IDENTITY-INTERVIEW28. Mai 2020

Trust Services: “Deutschland hat eine sehr stark auf Smartcards ausgerichtete Sichtweise”

Andreas Vollmert, Strategic Growth Manager Swisscom Trust Services
Andreas Vollmert, Strategic Growth Manager Swisscom Trust Services Swisscom Trust Services

Banken haben per se Vertrauen und Kundenwissen und sind gewohnt, in einem stark regulierten Umfeld zu arbeiten. Dennoch sind Trust Services ein eher bankfremdes Produkt. Tele­komunikations­unternehmen arbeiten viel länger mit Technologien wie Smartcards. Ein Vorinvest, das auch die Swisscom Trust Services schon früh getätigt hat und nun nach Deutschland bringt. Der IT Finanzmagazin-Identity-Experte Rudolf Linsenbarth hat mit Marco Schmid und Andreas Vollmert von der Swisscom Trust Services über die Herausforderungen gesprochen.

Herr Schmid und Herr Vollmert, warum ist die Swisscom bei den Trust Services stärker aufgestellt als die deutschen Wettbewerber aus dem Telko-Umfeld?

Marco Schmid, Head of International Expansion Strategy Swisscom Trust Services
Marco Schmid, Head of International Expansion Strategy SwisscomSwisscom
Wir bei  Swisscom Trust Services schauen uns erst die Prozesse an und erstellen dann auf Grund der Analyse die Produkte. Das heißt, wir versuchen nicht den Markt mit einem Standardprodukt zu besetzen. QES und Siegel sind dabei unsere wesentlichen Bausteine.
Wir sind sehr breit aufgestellt und können sehr schnell Prozesse erweitern oder verändern. Swisscom Trust Services hat ein integriertes Verständnis:

Identifikation  –> Authentifizierung –> Signatur

Es ist für uns auch ein gewisser USP, dass wir weltweit agierenden Kunden nicht nur Vertrauensdienste nach EU-Recht bieten, sondern auch die Signatur nach Schweizer Regulierung offerieren können.”

Nicht zuletzt haben wir bei Swisscom Trust Services die Agilität eines mittelständischen Unternehmens und durch unsere Mutter Swisscom die Stärke eines Großunternehmens.

Die Swisscom Trust Services musste sich für den EU-Markteintritt auch in einem Land der EU zertifizieren lassen. Sie haben dafür Österreich gewählt. Warum?

Für Österreich sprach zum einen, dass es keine Sprachbarrieren gibt und wir dort auch schon Geschäftsbeziehungen hatten. Außerdem sind wir mit der dortigen Regulierung zufrieden.

Es aber nicht ausgeschlossen, dass wir auch in anderen Ländern weitere Einheiten aufbauen.

Sind die Hürden in Deutschland einfach zu hoch?

Deutschland hat eine sehr stark auf Smartcards ausgerichtete Sichtweise für das Thema Signatur. Entsprechend fällt auch die Regulierung aus. Zudem sind in Deutschland sehr viele Stellen mit dem Thema beschäftigt, was die Abläufe nicht zwingend vereinfacht.

Österreich dagegen hat früh auf die Handysignatur gesetzt. Dadurch konnten wir z.B. die Fernsignatur sehr schnell umsetzen.

Andreas Vollmert und Marco Schmid, Swisscom Trust Services
Andreas Vollmert, Strategic Growth Manager Swisscom Trust ServicesAndreas Vollmert ist als “Stra­te­gic Growth Ma­na­ger” für die Ent­wick­lung der Swiss­com Trust Ser­vices in Deutsch­land ver­ant­wort­lich. Er be­dient über al­le Bran­chen ak­tu­el­le Ein­satz­ge­bie­te und er­schlie­ßt stra­te­gi­sche Zu­kunfts­märk­te für den Ein­satz von elek­tro­ni­schen Si­gna­tu­ren aus dem “All-In-Si­gning-Ser­vice” der Swisscom.

Marco Schmid, Head of International Expansion Strategy Swisscom Trust ServicesMarco Schmid begann sei­ne Kar­rie­re bei BMW in der Schweiz als Pro­jekt­ma­na­ger und Sys­tem­ad­mi­nis­tra­tor und wur­de dar­auf­hin IT-Ma­na­ger im Test­team des deut­schen For­mel-1-Renn­stalls BMW Sau­ber F1. Im An­schluss ar­bei­te­te er für ver­schie­de­ne IT-Dienst­leis­tungs­un­ter­neh­men als Pro­jekt­ma­na­ger und kam spä­ter als Coun­try Ma­na­ger für die DACH-Re­gi­on zum Web­hos­ter Rack­s­pace, der un­ter an­de­rem Kun­den wie Git­Hub oder Vo­da­fo­ne be­treut. Nach­dem er an­schlie­ßend im stra­te­gi­schen Ma­nage­ment als Con­sul­tant für Contrac­tor, ei­nem Per­so­nal­be­ra­ter für IT- und En­gi­nee­ring-Pro­zes­se tä­tig war, wech­sel­te er als Busi­ness Stra­te­gy Ad­vi­sor zum IoT-Un­ter­neh­men ad­nexo (Ent­wick­lung, Be­ra­tung, In­te­gra­ti­on). Seit 2017 ar­bei­tet Mar­co Schmid bei Swiss­com, dem füh­ren­den Schwei­zer Te­le­kom­mu­ni­ka­ti­ons­un­ter­neh­men. Er star­te­te als Sa­les Stra­te­gy Ma­na­ger und ver­ant­wor­tet nun die Trusted Ser­vices als Head of In­ter­na­tio­nal Ex­pan­si­on Strategy.

Wie funktioniert die Mobile ID?

Bei der Mobile ID gibt es zwei Varianten. In der Schweiz legen wir den abgesicherten Zugriff zum Registrierungsservice direkt auf der SIM-Karte ab. In der Schweiz ist die SIM-Karte, verbunden mit der Handynummer, der Anker für Mobile ID.

Außerhalb unseres Heimatmarktes haben wir die Mobile ID App. Der Kunde installiert sich die App. Die Identifizierung erfolgt über den Smart Registration Service, diese wird dann mit der App verknüpft. Danach kann er mit Face-ID oder biometrischem Fingerprint auf seiner App Signaturanfragen auslösen.”

Im Bereich Identifizierung/Authentifizierung gibt es ja noch die GSMA-Initiative Mobile Connect. Ist das auch für Sie ein Thema?

In der Schweiz haben wir das ja mit Mobile ID umgesetzt. In Deutschland fehlt uns dazu der Zugriff auf die SIM-Karte. Wir sehen hier also eher unsere Mobile ID App. Wenn die deutschen Mobilfunk-Unternehmen wollen und wenn der Markt das fordert, können wir hier eine Kompatibilität zu unser QES herzustellen.

Erklären Sie doch bitte, wie ihre Signaturen auf Basis der Bank-Identifizierung bei Ihnen funktionieren.

Hier haben wir zwei unterschiedliche Ansätze, die jeweils mit einem Partner entwickelt wurden.

Zum einen gibt es das YES-System. Hier stellt YES die Kundenidentifikation über die angeschlossenen Kooperationsbanken, YES spricht hier von Aktivbanken, zur Verfügung. Swisscom Trust Services bekommt nur den Namen des Unterzeichners und den Hash Wert des zu unterzeichnenden Dokuments eingeliefert. Wir sind hier also nur der Qualified Trusted Service Provider (QTSP) und liefern für die angegebenen Daten die digitale Signatur.

Das andere Verfahren ist  Klarna-Ident hier nutzen wir einen Signaturprozess, um eine rechtssichere Identifizierung zu dokumentieren. Als erstes gibt der Kunde seine Personaldaten im Klarna-Portal ein. Diese werden von Klarna durch Background Checks geprüft. Gleichzeitig beweist der Kunde gegenüber Klarna als Kontoinformationsdienst, dass er Zugriff auf sein Bankkonto. Dazu werden die Schnittstellen gemäß PSD2 genutzt. Wenn Background Checks und Kontozugriff erfolgreich waren, dokumentieren wir den Vorgang mittels einer Signatur. Danach ist der Kunde nach eIDAS-Vorgaben identifiziert.
Diese aus einer Bankverbindung mittels Signatur bestätigte Identität kann dann für den Zeitraum von 2 Jahren immer wieder verwendet werden.

Sie sprachen bisher viel über ihre Partner. Verfolgt Swisscom Trust Services beim Vertrieb einen Wholesale-Ansatz?

Ja, in der EU haben wir eine Partner-Vertriebsstrategie. Die Partner haben über ihre Fachbereiche bereits Kundenbeziehungen. Das hilft uns, schnell nutzbare Produkte auf den Markt zu bringen.

Wir beginnen meist mit dem Thema Fernsignatur, unserem Kernprodukt. In Deutschland stand daher das Schriftformerfordernis im Vordergrund.”

Das Thema Identifikation ist jetzt quasi ein wichtiger Enabler. Aber eines mit riesigem Potenzial. Wir sehen in verschiedenen Zukunftsthemen enormen Bedarf an Identifizierungsmitteln. Darunter fallen das Online-Zugangsgesetz, eHealth, Personal- und Finanzbranche. Solche komplexen Zulassungen erreichen wir nur mit Partnern wie zum Beispiel YES.

Wie sehen Sie Zukunft der digitalen Identität?

Zwingend positiv! Die Corona-Krise zeigt, dass wir die Zukunft vorziehen müssen.”

Jetzt laufen viele Projekte wie das e-Rezept. In Zukunft muss die digitale Signatur so geschmeidig werden, dass der Kunde keine Brüche mehr wahrnimmt.

Die Fragen stellte Rudolf Linsenbarth
Experte für Digitale Identität und Identifizierung: Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Auf jeden Fall werden die Kunden ihre Identität selber managen und entscheiden, in wie weit die Identitäten angereichert sind und wer welche Informationen davon erhält.

In Zukunft wird es bei der digitalen Signatur auch keine 1:1 Beziehungen zwischen Signaturinhaber und Vertrauensdienst mehr geben.”

Swisscom Trust Services erweitert seinen Einsatz zu einer 1:1:1 Beziehung, in der ein Signierender seinem Identitätsprovider (z.B. Hausbank) die Freigabe für eine Weiterleitung seiner ID an den Vertrauensdiensteanbieter bestätigt. YES zum Beispiel  liefert uns nur den Ort der Identität und die Willenserklärung des Signierenden, wir liefern die Signatur für den Vorgang. Damit sind der ID Dienstleister und der QTSP interoperabel.

Herr Schmid, Herr Vollmert – vielen Dank für das Gespräch!Rudolf Linsenbarth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert