Das Ende von AutoIdent? Deutsche Firmen leiden unter Alleingang

„AutoIdent“ beschreibt ein Verfahren zur automatisierten Identitätsprüfung im Rahmen der Ausstellung einer qualifizierten Signatur einer Person beim Abschluss von Online-Verträgen. Dieses Verfahren erlaubt es Unternehmen, online rechtsgültige Verträge, die der gesetzlichen Schriftform unterliegen, mit ihren Kunden und Kundinnen sowie Geschäftspartner abzuschließen. Mithilfe computergestützter Prüfungen, wie z. B. biometrische Gesichtserkennung, automatisches Auslesen des Ausweisdokuments, inklusive Sicherheitsmerkmale und einer Lebendigkeitserkennung, wird verifiziert, dass die Person hinter dem Bildschirm tatsächlich die Person ist, die den Vertrag abschließen möchte.

Die voll automatisierte Variante, bei der der Computer über den Erfolg der Identifizierung entscheidet, steht wegen Sicherheitsbedenken zurzeit in der Kritik. Deshalb wollte die Aufsichtsbehörde Bundesnetzagentur (BNetzA) auf Antrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ihre 2021 erteilte Zulassung für automatisierte Verfahren aufgrund von Sicherheitsbedenken diesen Monat auslaufen lassen. Nun wurde die Erlaubnis für eine sechsmonatige „Evaluierungsphase“ verlängert – die Zweifel bleiben.

Dominik Drechsler, Deutschlandchef von Yousign, erklärt: „Die aktuelle Lösung der Bundesnetzagentur ist ein Kompromiss, der das Problem nicht vollständig lösen kann. Die Behörden in Deutschland haben gezeigt, dass sie Online-Betrug als Problem ernst nehmen. Das ist gut und wichtig. Ein globales Web erfordert aber auch internationale Lösungen. Ein Verbot des AutoIdent-Verfahrens in Deutschland wäre nur für deutsche Unternehmen bindend, nicht aber für deutsche Anwender, die dann zu internationalen Wettbewerbern wechseln könnten, die das Verfahren weiter nutzen. Wir fordern daher die EU auf, dieses Thema in der Neufassung von eIDAS, der EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen, an der seit über zwei Jahren gearbeitet wird, zu behandeln. Auf diese Weise kann die Politik dem Betrug einen echten Riegel vorschieben, ohne einzelne Märkte zu gefährden.“

Das VideoIdent-Verfahren als alternatives Mittel zur Identifizierung im Internet

Unternehmen haben verschiedene Möglichkeiten, um die Identität der Unterzeichnenden zu verifizieren. Ein klassisches Beispiel ist das PostIdent-Verfahren, bei dem Nutzer ihre Identität vor Ort bei einer Postfiliale in ihrer Nähe bestätigen lassen. Weil der Gang zur Post mühselig ist und Kameratechnologie immer besser und bezahlbarer wird, gewinnt das VideoIdent-Verfahren immer mehr an Beliebtheit. Dabei übermitteln User Bildmaterial und zeigen ein Ausweisdokument in die Kamera ihres Laptops oder Smartphones. In der klassischen Variante sitzt am anderen Ende der Leitung dann eine speziell ausgebildete Person, die Betrugsversuche frühzeitig erkennen soll. Das Problem beim klassischen VideoIdent-Verfahren, dessen gesetzliche Validität in jedem Fall bestehen bleibt, ist die User-Experience. Eine Identitäts-Verifikation durch Mitarbeitende von Callcentern bedeutet häufig lange Wartezeiten und Sprachbarrieren.