Authentifizierung mit dem Mobiltelefon

Zahlreiche Branchen und Firmen haben die Notwendigkeit in ihren elektronischen Geschäftsprozessen den Kunden zweifelsfrei zu authentifizieren, also einen Nachweis über eine behauptete Eigenschaft wie beispielsweise der Volljährigkeit zu führen. In der Regel erfordert dieser Nachweis einen Bruch in der elektronischen Kommunikation weil entweder der Ausweis im persönlichen Kontakt geprüft werden muss, die Identität und Volljährigkeit über ein eigenhändiges Einschreiben usw. nachgewiesen werden muss.

Banken, Glücksspielunternehmen, Versicherungen und generell eCommerce-Firmen mit dieser Erfordernis sind deshalb permanent auf der Suche nach einem möglichst prozesseffizienten und bruchstellenfreien Verfahren zur elektronischen Authentifizierung von natürlichen Personen.

Ein Weg dorthin wurde bereits vor Jahren mit der Einführung des neuen Personalausweises (nPA) vorgezeichnet. Dieser löst durch den hoheitlichen Anspruch und die ubiquitäre Vergabe an jeden volljährigen Bundesbürger eigentlich die Achillesferse aller sonstigen Verfahren (u.a. die von der KJM zugelassenen Verfahren zu geschlossenen Benutzergruppen) und bedarf auch keiner weiteren Genehmigung/Erlaubnis durch Behörden. Unglücklicherweise war das an sich vielversprechende Konzept in den Jahren seit seiner Einführung von unzureichender Software, mangelnder Verbreitung seitens der Ausgabebehörden, technischen Inkompatibilitäten usw. gekennzeichnet und geplagt. Im Ergebnis hat sich deshalb der nPA noch nicht in der BRD durchgesetzt, obwohl er unbestreitbare Vorteile für die elektronischen eCommerce-Prozesse hätte:

  • Abbildung der Prozessschritte Identifizierung und Authentifizierung
  • Prinzipiell bei jedem Bundesbürger verfügbar
  • Gesetzliche geregelte Akzeptanzpflicht
  • Elektronische Schnittstellen und API

Durch die zunehmende Nutzung von mobilen elektronischen Endgeräte hat sich der an sich schon bestehende Bedarf noch weiter zugespitzt, da hier der Schnittstellenbruch noch deutlicher zutage tritt. Zudem ist bislang keine Ausweis-App für diese Geräte verfügbar noch lässt sich der bislang obligatorische Kartenleser an diese Geräte anbringen.

Befindet sich die Entwicklung nun damit in der Sackgasse? Nun, lange sah es so aus und die Bemühungen um den nPA waren im Behördendschungel verschwunden.

Aber Tradition hat in Deutschland auch, dass die Firmen und Institutionen, welche sich mit dem nPA auseinandersetzen, jedes Jahr auf der deutschen IT-Leitmesse CeBit ihre hoffnungsvollen Projekte rund um diese Infrastruktur präsentieren und alljährlich den Durchbruch heraufbeschwören. So auch anlässlich der diesjährigen CeBit 2015. Link.  Zumeist beleuchten die auf der CeBit vorgestellten Initiativen und Produkte Teilbereiche einer vernünftigen nPA-Infrastruktur und haben zumindest den Anschein, dass sie mitunter primär zur Rechtfertigung der in sie verwendeten Forschungsgelder dienen.

Die Präsentation des Produktes SECCO (Secure Call Authentication) durch Authada hat aber offenbar das Potenzial, das oben beschriebene praxisrelevante Dilemma der elektronischen Authentifizierung elegant zu lösen. Dies scheint dadurch möglich, dass der bislang nötige Smart-Card-Reader durch die NFC-Funktion von modernen Smartphones ersetzt wird und die Ausweis-App durch eine entsprechende App von Authada. Im Ergebnis wird über das Smartphone ein Telefonat geführt, bei dem gleichzeitig die vom nPA gelieferte Identität mit übertragen wird. Ein separates Lesegerät ist nicht erforderlich. Lediglich die mit dem nPA verknüpfte PIN muss offenbar eingegeben werden.

Auf den ersten Blick scheint dieses Konzept die zahlreichen Schwachstellen und Hürden bisheriger Konzepte zu vermeiden und einen intelligenten Einsatz des nPA zu ermöglichen. Es bleibt zu hoffen, dass sich dieses oder ähnliche Konzepte durchsetzt, um der elektronische Authentifizierung endlich zum Durchbruch verhelfen.

 

Update: 21. April 2015

Das Münchner Start-up IDNow verbindet bekannte Technologien zu einem neuen Service und ergänzt es mit innovativen Technik zur Erkennung der ID-Card (Personalausweis) per Video-Chat und Call-Center-Mitarbeiter.

Weiterführende Quellen und Informationen