Sie sind hier: Home » Fachartikel » Hintergrund

Identitäten für elektronische Finanztransaktionen


Die Identität ist inzwischen auch eine Compliance-Anforderung
Geeignete Maßnahmen ergreifen, um die Identität derjenigen zu überprüfen, die Online-Transaktionen mit einem bestimmten Unternehmen abwickeln



Bei einer Online-Transaktion "Ich stimme zu" zu klicken, reicht nicht aus um nachzuweisen, dass tatsächlich die richtige Person zugestimmt hat. Wenn es um sensible Transaktionen wie die von Finanzdienstleistern geht, dann reichen auch eine aufgezeichnete gesprochene Zustimmung oder eine handschriftliche Online-Unterschrift für eine eineindeutige Verifizierung nicht aus. Hier kommt digitale Identität ins Spiel. 'Digitale Identität' weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen: Initiale Identifikation, Authentifizierung und Autorisierung.

Wie das im Einzelnen funktioniert und welche Transaktionen Banken und Finanzdienstleister mithilfe von Identitäten durchführen können, das ist Thema des aktuellen Blogbeitrags von GlobalSign:

Die Organization for Economic Co-operation and Development (OECD) definiert eine elektronische Transaktion wie folgt:
"Eine elektronische Transaktion ist der Verkauf oder Kauf von Waren oder Dienstleistungen, sei es zwischen Unternehmen, Haushalten, Einzelpersonen, Regierungen und anderen öffentlichen oder privaten Organisationen, die über computervermittelte Netzwerke durchgeführt werden."

Elektronische Transaktionen gibt es seit Jahren. Insbesondere Finanzdienstleister haben dafür gesorgt, dass die entsprechenden Technologien ausgebaut und massentauglich werden. Solche Transaktionen lassen sich inzwischen schnell und einfach durchführen, aber vielen von ihnen fehlt etwas: eine Identität.

Bei einer Online-Transaktion "Ich stimme zu" zu klicken, reicht nicht aus um nachzuweisen, dass tatsächlich die richtige Person zugestimmt hat. Wenn es um sensible Transaktionen wie die von Finanzdienstleistern geht, dann reichen auch eine aufgezeichnete gesprochene Zustimmung oder eine handschriftliche Online-Unterschrift für eine eineindeutige Verifizierung nicht aus.

Hier kommt digitale Identität ins Spiel. "Digitale Identität" weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen:

Initiale Identifikation (basierend auf echter ID)
>> Authentifizierung (basierend auf den in der ersten Stufe bereitgestellten Anmeldeinformationen) und
>> Autorisierung (Unterzeichnung und Genehmigung eines Finanzdokuments).
Bei dieser Art der elektronischen Kommunikation kann es ziemlich schwierig werden, mit absoluter Sicherheit nachzuweisen, dass eine Autorisierung wirklich stattgefunden hat. Der Nachweis der Identität wird zur rechtlichen Notwendigkeit.

Identität ist inzwischen auch eine Compliance-Anforderung. Mit Verordnungen wie eIDAS, dem Electronic Communications Act (Gesetz über die elektronische Kommunikation), der Payment Services Directive 2 (Richtlinie über Zahlungsdienste 2) und dem Consumer Credit Act (Verbraucherkreditgesetz), sind Organisationen (insbesondere solche des Finanzwesens) angehalten, geeignete Maßnahmen zu ergreifen, um die Identität derjenigen zu überprüfen, die Online-Transaktionen mit einem bestimmten Unternehmen abwickeln.

Sehen wir uns dazu Anwendungsfälle für elektronische Transaktionen an und wie ein Finanzdienstleister Identitäten nutzen kann, um einen Kunden zu verifizieren und in seiner Branche richtlinienkonform zu bleiben.

E-Mandate für Sepa-Lastschriften
Bei einem Lastschriftmandat ermächtigt eine Kunde ein Unternehmen, zukünftig fällig werdende Zahlungen einzuziehen. Die Erlaubnis erfolgt häufig über ein Mandatsformular in Papierform, das der Kunde ausfüllt. Bisher war diese Methode ausreichend. Allerdings arbeiten mehr und mehr Unternehmen "papierlos". Dazu gehören auch papierlose Lastschriftmandate.

Das Problem bei papierlosen Lastschriftmandaten ist, dass sie von Ihrer Bank genehmigt werden müssen. Die Bank segnet alle Informationen, die einem Kunden präsentiert werden, ab. Sobald Zahlung und Genehmigung vom Kunden eingeholt wurden, werden diese Daten elektronisch an die Bank übermittelt. So weiß die Bank über Ihre Einzugsermächtigung (EZE) Bescheid.

Im Mai 2014 erörterte das Euro Retail Payments Board die Fragen, die sich aus E-Mandaten und Lösungen für Sepa-Lastschriften (SLS) ergeben.

Interessanterweise skizziert dieses Dokument etliche Probleme, die eIDAS und PSD2 gemeinsam lösen. Insbesondere das Konzept des 'Mangels an Vertrauen'. Schuldner können beispielsweise aus ausländischen Mitgliedsstaaten mit verschiedenen Zahlungsdienstleistern (ZDL) oder Drittanbietern von E-Mandat-Dienstleistern kommen. Das erschwert es, die Genehmigung nachzuvollziehen.

Das Dokument schlägt unter anderem vor Authentifizierungslösungen auf beiden Seiten zu implementieren, also sowohl auf Seiten des Kunden als auch mandatsseitig. Was fortgeschrittene elektronische Signaturen anbelangt, werden PKI-Zertifikate als Mittel zur beiderseitigen Authentifizierung vorgeschlagen.

Kreditverträge
Ein Kreditvertrag umfasst einen rechtlichen Vertrag, der von einem Kunden unterzeichnet werden muss. Das ist einer der Schritte, die er ergreifen muss, um eine finanzielle Transaktion, wie beispielsweise eine Hypothek zu erhalten, abzuschließen. Um diese Transaktion in eine Online-Umgebung zu bringen, muss gewährleistet sein, dass die richtige Person den Vertrag unterschreibt und dass alle Informationen, die vom Finanzdienstleister an den Kunden weitergegeben wurden korrekt sind. Dazu benötigt man eine Art elektronische Signaturlösung.

Im Vereinigten Königreich wurde das Verbraucherkreditgesetz 2004 geändert, um elektronische Signaturen zu berücksichtigen. Am 26. Februar beschloss der Oberste Gerichtshof im Fall Bassano vs Toft, dass eine elektronische Signatur Beweis genug für einen ordnungsgemäß abgeschlossenen Kreditvertrag ist und er gemäß Verbraucherkreditgesetz durchgeführt wurde. Frau Bassano hatte versucht zu erstreiten, dass die Darlehenskonditionen nicht durchsetzbar und damit ungültig wären. Dieser Ansicht ist das Gericht in seinem Urteil nicht gefolgt.

Das bringt eine Menge Annehmlichkeiten für Kreditgeber, die elektronische Signaturen verwenden. Darüber hinaus helfen neue Verordnungen wie eIDAS, die Verwendung elektronischer Signaturen unter höheren Sicherheitsauflagen zu erzwingen. Das schafft mehr Vertrauen und stellt sicher, dass das Dokument nicht nachträglich geändert wurde.

Verwendung digitaler Zertifikate für die Identität bei elektronischen Transaktionen
eIDAS geht davon aus, dass Finanzinstitute über fortgeschrittene oder qualifizierte elektronische Signaturen ein hohes Maß an Sicherheit und Vertrauen bieten, beispielsweise indem sie digitale Zertifikate verwenden. Ein digitales Zertifikat kann bei einer Zertifizierungsstelle wie GlobalSign erworben werden. Bevor das Zertifikat ausgestellt wird, wird die Identität der Person (d. h. des potenziellen Kunden) gründlich geprüft. Das resultierende Zertifikat ist einzigartig für genau diese Person und kaum zu manipulieren oder zu fälschen.

Die jeweilige Person kann dann das Zertifikat zum digitalen Signieren elektronischer Transaktionen verwenden. Digitale Signaturen bieten mehr Sicherheit als andere Arten elektronischer Signaturen, da sie eindeutig mit dem Unterzeichner verknüpft sind und nachträgliche Änderungen am Dokument verhindern. Die Einbindung eines vertrauenswürdigen Zeitstempels von einem Drittanbieter bietet darüber hinaus Unleugbarkeit von Datums und Uhrzeit, zu denen das Dokument signiert wurde.

Zertifizierungsstellen versuchen sicherzustellen, dass ihren Roots in wichtigen Softwareanwendungen, wie Adobe und Microsoft, vertraut wird und mit ihnen kompatibel sind. Signaturen, die mit solchen Zertifikaten erstellt wurden, werden dann automatisch erkannt und verifiziert. Das trägt dazu bei, eine durchgängige Benutzererfahrung für alle an der elektronischen Transaktion beteiligten, zu bieten.

Finanzielle Interaktionen mithilfe von Identitäten verbessern
Um die theoretischen Erörterungen besser einordnen zu können, hier einige Beispiele wie Finanzdienstleister bereits jetzt digitale Zertifikate nutzen können. Etwa um ihre Dienste zu verbessern, sich im Markt zu differenzieren, richtlinienkonform zu werden, eine durchgängige Kundenerfahrung zu ermöglichen und gleichzeitig Vertrauen in elektronische Transaktionen zu gewährleisten (für ein juristisches Umfeld).

Anwendungsfall 1: Elektronische Mandate
In einem typischen Szenario wird ein elektronisches Mandat vereinbart, wenn der Schuldner einen Haken im entsprechenden Kästchen setzt und so seine Zustimmung bestätigt. In der realen Welt lässt sich nicht unterscheiden, ob der echte Schuldner zugestimmt hat oder sein Cousin oder, wenn wir schon dabei sind, ein Hacker.

Deshalb wird von einer Drittfirma die Identität überprüft und ein digitales Zertifikat an den Schuldner ausgestellt. Das Zertifikat verbleibt auf dem Mobiltelefon oder einem anderen Gerät des Schuldners, zu dem nur er Zugang hat und auf dem nur er das Zertifikat verwenden kann, um den Vertrag zu unterzeichnen. Darüber hinaus profitiert der Kunde von einer einfachen "on-the-go"-Transaktion, die sich deutlich von umständlicheren Varianten unterscheidet.

Anwendungsfall 2: Unterzeichnen von Kreditverträgen weltweit
Angenommen, Sie bräuchten kein persönliches Treffen mit Ihrem Kunden und könnten die komplette finanzielle Interaktion online oder per Handy durchführen. Kunden würden Zeit sparen, da Transaktionen von überall auf der Welt aus möglich wären.
Durch die Integration von elektronischen Signierlösungen in mobile Applikationen lässt sich eine Transaktion komplett papierlos machen. So können Sie einen Kreditvertrag senden und der Kunde kann ihn unterschreiben. Das notwendige Vertrauen gewährleistet die zuvor durchgeführte Identitätsverifizierung eines vertrauenswürdigen Dritt-Identitätsanbieters. In diesem Szenario fungiert das Mobiltelefon des Kunden als 'sichere Signaturerstellungseinheit', mit dem er seine Identität nachweisen kann.

Es ist sicherlich an der Zeit über eine Infrastruktur der digitalen Zertifikate nachzudenken. Dafür spricht eine Reihe von Vorteilen: Unternehmen agieren durchgängig richtlinienkonform, sie differenzieren sich innerhalb ihres Marktumfelds, sie sind in der Lage Identität innerhalb der gesetzlichen Regelungen nachzuweisen und aktuelle Vorgaben wie eIDAS zu erfüllen. (GlobalSign: ra)

innerhalb der gesetzlichen Regelungen nachzuweisen und aktuelle Vorgaben wie eIDAS zu erfüllen. (GlobalSign: ra)

eingetragen: 21.07.17
Home & Newsletterlauf: 30.08.17

GMO GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen