In einer Welt, die zunehmend digitalisiert ist, wird der Schutz unserer Online-Identität zu einer immer wichtigeren Angelegenheit. Die Art und Weise, wie wir uns online identifiziert, spielt eine entscheidende Rolle für die Sicherheit unserer persönlichen Informationen. In diesem Blogeintrag werfen wir einen umfassenden Blick auf die verschiedenen Methoden der Online-Identifikation, sprechen über potenzielle Risiken und zeigen euch auf, warum gerade die Sicherheit eurer digitalen Identität für uns von großer Bedeutung ist.
Egal, ob ihr gerade erst in die Welt des Online-Bankings einsteigt, eure ersten Einkäufe im Internet tätigt oder Abschluss von Onlineverträgen – die Wahl der richtigen Identifikationsmethode ist entscheidend. Unternehmen, insbesondere in den Bereichen Versicherungen, Verwaltungen, Banken und einige weitere online Diensteanbieter, müssen sich an die KYC-Anforderungen der Bafin halten, wodurch die Sicherheit eurer Identität eine noch größere Rolle spielt. Begleitet uns auf eine Reise durch die Welt der Online-Identifikation, während wir die Vor- und Nachteile verschiedener Technologien beleuchten und euch zeigen, wie ihr eure persönliche Online-Identität auf sichere Weise verwalten könnt.
Die verbreiteten Verfahren, um sich in Deutschland zu identifizieren, sind zum einen das VideoIdent Verfahren, das Einscannen eines Ausweisdokumentes, sowie das PostIdent-Verfahren. Seit einigen Jahren verfügen auch alle neu ausgestellten Ausweisdokumente eine Onlineausweisfunktion.
Das VideoIdent-Verfahren ermöglicht die Identitätsprüfung über eine Videoverbindung. Der Nutzer muss sich in Echtzeit vor einer Kamera legitimieren. Dieses Verfahren kann zeitaufwendig sein und birgt potenzielle Unsicherheiten, da die Verbindung anfällig für Störungen oder betrügerische Aktivitäten sein kann. Beispielweise durch DeepFake. Hierdurch werden die notwendigen Maßnahmen immer aufwendig und somit auch teurer sowie fehleranfälliger.
Beim PostIdent-Verfahren erfolgt die Identitätsprüfung persönlich in einer Postfiliale. Es ist mit Kosten für den Auftragsgeber verbunden und erfordert zusätzlichen Aufwand, da der Nutzer physisch anwesend sein muss. Du die physische Anwesenheit können die physischen Sicherheitsmerkmale des Ausweisdokumentes verwendet werden. Jedoch sind die hohen Kosten für Unternehmen unattraktiv und für den Endverbraucher ist diese Identifikation häufig zu aufwendig, insbesondere wenn keine Postfiliale in unmittelbarer Nähe ist.
Eine weitere Möglichkeit, die häufig eingesetzt, jedoch in Beliebtheit deutlich sinkt, ist das einfache Einscannen eines Ausweisdokumentes und gleichzeitigem Upload eines Fotos. Ein Mitarbeiter und /oder eine KI gestützte Software prüft dann, ob die Person, die ist die auf dem Ausweisdokument abgebildet ist. Wie schon beim VideoIdent Verfahren, kann eine solche Kopie des Ausweises leicht gefälscht werden und auch Fotos von der eigenen Person können durch KI oder Bildbearbeitungsprogramme schnell abgeändert werden.
Die Onlineausweisfunktion des Personalausweises verwendet einen elektronischen Chip, welcher im Ausweis eingebettet ist. Dieser lässt sich dann per NFC fähigem Smartphone oder Kartenlesegerät auslesen. Hierfür ist zum einen das physische Auseisdokument des Endverbrauchers erforderlich und zum anderen der persönliche Pin. Von allen genannten Möglichkeiten ist, die Variante die technisch sicherste. Die Erstellung einer falschen Identität ist somit ausgeschlossen. Ein Problem mit diesem Verfahren ist die noch sporadische Verwendung und der hohe Aufwand für Unternehmen diese Funktion einzubinden. Aus Endverbrauchersicht ist das Problem, dass es kaum Anwendungsbereiche gibt und die wenigsten ihren Pin kennen. Wodurch der Einsatz häufig nicht stattfindet. Ein Rücksetzen der Pin ist mit einem Gang zum Bürgeramt verbunden oder mit der Anforderung eines Rücksetzbriefes. Dieser Aufwand ist für viele zu hoch.
Für unterschiedliche Szenarien gibt es unterschiedliche Anforderungen. So wird nach der eIDAS Verordnung sowie von der Technischen Richtlinie TR03147 des Bundesamts für Sicherheit in der Informationstechnik drei unterschiedliche Sicherheitsniveaus definiert.
- Normal
- Substanziell
- Hoch
Die Anforderungen sind individuell an verschiedene Verfahren angepasst. Die Details können der Technischen Richtlinie TR03147 des BSI entnommen werden. Grundsätzlich gilt je aufwendiger die Fälschung, desto höher ist auch das Niveau. Das Geldwäschegesetz (GWG) schreibt unter anderem vor, wann welches Niveau verwendet werden muss. Zudem verhalten sich die Niveaus transitiv. Hierdurch erfüllt Niveau 2 alle Anforderungen von Niveau 1, und Niveau 3 alle von Niveau 2.
Doch welche Verfahren verwendet Brifle? Für uns ist es sehr wichtig, dass wir eine 100-prozentige Sicherheit haben, dass die Person, die sie vorgibt zu sein, auch wirklich diejenige ist. Aus diesem Grund verwenden wir ausschließlich die Online-Ausweisfunktion des Personalausweises.
Aber warum ist das so? Wenn du dich bei Brifle registrierst, werden künftig alle deine Brifle, Verträge und Rechnungen von allen teilnehmenden Unternehmen und Behörden an dein Brifle-Postfach geleitet. Um zu verhindern, dass sich eine andere Person für dich ausgibt, erlauben wir weder das Scannen von Ausweisdokumenten noch das VideoIdent-Verfahren. Aber hier kommt die gute Nachricht: Nachdem du dich registriert hast, kannst du ebenfalls Dokumente direkt in deinem Postfach unterschreiben, ohne dich erneut identifizieren zu müssen. Außerdem kannst du deinen Brifle-Account verwenden, um dich auf anderen Plattformen zu identifizieren, zum Beispiel für Vertragsänderungen.
Du erhältst also ein digitales Online-Ausweisdokument. Dieses Dokument wird sicher auf deinem Smartphone gespeichert und kann nur bei Eingabe von biometrischen Daten wie Face ID oder Fingerabdruck ausgelesen werden.