Ab dem 15. Juni 2017 wird die Video-Identifikation noch sicherer, denn dann tritt das BaFin-Rundschreiben 3/2017 (GW) – Videoidentifizierungsverfahren in Kraft. Darin hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Anfang April neue Standards für das etablierte Verfahren zur Kunden-Legitimation per Video-Chat festgelegt.
So wird es beispielsweise Pflicht, den gesamten Ident-Vorgang durchgängig auf Video aufzunehmen, um ihn jederzeit überprüfen zu können. Weitere Anforderungen liegen unter anderem in der Ende-zu-Ende-Verschlüsselung der Video-Identifikation und der Prüfung weiterer Sicherheitsmerkmale.
In Deutschland ist seit 2014 die rechtssichere Legitimation von Kunden per Video-Chat möglich, um etwa online ein Konto zu eröffnen. In der Branche wurde das neue BaFin-Rundschreiben positiv aufgenommen, da es die Video-Identifikation bestätigt und deren Sicherheit weiter erhöht, ohne dabei die Nutzerfreundlichkeit einzuschränken.
Thorsten Höche, Mitglied der Geschäftsführung und Chefjustiziar vom Bankenverband über das neue Rundschreiben: „Erfahrungsgemäß ist die Online-Legitimation ein sicheres und nachvollziehbares Verfahren zur Kundenidentifizierung außerhalb von Bank-Filialen. Mit den neuen Vorgaben dauert der Identifikationsvorgang zwar etwas länger, aber das ist ein akzeptabler Preis für noch mehr Sicherheit und Transparenz. Die Nutzerfreundlichkeit des Verfahrens wird dadurch nicht weiter beeinträchtigt.“
Zu den wichtigsten technischen und organisatorischen Neuerungen des BaFin-Rundschreibens 3/2017 (GW)- Videoidentifizierungsverfahren gehören:
Video-Aufzeichnung: Der gesamte Identifikationsvorgang ist künftig in akustischer und visueller Form aufzuzeichnen und aufzubewahren. Damit werden durchgängige Video-Aufnahmen Pflicht. Aufzeichnungen in Form von Serienbildern oder Screenshots reichen laut BaFin nicht aus, da sie nicht gewährleisten, dass alle Einzelschritte dokumentiert werden. Die Aufnahmen müssen mindestens fünf Jahre lang nach Beendigung der Geschäftsbeziehung gespeichert werden. So wird die einzelne Identifizierung im Falle einer Revision oder Kontrolle der BaFin nachvollziehbar.
Ein Datenschutz-Konflikt entsteht laut BaFin dadurch nicht, da es § 8 GwG erlaubt, den Prozess vollständig und dauerhaft auch ohne Schwärzung von Ausweisteilen aufzuzeichnen. Dadurch erhöht sich das Datenvolumen pro Identifikationsvorgang auf rund zehn MB, was von den Banken und Ident-Anbietern entsprechende Serverkapazitäten zur Speicherung der Aufnahmen und Ident-Informationen verlangt.
Ende-zu-Ende-Verschlüsselung: Die Kommunikation zwischen Nutzer und Ident-Spezialist muss über eine Ende-zu-Ende-Verschlüsselung und mit mindestens 2.048 Bit laufen. Dienste wie Skype oder iChat und Verbindungen mit geringerer Verschlüsselung sind damit nicht mehr erlaubt. Grundlage dafür sind die Empfehlungen der Technischen Richtlinie TR-02102 des Bundesamts für Sicherheit in der Informationstechnik (BSI) und die Anforderungen an kryptographische Verfahren.
Sichtprüfung von Sicherheitsmerkmalen: Künftig ist eine zufällige Auswahl von drei Sicherheitsmerkmale aus verschiedenen Kategorien zu überprüfen, die im Weißlicht erkennbar sind. Dazu zählen beispielsweise die Hologramme, das Laserkippbild und der Sicherheitsdruck des Ausweises. Um Manipulationen entgegenzuwirken, müssen die Ident-Spezialisten die Sichtprüfung mit Hilfe ausschnittvergrößerter Standbilder durchführen. Dafür ist es wichtig, hochaufgelöste Bilder zu erzeugen, um mühelos Sicherheitsmerkmale wie die Guillochen-Strukturen und Mikroschriften zu erkennen.
Ausweisdokumente, die die geforderten Sicherheitsmerkmale nicht aufweisen, sind künftig nicht mehr zur Legitimation zugelassen. Neu sind außerdem eine automatisierte Gültigkeits- und Plausibilitätsprüfung der Ausweisdaten, die Bewegung des Ausweises vor der Kamera und die Bestätigung des Anlasses der Identifikation.
Weitere Vorgaben betreffen Schulungsmaßnahmen und -zyklen der Ident-Spezialisten, die jedoch keine wesentlichen Änderungen zum bisherigen Vorgehen darstellen. Der Ident-Experte IDnow stand im Vorfeld des BaFin-Rundschreibens 3/2017 (GW) in enger Abstimmung mit den entscheidenden Gremien. „Wir waren im Rahmen einer technischen Arbeitsgruppe an der Erarbeitung der neuen Maßnahmen beteiligt“, sagt Managing Director Armin Bauer. „Viele der neuen Vorgaben setzen wir bereits seit dem Start von IDnow Video-Ident ein. So haben wir eine patentierte Software entwickelt, über die wir hochaufgelöste Bilder erzeugen können. Gerade mit den erhöhten Anforderungen wird diese Technologie wichtiger denn je, um die Guillochen zu prüfen. Außerdem erleichtern wir Banken die Umsetzung der neuen Anforderungen, indem wir ihnen ausreichend Speicherplatz für die geforderten Video-Aufnahmen auf firmeneigenen Servern in Deutschland anbieten.“
Interview mit Claudia Zimmermann
