Banken als Verwalter digitaler Identitäten
08.03.2022
Dr. Paul Muntean, Senior Cyber Security Solution Architect bei Swisscom Trust Services / Foto: © Swisscom Trust Services
Wer in Deutschland ein Bankkonto besitzt, wurde bereits einmal eindeutig identifiziert und diesem Konto zugeordnet. Aus diesem Faktum ergibt sich ein spannendes Feld für Banken: Sie sind, vielleicht oft unbewusst, Verwalter der digitalen Identität ihrer Kunden. Daraus können sich neue Chancen für den Finanzsektor ergeben.
Banken, die für einen neuen Kunden ein Konto eröffnen, müssen diesen zunächst einmal zweifelsfrei identifizieren. Diesen Know-Your-Customer-Prozess (KYC) schreibt das Geldwäschegesetz (GWG) vor. Im klassischen Fall wurde das bei einem Besuch in der Bankfiliale erledigt. Vor allem vor dem Hintergrund von Direkt- und Online-Banken sieht das Gesetz aber auch andere Verfahren vor, von denen spätestens seit der Pandemie auch Institute mit eigenem Filialnetz Gebrauch machen: Post- und Video-Identifikationsverfahren. Hat ein Nutzer diesen Prozess durchlaufen, verfügt er im Prinzip bereits über eine digitale Identität, die an das Konto gekoppelt ist.
Grundlegende Aspekte der digitalen Identität im Bankenwesen
Um den Nutzen von Identifikationsverfahren für Finanzdienstleister besser zu verstehen, empfiehlt sich zunächst ein näherer Blick auf die rechtlichen Grundlagen. Im Bankenwesen sind die Gesetze in Bezug auf das, was als Identitätsnachweis gefordert wird, besonders streng – nicht zuletzt, um die Gefahr der Geldwäsche möglichst zu minimieren. Der Gesetzgeber definiert dabei exakte Vorgaben für die Video-Identifikation sowie darüber, welche Daten überhaupt verarbeitet werden dürfen. Auch eine qualifizierte elektronische Signatur kann als Identitätsnachweis verwendet werden – in Deutschland allerdings nur in Verbindung mit einer Referenzüberweisung. Die Zahlungsdienstrichtlinie PSD2 sieht dieses Vorgehen für alle Zahlungsdienstleister verpflichtend vor. Sie spielt deshalb für Identifikationsprozesse im Bankenwesen eine besondere Rolle.
In der Zukunft werden ergänzend auch ID-Wallets eine Rolle spielen, die – analog zur echten Brieftasche – ganz verschiedene Dokumente aufbewahren können: Zeugnisse, Führerscheine, Zulassungen, Approbationen, Impfnachweise und vieles mehr. Auch hier kann die elektronische Signatur von hohem Nutzen sein.
Bankident: Identifikation schnell und 100 Prozent digital
Solche ID-Wallets wären ein großer Fortschritt, doch bis sie sich in der Masse verbreiten wird noch viel Zeit vergehen. Ein Bankkonto hat hingegen nahezu jeder Erwachsene in Deutschland und durch die Vorschriften des Geldwäschegesetzes (GWG) ist jedes dieser Konten mit einer Identität verknüpft. Diesen Umstand, der manchmal eher lästig erscheint, kann man sich hier zunutze machen.
In Paragraph 12 sieht das GWG neben den bekannten Verfahren zur Identifizierung auch die Kombination einer qualifizierten elektronischen Signatur und einer Referenzüberweisung vor. Um aus den komplexen Vorgaben einen nutzbaren Service abzuleiten, bedarf es jedoch der Kooperation zwischen einer Bank und einem Vertrauensdienstanbieter. Eine solche Identifikation mittels bestehendem Bankkonto bietet Swisscom Trust Services gemeinsam mit Partnerbanken an, bei der der Vertrauensdienstanbieter die qualifizierte elektronische Signatur bereitstellt und die Bank die Finanztransaktion mit der Hausbank des Endanwenders abwickelt. Für Endanwender sind die komplexen Vorgänge in einem einfachen Prozess aufbereitet. Sie müssen sich lediglich in dem Online-Banking ihrer Hausbank einloggen, um dort eine Referenzüberweisung eines Kleinstbetrags auf die Partnerbank zu veranlassen – in der Regel eine Sache von wenigen Minuten.
Die weiteren Vorteile liegen auf der Hand: Nutzer müssen weder das Haus verlassen noch mit einem Agenten sprechen, um sich zu identifizieren. Das vollautomatische Verfahren ist dadurch nicht an Öffnungs- oder Arbeitszeiten gebunden. Das macht es auch für Anbieter unbegrenzt skalierbar. Die Nachweise der Referenzüberweisung werden zusammen mit einer qualifizierten elektronischen Signatur im Anschluss an die Identifikation dem Institut oder der Organisation zur Verfügung gestellt, die solche Daten etwa für eine Kontoeröffnung oder Identitätsprüfung benötigt.
Besonders spannend ist Bankident dabei dort, wo ohnehin Geld überwiesen wird, so etwa bei Kontoeröffnungen, Trading Apps und Wett- oder Glücksspielangeboten. Was den letzteren Fall betrifft, herrschen seit Sommer nun endlich klare Regelungen für ganz Deutschland. Im Glücksspielstaatsvertrag wird Online-Glücksspiel nun bundesweit legalisiert, allerdings unter strengen Auflagen, die unter anderem ein GWG-konformes Onboarding, also eine Überprüfung der Identität, vorsehen.
Fazit
Die Regularien der PSD2 werden im Finanzsektor oft als lästig wahrgenommen. Doch letztlich schaffen die dort vorgeschriebenen Programmierschnittstellen (APIs) die technische Voraussetzung für die einfache und automatisierbare Identifikation, wie sie oben beschrieben wurde. Durch das Geldwäschegesetz, das Banken zur zweifelsfreien Identifikation von Neukunden zwingt, werden die Institute zu Verwaltern digitaler Identitäten. Arbeiten sie mit einem Vertrauensdienstanbieter zusammen, der eine qualifizierte elektronische Signatur liefert, können sie auch als eine Art Identity Provider auftreten. So machen sie aus der Not eine Tugend.
Gastbeitrag von Dr. Paul Muntean, Senior Cyber Security Solution Architect bei Swisscom Trust Services