Zum Hauptinhalt springen 
Bild: Katynn / stock.adobe.com
Inf.- und Kommunikationstechnik | Netzwerktechnik | Internet/Multimedia | Betriebsorganisation

Sicherheit im Internet

Das Ende von AutoIdent? Deutsche Firmen leiden unter Alleingang

21.12.2023

Die Bundesnetzagentur möchte ihre Erlaubnis für automatisierte Verfahren aufgrund von Sicherheitsbedenken auslaufen lassen – zum Nachteil deutscher Unternehmen und ihrer Kundschaft.

Seiten

AutoIdent“ beschreibt ein Verfahren zur automatisierten Identitätsprüfung im Rahmen der Ausstellung einer qualifizierten Signatur einer Person beim Abschluss von Online-Verträgen. Dieses Verfahren erlaubt es Unternehmen, online rechtsgültige Verträge, die der gesetzlichen Schriftform unterliegen, mit ihren Kunden und Kundinnen sowie Geschäftspartner abzuschließen. Mithilfe computergestützter Prüfungen, wie z. B. biometrische Gesichtserkennung, automatisches Auslesen des Ausweisdokuments, inklusive Sicherheitsmerkmale und einer Lebendigkeitserkennung, wird verifiziert, dass die Person hinter dem Bildschirm tatsächlich die Person ist, die den Vertrag abschließen möchte.

Die voll automatisierte Variante, bei der der Computer über den Erfolg der Identifizierung entscheidet, steht wegen Sicherheitsbedenken zurzeit in der Kritik. Deshalb wollte die Aufsichtsbehörde Bundesnetzagentur (BNetzA) auf Antrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ihre 2021 erteilte Zulassung für automatisierte Verfahren aufgrund von Sicherheitsbedenken diesen Monat auslaufen lassen. Nun wurde die Erlaubnis für eine sechsmonatige „Evaluierungsphase“ verlängert – die Zweifel bleiben.

Dominik Drechsler, Deutschlandchef von Yousign, erklärt: „Die aktuelle Lösung der Bundesnetzagentur ist ein Kompromiss, der das Problem nicht vollständig lösen kann. Die Behörden in Deutschland haben gezeigt, dass sie Online-Betrug als Problem ernst nehmen. Das ist gut und wichtig. Ein globales Web erfordert aber auch internationale Lösungen. Ein Verbot des AutoIdent-Verfahrens in Deutschland wäre nur für deutsche Unternehmen bindend, nicht aber für deutsche Anwender, die dann zu internationalen Wettbewerbern wechseln könnten, die das Verfahren weiter nutzen. Wir fordern daher die EU auf, dieses Thema in der Neufassung von eIDAS, der EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen, an der seit über zwei Jahren gearbeitet wird, zu behandeln. Auf diese Weise kann die Politik dem Betrug einen echten Riegel vorschieben, ohne einzelne Märkte zu gefährden.“

Das VideoIdent-Verfahren als alternatives Mittel zur Identifizierung im Internet

Unternehmen haben verschiedene Möglichkeiten, um die Identität der Unterzeichnenden zu verifizieren. Ein klassisches Beispiel ist das PostIdent-Verfahren, bei dem Nutzer ihre Identität vor Ort bei einer Postfiliale in ihrer Nähe bestätigen lassen. Weil der Gang zur Post mühselig ist und Kameratechnologie immer besser und bezahlbarer wird, gewinnt das VideoIdent-Verfahren immer mehr an Beliebtheit. Dabei übermitteln User Bildmaterial und zeigen ein Ausweisdokument in die Kamera ihres Laptops oder Smartphones. In der klassischen Variante sitzt am anderen Ende der Leitung dann eine speziell ausgebildete Person, die Betrugsversuche frühzeitig erkennen soll. Das Problem beim klassischen VideoIdent-Verfahren, dessen gesetzliche Validität in jedem Fall bestehen bleibt, ist die User-Experience. Eine Identitäts-Verifikation durch Mitarbeitende von Callcentern bedeutet häufig lange Wartezeiten und Sprachbarrieren.

Viele Firmen entscheiden sich deshalb für Remote-Lösungen. Statt eines klassischen Videotelefonats mit Betrugsexpert soll bei sogenannten AutoIdent-Verfahren eine KI erkennen, ob Ausweis und Bildmaterial die gleiche Person abbilden. Allerdings weisen solche Verfahren eine Fehlerquote (FAR, also False Acceptance Rate) im niedrig einstelligen Prozentbereich auf. Das ist zu viel, wenn es um Betrug und Existenzen geht.


Seiten