, 2017.

Abstract | Links | BibTeX

Andreas Wilkens

Deutsche Konzerne bauen Datenplattform gegen Google & Co Artikel

heise.de, 2017.

Abstract | Links | BibTeX

Marc Störing

Der digitale Federkiel - Potenzial der eIDAS-Verordnung wird unterschätzt Artikel

c't, 10 (10), S. 148..150, 2017.

Abstract | BibTeX

Andrea Schmits

Sounds provide a safer login Artikel

ETH Zürich, 2017.

Abstract | Links | BibTeX

Alexander Mühlauer

EU-Bankenaufsicht blockiert strengere Regeln bei Online-Zahlungen Artikel

Süddeutsche Zeitung, 2017.

Abstract | Links | BibTeX

Stefan Krempl

Bundestag: E-Signatur oder De-Mail sollen Unterschrift beim Amt vielfach ersetzen Artikel

heise.de, 2017.

Abstract | Links | BibTeX

Peter Beckschäfer

Authentifizierung per Sprachbiometrie: Sogar Zwillinge ließen sich unterscheiden Artikel

IT Finanzmagazin, 2017.

Abstract | Links | BibTeX

Bundesministerium der Finanzen

Referentenentwurf eines Gesetzes zur Umsetzung der aufsichtsrechtlichen Vorschriften der Zweiten Zahlungsdiensterichtlinie (Zahlungsdiensteumsetzungsgesetz – ZDUG).

2016.

Abstract | Links | BibTeX

Detlef Borchers

Elektronische Signaturverordnung eIDAS ist gestartet – wie geht es weiter? Artikel

heise.de, 2016.

Abstract | Links | BibTeX

Danny Bluestone

Key trends in online identity verification (so everybody knows you're a dog) Artikel

Econsultancy, 2016.

Abstract | Links | BibTeX

Hanna Maier

Die Kunden erkennen Artikel

Süddeutsche.de, 2015.

Abstract | Links | BibTeX

Europäische Union

Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG Artikel

EUR-Lex, 2014.

Links | BibTeX

Europäische Union

Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG Artikel

EUR-Lex, 2014.

Links | BibTeX

Homepage IDNow

0000.

Links | BibTeX

Jürgens & Ulbrich GbR, Radickestr. 28, 21079 Hamburg

Nect ID

0000.

Abstract | Links | BibTeX