Ob Telefonvertrag oder neues Bankkonto: Immer mehr Kunden identifizieren sich per Video von zuhause aus. Für fast die Hälfte (47 Prozent) aller Kunden von Direkt- und Digitalbanken ist die Möglichkeit zur Online-Kontoeröffnung ausschlaggebend, wie die kürzlich veröffentlichte Internationale Konsumentenstudie SB-Banking und Bargeldnutzung von Diebold Nixdorf herausfand.
Das Verfahren gilt als bequem: Es geht rund um die Uhr und dauert nicht lange. Der Kunde erscheint vor seiner Handy-Kamera und hält nach Anweisung eines Mitarbeiters die beiden Seiten seines Personalausweises oder Reisepasses in bestimmten Winkeln in die Kamera. Die diversen Dienstleister behaupten, dieses Verfahren sei sicher. Auf diese technische Sicherheit beruft sich auch die Bafin und erlaubt Video-Ident.
Dass das Video-Ident-Verfahren aber durchaus geknackt werden kann, hat der Chaos Computer Club im Sommer 2022 gezeigt. Mit relativ einfachen Computerkenntnissen und frei verfügbarer Open-Source-Software gelang es, zwei Personalausweise digital so zusammenzufügen, dass ein neuer – in der Realität nicht existierender – Ausweis erstellt wurde. Damit trickste der Tester die Video-Ident-Verfahren von sechs verschiedenen Anbietern aus und ließ eine imaginäre Person „identifizieren“. Als Reaktion auf diesen erfolgreichen Hack untersagte die Gematik, die zentrale Organisation für digitale Anwendungen im deutschen Gesundheitswesen, am folgenden Tag sofort den Krankenkassen jegliche Nutzung des Video Identverfahrens. Bereits im Tätigkeitsbericht 2013/2014 wies die damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff auf die rechtlichen ebenso wie die Sicherheitsprobleme hin: „Ich empfehle der Bundesregierung, für die Identifizierung von Kunden nach dem Geldwäschegesetz auf die Möglichkeiten einer Video-Identifizierung zu verzichten. Es ist weder die Wirksamkeit einer solchen Identifizierung geklärt, noch entspricht dies den Vorgaben des Personalausweisgesetzes.“
Unabhängig von der technischen Sicherheit bezweifeln Juristen die rechtliche Zulässigkeit des Video-Ident-Verfahrens – die Branchenzeitschrift „Bankmagazin“ berichtete darüber im Februar dieses Jahres. Der Knackpunkt: Ein Video besteht aus „images per second“, also digitalen Kopien pro Sekunde. Der Online-Verifizierer sieht damit lediglich eine Kopie. Eine Kopie beweist aber nicht, dass es dazu ein Original gibt. „Das ist, als würde jemand mit einem Ordner voller Kopien von seinem Personalausweis in die Bankfiliale kommen und damit ein Konto eröffnen wollen“, beschreibt André Zilch, Geschäftsführer der IT-Sicherheitsberatung LSC. Und mit einer Kopie lässt sich die Authentizität eines Originals nicht bestätigen – so auch die Überzeugung des Bundesgerichtshofs.
Rechtlich ist es daher nicht möglich, einen Personalausweis per Video in die digitale Welt zu übertragen. „Eine rechtssichere Identifikation ist für Unternehmen – und damit auch für Banken – essenziell, denn sie müssen wissen, wer ihr Vertragspartner ist“, erklärt Bettina von Braunschweig, Rechtsanwältin aus Köln. Gerade Banken haben verstärkte Verpflichtungen, ihren Kunden zu kennen, um Geldwäsche vorzubeugen. „Auch Kunden, deren Identitäten missbraucht werden, geraten schnell in Schwierigkeiten.“ Sie rät daher: „Wer auf Nummer Sicher gehen will, nutzt den E-Personalausweis oder geht weiterhin zur Post fürs PostIdent-Verfahren, um dann anschließend online tätig zu werden – auch wenn es etwas umständlicher ist.“ Gegenüber dem Bankmagazin erklärte Notar Otfried Krumpholz: „Das fliegt einem erst um die Ohren, wenn einer das Verfahren missbraucht hat ... also beispielsweise ein Konto unter falschem Namen eröffnet wird, über das dann Gelder zur Terrorismusfinanzierung fließen. Und nachdem die Terroristen dann irgendetwas in die Luft gesprengt haben, stellt man fest, dass da bei der Kontoeröffnung was schiefgelaufen ist.“ ANJA KÜHNER
Nur E-Ausweis ermöglicht sichere Identifizierung
Einzig und allein der elektronische Personalausweis (eID) ermöglicht eine rechtssichere digitale Identifizierung. Dieser wird in Deutschland aber bislang nur von wenigen Menschen genutzt, im Unterschied zu den digitalen Vorreiterländern in Skandinavien oder unserem Nachbarland Belgien. Notar Krumpholz fragt sich, „wofür wir die Chips in den Personalausweisen haben. Die sind doch genau dafür da, und dafür werden sie auch gebraucht. Es kommt mir durchaus seltsam vor, dass der Gesetzgeber den Chip einführt, aber dann seine Nutzung nicht fördert und sie vom Bürger auch nicht einfordert.“
Künftig werden Online-Identitäten immer wichtiger. Die EU arbeitet derzeit an Vorschriften, solche „digitalen Brieftaschen“ (Wallets) zu etablieren. Mit ihnen sollen sich die EU-Bürger nicht nur ausweisen können, sondern auch andere Dokumente wie Reisepass, Impfnachweis oder Führerschein, aber auch Geburtsurkunde, Scheidungsurteil oder Bildungsabschlüsse hinterlegen. Kopien und Beglaubigungen werden damit der Vergangenheit angehören, denn bei Bedarf wird künftig das digitale Original vorgelegt.
Computerviren seit 40 Jahren im Umlauf
Vor ziemlich genau 40 Jahren, am 10. November 1983, hat der damalige Informatik-Student Fred Cohen in einem Uni-Seminar den ersten Computervirus gezeigt, der alle heute üblichen, schädlichen Funktionen vereint. Das Programm installiert sich und vermehrt sich, indem es sich an andere Dateien anhängt. Der IT-Branchenverband Bitcom nimmt diese Erinnerung zum Anlass, einmal mehr auf das Thema Bedrohung durch Cyberkriminalität hinzuweisen.
Laut einer Befragung des Verbandes wurden 20 Prozent der Internetnutzer in Deutschland in den vergangenen zwölf Monaten Opfer von Computerviren und anderen Schadprogrammen, obwohl Virenschutzprogramme inzwischen zum Standard gehören. 89 Prozent derjenigen, die einen privaten Computer nutzen, haben entsprechende Schutz-Software installiert. jgr
