Mehr Sicherheit bei Video-Identifizierung
12.06.2017
Foto: © IDnow
Mit Inkrafttreten des BaFin-Rundschreibens 3/2017 (GW) - Videoidentifizierungsverfahren wird die Video-Identifikation noch sicherer. Die BaFin hat Anfang April neue Standards für das etablierte Verfahren zur Kunden-Legitimation per Video-Chat festgelegt.
Seit 2014 ist in Deutschland die rechtssichere Legitimation von Kunden per Video-Chat möglich, um beispielsweise in Bankkonto zu eröffnen. Da durch das neue BaFin-Rundschreiben die Video-Identifikation bestätigt und deren Sicherheit weiter erhöht wird, ohne dabei die Nutzerfreundlichkeit einzuschränken, wird die Neuerung in der Branche positiv aufgenommen. Außerdem hat es mit einigen kritischen Punkten aufgeräumt, die das Verfahren einzugrenzen drohten. Thorsten Höche, Mitglied der Geschäftsführung und Chefjustiziar vom Bankenverband über das neue Rundschreiben: „Erfahrungsgemäß ist die Online-Legitimation ein sicheres und nachvollziehbares Verfahren zur Kundenidentifizierung außerhalb von Bank-Filialen. Mit den neuen Vorgaben dauert der Identifikationsvorgang zwar etwas länger, aber das ist ein akzeptabler Preis für noch mehr Sicherheit und Transparenz. Die Nutzerfreundlichkeit des Verfahrens wird dadurch nicht weiter beeinträchtigt.“ Zu den wichtigsten technischen und organisatorischen Neuerungen des BaFin-Rundschreibens 3/2017 (GW)- Videoidentifizierungsverfahren gehören:
Video-Aufzeichnung: Künftig ist es möglich, den gesamten Identifikationsvorgang in akustischer und visueller Form aufzuzeichnen und aufzubewahren. Somit werden durchgängige Video-Aufnahmen Pflicht. Laut BaFin reichen Aufzeichnungen in Form von Serienbildern oder Screenshots nicht aus, denn diese würden nicht gewährleisten, dass alle Einzelschritte dokumentiert werden. Mit dem Ende der Geschäftsbeziehung endet nicht die Aufbewahrungspflicht der Aufzeichnungen, denn diese müssen fünf Jahre darüber hinaus aufbewahrt werden. Damit wird gewährleistet, dass die BaFin die einzelne Identifizierung im Falle einer Revision oder Kontrolle nachvollziehen kann. Da § 8 GwG erlaubt, den Prozess vollständig und dauerhaft ohne Schwärzung von Ausweisstellen aufzuzeichnen, entsteht laut BaFin kein Konflikt mit dem Datenschutz. Durch die Neuerungen erhöht sich das Datenvolumen pro Identifikationsvorgang auf rund 10 MB, was von den Banken und Ident-Anbietern entsprechende Serverkapazitäten zur Speicherung der Aufnahmen und Ident-Informationen verlangt.
Ende-zu-Ende-Verschlüsselung: Die Kommunikation zwischen Nutzer und Ident-Spezialist muss über eine Ende-zu-Ende-Verschlüsselung und mit mindestens 2.048 Bit laufen. Demzufolge sind die Dienste wie Skype oder iChat sowie Verbindungen mit geringerer Verschlüsselung nicht mehr erlaubt. Grundlage dafür sind die Empfehlungen der Technischen Richtlinie TR-02102 des Bundesamts für Sicherheit in der Informationstechnik (BSI) und die Anforderungen an kryptographische Verfahren.
weiter auf Seite 2