18. April 2017

Bankregulierung,

Bankstrategie,

Digitalisierung,

Grossbanken

Elektronische ID – grosse Chance für die Schweizer Banken

Von Prof. Dr. Andreas Dietrich

Fast täglich muss man neue Logins mit (optimalerweise) stets unterschiedlichen Passwörtern kreieren für E-Mail Accounts, Social Media Plattformen, Online Shops, Konten bei Behörden oder sonst welchen Internetseiten. Die Anzahl der Login-Daten wächst stetig und ist für den Durchschnittsbürger oftmals nicht mehr überblickbar. Eine einzige, sichere digitale Identitätskarte, ähnlich wie dem physischen Schweizer Pass, welche den Zugang zu den verschiedenen Onlinediensten ermöglicht, würde daher viele Prozesse verbessern und den Kundennutzen stark erhöhen. Eine Lösung, welche auf den existierenden Logins der Schweizer Banken basiert, hätte dabei viele Vorteile. Im nachfolgenden Blog folgt ein Plädoyer an die Finanzindustrie, dieses Ziel mit aller Konsequenz zu verfolgen.

Mit der Allgegenwärtigkeit des Internets und der hohen Verfügbarkeit von Smartphones verlagern sich Geschäftsprozesse immer mehr in die digitale Welt. Vor allem bei anspruchsvolleren Prozessen wird es aber für Geschäftsanbietende immer wichtiger, Vertrauen in die Identität und Authentizität des Gegenübers zu haben. Während wir in der physischen Welt hierfür konventionelle Identifizierungsmittel wie zum Beispiel den Pass oder die Identitätskarte besitzen, hat sich eine elektronische Identität (e-ID) hierzulande bisher noch nicht durchsetzen können. Die Schaffung von anerkannten elektronischen Identitäten könnte aber der Digitalisierung der Wirtschaft zu einem weiteren Schub verhelfen, indem die Prozesse einfacher und effizienter werden und der Missbrauch im Internet schwieriger würde.

Generelle Funktionsweise der e-ID

Natürliche Personen können dank Ihren bestehenden Benutzerdaten, z.B. bei Ihrer Bank, eine e-ID generieren ohne Registrierungsprozess. Später kann man sich mithilfe seiner e-ID an verschiedenen Orten wieder anmelden und identifizieren. Ist man beispielsweise in einem Online Shop, müssen die persönlichen Angaben (z.B. die Adresse) nicht mehr jedes Mal manuell eingegeben werden. Diese werden vielmehr nach Freigabe durch die Inhaberin oder den Inhaber mittels der e-ID elektronisch übermittelt. Die e-ID ist dadurch also eine der Grundlagen für die sichere Nutzung von Online Diensten.

Politische Unterstützung: Die Absichten des Bundesrats

Auch der Bundesrat will die rechtlichen und organisatorischen Rahmenbedingungen für die Anerkennung von elektronischen Identifizierungsmitteln schaffen. Er hat an seiner Sitzung vom 22. Februar 2017 die Vernehmlassung zu einem Bundesgesetz über anerkannte elektronische Identifizierungseinheiten (e-ID-Gesetz) eröffnet. Im Grundsatz wurde dabei entschieden, auf Eigenentwicklungen durch den Staat und staatlich abgegebene e-IDs zu verzichten, da der Staat wohl zu wenig flexibel auf die schnell ändernden Technologien reagieren kann. Zudem wäre die staatliche e-ID Lösung mit wohl erheblichen Kosten für den Aufbau von Infrastruktur, Herausgabe der e-ID, sowie Betrieb und Support verbunden. Stattdessen geht das Konzept von einer Aufgabenteilung zwischen Staat und Privaten aus. Die notwendige Akzeptanz für die e-ID soll mit vertrauenswürdigen rechtlichen und organisatorischen Rahmenbedingungen verbunden mit der Leistungsfähigkeit und Dynamik des Marktes erreicht werden.

Was gibt’s heute im Markt?

Bereits heute sind verschiedene e-IDs mit allerdings unterschiedlichen Sicherheitsniveaus in Gebrauch. Privatwirtschaftliche elektronische Identifizierungsangebote stammen beispielsweise von Apple oder Google (Apple ID bzw. Google Account). Ebenso kann man sich beispielsweise mit einem Facebook- oder Twitter-Account auch bei anderen Internet-Diensten registrieren lassen. Diese „anderen Dienste“ vertrauen dabei auf diese Identifizierung, auch wenn gerade auf diesen Plattformen «Fake Profile» möglich sind. Des Weiteren ist es aus Schweizer Sicht wohl auch wünschenswert, dass die entsprechenden sensitiven Daten und Logins (inkl. biometrische Daten!) in der Schweiz bleiben.
Der in der Schweiz als erstes standardisierte elektronische Identitätsnachweis stammt von der SuisseID. Mit der Einführung in 2010 schaffte die SuisseID eigentlich die Voraussetzungen für einen sicheren elektronischen Geschäftsverkehr. Der Erfolg dieser Initiative ist bisher allerdings überschaubar. Bei einer Umfrage unter Anbietern von digitalen Identitäten zeigte sich, dass momentan nur 33’500 Personen die digitalen Identitäten in der Schweiz nutzen. Eine neu lancierte Initiative von der Schweizerischen Post und der SBB möchte diese Lösung nun aber weiterentwickeln. Der standardisierte Login ist gemäss Mitteilung ab 2017 für Post-Portal-Kunden und ab 2018 für SwissPass-Kunden nutzbar.

Wieso Banken als Anbieter der e-ID prädestiniert sind

Es gibt nun mehrere Gründe, wieso eine e-ID von den Banken angeboten werden könnte. Nachfolgend führe ich vier zentrale Aspekte auf:

  1. Die von den Schweizer Banken angewendete Zwei-Faktor-Authentifizierung gilt bei Kunden als sehr sicher und vertrauenswürdig. Bei verschiedenen möglichen Use Cases, wie zum Beispiel dem e-Voting, ist eine Zwei-Faktor Authentifizierung zwingend notwendig.
  2. Wohl alle einigermassen digital-affinen Schweizer haben ein e-Banking Login. Baut man also für eine elektronische ID auf den Authentifizierungslösungen für das e-Banking auf, muss man nicht zuerst alle Kunden «onboarden» und sie vom Konzept überzeugen. Stattdessen kann man sein bestehendes sicheres Banken-Login für eine generelle Identitätsanwendung benutzen. Insofern ist diese Lösung für die Kunden am einfachsten, weil der Onboarding-Prozess und auch das nachfolgende Login-Verfahren einfach wären.
  3. Damit das System der e-ID funktioniert, braucht es nicht nur die Kunden, sondern auch die Händler. Diese sind vor allem interessiert an einer einzelnen Lösung und einer Vielzahl an Kunden, welche diese nutzen (können). Da fast alle Schweizer bereits heute eine mit dem e-Banking Login verknüpfte e-ID haben würden, könnte man möglicherweise auch die Händler und/oder die Behörden davon überzeugen, dieses System anzuwenden. Ebenso sind sie wohl grundsätzlich an einer solchen Lösung interessiert, da der lange Registrierungsprozess (Angeben vieler Informationen) zu einer tieferen Konversionsrate führt und sie froh sind, wenn der „Know your customer“-Prozess von den Banken übernommen würde. Bei einem Login mithilfe des Facebook-Accounts oder ähnlichem gibt es immer auch die Gefahr von sogenannten „Fake Profilen“. Zudem können relevante Kundendaten wie z.B. die Adresse nicht übernommen werden. Gleichzeitig muss der Check-out Prozess beim einem Händler sicherlich angepasst werden, da eine Zwei-Faktor Authentifizierung wohl nicht erwünscht ist.
  4. Die Kosten für den Aufbau dieser Lösung sind überschaubar. Aus Kundensicht wäre das gratis und aus Bankensicht ist der Aufwand mässig hoch. Auch für die Händler würde sich eine solche Lösung lohnen (z.B. besseres Authentifizierungsverfahren, einfachere und schnellere Checkout-Prozesse und dadurch höhere Konversionsrate, möglicherweise geringere Anzahl an Hacking-Attacken).

In der Schweiz haben die UBS und die Credit Suisse gemeinsam mit der Swisscom kürzlich angekündigt, einen solchen Passepartout fürs Internet zu entwickeln. Sie haben das Projekt im vergangenen Herbst am Startup-Förderprogramm „Kickstart Accelerator“ mit dem Jungunternehmen Notakey lanciert. In einer Projektstudie möchten sie den Funktionsnachweis erbringen, dass ein branchenübergreifendes, föderalistisches System mit mehreren Parteien betrieben werden kann. Kunden könnten sich dann mit dem Bank-Login bei Online Shops, Ämtern, Abstimmungen oder auch für die Steuererklärung anmelden. Wichtig ist aus meiner Sicht, dass nicht nur die beiden Grossbanken im Projekt involviert sind, sondern alle Banken hier mitmachen und profitieren können. Dadurch kann die ganze Finanzindustrie davon profitieren. Aus Sicht der Banken ist es nämlich zentral, dass man die Kundenschnittstellen nicht verliert.

Abbildung 1: In etwa so könnte das Login via e-ID als UBS-Kunde aussehen (Beispiel Digitec)

Auch ein Blick ins Ausland zeigt, dass Bankenlösungen im Bereich der e-ID sinnvoll sein können. In Schweden, Norwegen und den Niederlanden sind die Banken die wichtigsten Anbieter von e-IDs. Staatliche Minimalanforderungen sorgen dabei für eine definierte Mindestqualität.

Use Cases

Eine elektronische Identität bietet sich für sehr viele Fälle an. Sinnvollerweise wird sie schlussendlich aber wohl vor allem dort angewendet, wo eine hohe Sicherheit gewährt werden muss. Nicht alle Geschäftsprozesse erfordern dasselbe Sicherheitsniveau. Zu hohe Sicherheitsanforderungen bei aus Kundensicht einfachen und wenig sensitiven Bereichen, z.B. beim Einkaufen in einem eShop, würden wohl kaum akzeptiert (Stichwort: Nutzerfreundlichkeit versus Sicherheit).

Mögliche Beispiele könnten aber sein:

  • Einsicht in ein elektronisches Patientendossier
  • Logins für Versicherungen
  • Zahlungsprozess bei Online Shops
  • Online Bestellung von Auszügen aus dem Straf- und/oder Betreibungsregister
  • e-Voting

Vor allem im Bereich e-Government könnte sich ein e-ID-Standard als sehr sinnvoll erweisen. Derzeit sind auf Kantons- und Gemeindeebene eine grosse Anzahl e-Government Lösungen – mit insgesamt mässigem Erfolg – im Einsatz. Neben der begrenzten Kundenakzeptanz (ein Login mehr…) ist das Aufrechterhalten einer entsprechenden Lösung für die öffentliche Hand mit einem hohen Investitions- und Betriebsaufwand verbunden. Das stetige Verbessern der Sicherheit in einer zunehmend im Cyberraum unsicher werdenden Welt ist für Städte und Gemeinden wohl nur mässig sinnvoll. Ebenso könnte die Nutzung von e-Government Dienstleistungen durch eine einfache und sichere Identifizierung gefördert werden.

Fazit

Das Thema e-ID wird mit der rasch fortschreitenden Digitalisierung zunehmend an Bedeutung gewinnen und die Prozesse vereinfachen und beschleunigen. Die grosse Herausforderung in Bezug auf die Entwicklung der elektronischen Identität ist dabei aber der «two-sided-market». Damit die Lösung funktioniert braucht es – neben dem Staat (Zertifizierer), dem Identitätsprovider (z.B. Banken) und dem Identity Broker– nämlich die Kunden UND die eShops sowie Behörden, welche die entsprechenden elektronischen Identitäten anwenden bzw. akzeptieren. Ein solcher Markt ist immer schwierig zu entwickeln, wie auch der mit einem ähnlichen Problem kämpfende Mobile Payment Markt zeigt. Obwohl die Vorteile von e-IDs auf der Hand liegen, ist nämlich das Angebot in der Bevölkerung bisher auf wenig Akzeptanz gestossen und es kann festgehalten werden, dass die Verbreitung von elektronischen Identitäten mit hohem Sicherheitsstandard in der Schweiz auf tiefem Niveau verharrt. Des Weiteren müssen parallel zur Überzeugungsarbeit bei den Kunden auch Unternehmen sowie Behörden für sinnvolle Anwendungen der elektronischen Identität gewonnen werden.
Weil die hiesigen Banken mit dem Login-Verfahren für das e-Banking bereits heute über eine Technologie verfügen, die auch für die digitale Identität verwendet werden kann, fällt aber zumindest ein grosser Teil der Aufbau einer zusätzlichen Infrastruktur weg. Ebenso – und wohl noch wichtiger – hätten in der Schweiz fast alle Bürger die Grundlage für ein entsprechendes Login für ihre e-ID bereits zur Verfügung.
Wichtig ist auch die politische Unterstützung für ein Projekt mit einer so grossen volkswirtschaftlichen Bedeutung. Der Bundesrat hat dabei erfreulicherweise klar gemacht, dass von Seiten des Staates alles unternommen wird, um diese Entwicklungen zu fördern. Sichere elektronische Identifizierungsmittel sind in mehreren Aktionsfeldern der bundesrätlichen Strategie „Digitale Schweiz“ Voraussetzung für die Umsetzung und Teil des Kernziels Transparenz und Sicherheit.
Etwas unschön ist, dass es derzeit wieder zwei starke Schweizer Anbieter gibt, welche um die digitale Vorherrschaft kämpfen (Post & SBB vs. UBS & CS & Swisscom). Um doppelte Investitionen in ähnliche Technologien zu vermeiden, wäre es aber wünschenswert, dass die Anbieter von Beginn an zusammenspannen und die Lehren aus dem Fall TWINT und Paymit gezogen werden.

Kommentare

3 Kommentare

Francisco Jent

24. April 2017

Ich bin nicht sicher, ob es wirklich eine wirtschaftsförderliche Massnahme ist, die Ergänzung des physischen (vom Bund herausgegebenen) Identifikationsdokuments mit einem digitalen der Privatwirtschaft zu überlassen. Am Ende ist die Identifizierung in einem Geschäftsvorfall umso kritischer, je relevanter die ebenfalls von der öffentlichen Hand erlassene Regulierung des GF ist. Aber so ist die Gesetzesvorlage nun mal gestrickt. Ich gehe aber stark davon aus, dass unabhängig von der technischen Umsetzung der Zertifizierer einer digitalen Identität weder häufiger Teilnehmer an damit abgewickelten Geschäften, noch hochgradig an der mit der Zertifizierung verbundenen Geschäftsbeziehung interessiert sein sollte. Oder ganz einfach, beispielhaft: Es ist unwahrscheinlich, dass man sich jemals mit dem facebook-Login bei Google anmelden kann ;-) Eine von unabhängigen Dritten zertifizierte, von vielen Geschäftspartnern registrierte Identität wird viel besser funktionieren.

Antworten

Alain

19. April 2017

Guten Herr Professor Doktor Dietrich, Gratulation für den sehr gut geschriebenen und ausgezeichnet recherchierten Artikel. Als Beispiel einer gut funktionnierenden Lösung könnte man noch das luxemburger Model "LuxTrust" nennen. Hierbei fungieren : - Die Banken als "Registration Authority - Zertifikat Aussteller" und übernehmen das onboarding der Kunden (KYC, ...) - LuxTrust als PKI (Public Key Infrastructure) Anbieter, erstellt die Zertifikate und ist zwischen der Bank und dem Endkunden ein "neutraler Dritter". - Der Endkunde erhält ein EINZIGES starkes Authentifizierungsgerät (Smartcard, Hardware Token, Mobile APP, ....) und kann sich mit diesem bei ALLEN teilnehmenden Anbieter (alle grossen Banken, Steueramt, Bürgeramt, etc....) ausweisen. Als Endkunden habe ich dann ein "universal Login" Verfahren und muss nicht x verschiedene Tokens, Smartcards verwalten. - Die Geschäftskunden von LuxTrust müssen lediglich ein iFrame in Ihr Webangebot (e-banking, ...) oder APP integrieren in welches der Endkunde seine Login Credentials einträgt. Der Geschäftskunde erhält somit niemals die Credentials des Endkunden sondern immer nur ein zeitlich begrenztes Token ähnlich dem OAUTH Token bei Facebook, Google, etc... Zusätzlich erfüllt die LuxTrust Lösung noch die Auflagen für eine qualifizierte elektronische Signatur und ist mit dem neuen eIDAS Standard der EU kompatibel.

Antworten

Prof. Dr. Andreas Dietrich

19. April 2017

Besten Dank für diesen Input! Kannte ich nicht - klingt aber sehr interessant.

Antworten

Kommentar verfassen

Danke für Ihren Kommentar, wir prüfen dies gerne.

Pin It on Pinterest