ARCHIV27. November 2022

“VideoIdent – ist das sicher oder kann das weg?”

VideoIdent ist nicht Videoidentifizierung
Richman-Photo/mr.travellers/bigstock.com/ITFM

Die Überschrift zu diesem bereits seit längerem geplanten Artikel hat mir Sascha Dewald geliefert. Er ist Senior Vice President Retail Banking bei der DKB. Ist Videoidentifizierung wirklich sicher, und welche Alternativen der Fernidentifikation gibt es? Ident-Experte Rudolf Linsenbarth nimmt den Status-Quo unter die Lupe.

von Rudolf Linsenbarth

In einem extrem meinungsstarken Post auf LinkedIn stellt Sascha Dewald die folgenden Thesen zum Thema Videoident­ifizierung auf:

1. Durch den Einsatz von geschulten Agenten lässt sich die VideoIdent auf ein akzeptables Sicherheitsniveau heben
2. VideoIdent ist derzeit in Ermangelung von Alternativen als Brückentechnologie unverzichtbar!
3. Die Umsetzung einer neuen, sicheren und kundenfreundliche(re)n Digitalen Identität liegt beim Staat!

Anlass für diese Wortmeldung war der Hack des Sicherheitsforscher und CCC Mitglied Martin Tschirsich im Sommer 2022. Bisher ist VideoIdent, im Gegensatz zum staatlich angebotene eID-Verfahren, eine Erfolgsgeschichte. Wie geht es jetzt also weiter.

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
VideoIdent ist eine von mehreren Möglichkeiten der Fernidentifizierung natürlicher Personen. Bei einer Videoidentifizierung, wie das Verfahren von der BaFin bezeichnet wird, findet ein Abgleich zwischen der zu identifizierenden natürlichen Person und einem physischen ID-Dokument, meist ein Personalausweis oder ein Reisepass, statt. Im Prinzip ein ganz alltäglicher Vorgang, wie er tausendfach bei jedem Grenzübertritt oder einer Polizeikontrolle vorkommt. Die Besonderheit bei der Videoidentifizierung ist, dass sich Prüfer und die identifizierende Person nicht direkt anschauen können, sondern in getrennten Räumen nur per Video-Konferenz (zumeist mittels Smartphone) miteinander kommunizieren.

Schwachpunkte der Videoidentifizierung, neben Bedenken bei der Sicherheit, sind im Vergleich zur eID eine schlechte UX und die Notwendigkeit, einen Agenten als Prüfer vorzuhalten. Das schlägt sich in den Kosten nieder und führt in Peak-Zeiten zu Warteschlangen am „Video-Ident-Tresen“. Abhilfe sollen hier automatisierte Verfahren schaffen.

Unterschied von physischem und digitalen Identifikationsdokument

Auf die Frage, ob ein Ausweisdokument als physisch oder digital bezeichnet wird, gibt es zwei Sichtweisen.

1. Zum einen kann man sich am Formfaktor orientieren. Dann wäre der Plastikpersonalausweis immer als ein physisches Dokument anzusehen (auch wenn die eID-Funktion zum Einsatz kommt) und die „Smart eID“, also der im Secure Element des Smartphones gespeicherte Ausweis, das digitale Pendant.

2. Eine andere Betrachtungsweise wäre die Frage, ob die Daten für den biometrischen Abgleich analog oder digital ausgelesen werden. Bei unserem Reisepass ist zum Beispiel beides möglich. Das biometrische Foto ist sowohl auf das Dokument gedruckt, lässt sich aber auch per NFC mit einem Smartphone auslesen. Für den Personalausweis gilt das nicht, hier ist der Zugriff auf das Foto nur berechtigten Behörden gestattet. Für den digitalen Abgleich ist hier die eID-Funktion vorgesehen.

Im Folgenden werde ich mich der zweiten Sichtweise anschließen und immer dann von einem digitalen Identifikationsdokument sprechen, wenn die ID-Daten auf digitalem Weg ausgelesen werden können.

VideoIdent ist ungleich Videoidentifizierung

Die Frage ist, ob eine „unbeaufsichtigte“ Videoidentifizierung zu Lasten der Sicherheit geht. Die Antwort ist nicht so einfach, da es unter den Videoidentifizierungsverfahren eine große Spannbreite an Umsetzungen gibt, die vielfach in einen Topf geschmissen werden.

Zum Beispiel vermarktet IDnow unter dem Namen VideoIdent eine Online-Identifikation via expertengestütztem Video-Chat. Das Produkt ohne beaufsichtigenden Agenten heißt dagegen AutoIdent. Bei WebID lautet der Name für die Agenten-basierte Identifikation Video ID (Live Call) und die Deutsche Post bezeichnet es als Foto-Ident. Mit Foto-ID dagegen wurde ein unbeaufsichtigtes Verfahren von JenID Solutions angekündigt. Ob dabei wirklich nur ein einzelnes Foto der Vorder- und Rückseite verwendet wird oder doch eine ganze Video-Sequenz zum Einsatz kommt, ist nicht eindeutig, mittlerweile wurde es in Genuine-ID umbenannt. Bei Nect lief das automatisierte Videoidentifizierungsverfahren früher unter den Bezeichnungen Robo-Ident oder Selfie-Ident, mittlerweile spricht man dort lieber von der Nect Ident und bezeichnet damit wechselweise entweder nur die eigne automatisierte Videoidentifizierung oder das Bundle aller Identifizierungsverfahren aus dem Portfolio.

Ob eine Videoidentifizierung mit oder ohne Agenten stattfindet, sieht man sofort, genau wie die Frage ob vom Ausweis nur ein einzelnes Foto gemacht wird oder zur Prüfung eine komplette Videosequenz übertragen wird. Anders dagegen die Frage, ob ein unbeaufsichtigter Identifizierungsvorgang nachträglich von einem Menschen geprüft wird und ob eine KI zum Einsatz kommt und wie gut sie trainiert ist. Trotzdem wird vielfach alles über einen Leisten gezogen, wie die Reaktion der gematik zeigt.

Was wäre eigentlich die Alternative zu einer Videoidentifizierung? In der nachfolgenden Tabelle findet man die derzeit am Markt befindlichen Fernidentifizierungsmethoden im Vergleich.

Fernidentifzierung Art der Prüfung ID Quelle Beispiele
Videoidentifizierungsverfahren manuell/

automatisiert

physisches ID-Dokument *) Verschiedene Verfahren mit und ohne Agenten, sowie mit und ohne KI von einer Vielzahl von Anbietern
Elektronischer Identitätsnachweis(eID) automatisiert digitales
ID-Dokument *)
In Deutschland ist das einzig zugelassene eID-Verfahren der Personalausweis, darüber hinaus wird noch an der Smart-eID gearbeitet
Qualifizierte elektronische Signatur (QES) automatisiert digitales
ID-Dokument *)
Eine Liste der in Europa zugelassenen Dienstleister findet man unter diesem Link mit der Kennzeichnung

QCertf or ESig

Bank-Identifizierung automatisiert ID-Register Eine Bank-Identifizierung wird in Deutschland von den folgenden Dienstleistern angeboten:
· Solaris Bank
· Verimi
· WebID
· YES
SSI automatisiert ID-Register ID Wallets einer Vielzahl von SSI-Anbietern

Entropie der Anwendungsfälle

Betrachtet man einmal die fünf wichtigsten Anwendungsfälle der Fernidentifikation, nimmt die Entropie noch einmal erheblich zu. Statt einer einheitlichen Testung und Bewertung besitzt jedes Silo eine eigene gesetzliche Grundlage, eigene Durchführungsverordnungen und meist auch eine eigene Aufsichtsbehörde. Das heißt, die Vorgaben für eine Videoidentifizierung bei KYC sind andere als für Vertrauensdiensteanbieter oder Identverfahren für Prepaid-Mobilfunkdienste. Bei der Fernidentifizierung für die elektronische Patientenakte habe ich überhaupt keine Durchführungsverordnung gefunden. Beim „Digitalen Behördengang“ gilt sowieso, alle Identifizierungsverfahren außer der eID, somit ist auch die Videoidentifizierung außen vor.

Ministerium / Aufsicht Gesetzliche Grundlage/ Verordnung Zugelassene ID-Verfahren
KYC-Identifizierung gemäß GwC Bundes­finanz­ministerium (BMF) / Bundesanstalt für Finanz­dienst­leistungs­aufsicht (BaFin) GwG (Geldwäschegesetz) / AuA (Auslegungs- und Anwendungshinweise) eID
QES (Qualifizierte elektronische Signatur) + Referenzüberweisung
Video­identi­fizierungs­verfahren mit Agenten
(hierzu Mitteilung der BaFin)
Identverfahren für Prepaid-Mobilfunkdienste Bundesministerium für Wirtschaft und Klimaschutz (BMWK) / Bundesnetzagentur TKG (Tele­kommunikations­gesetz)

Konformitätsbewertung

eID
Anlassbezogene klassische Video-Identifikation
Anlassbezogene automatisierte Video-Identifikation
Ver­trauens­dienste­anbieter Identifizierung Bundesministerium für Wirtschaft und Klimaschutz (BMWK) / Bundesnetzagentur VDG (Vertrauens­dienste­gesetz ) / Modulbestätigung eID
Videoidentifizierung mit Agenten
Videoidentifizierung mit automatisiertem Verfahren
Nutzung eines elektronischen Identitätsnachweises mit einem mobilen Endgerät gemäß § 18 Absatz 2 Satz 1 Nummer 2 PAuswG. (Smart eID?)
Identifizierung für die elektronische Patientenakte (ePA) Bundesministerium für Gesundheit (BMG) / Gematik PDSG (Patientendaten-Schutz-Gesetz) / Informationspflicht gemäß § 314 eID
Videoidentifizierung egal ob mit oder ohne Agenten ist derzeit gemäß einer Mitteilung der gematik bis auf weiteres untersagt
Digitaler Behördengang Bundesministerium des Innern und für Heimat (BMI) OZG (Onlinezugangsgesetz ) eID

ETSI das European Telecommunications Standards Institute hat mit der Norm TS 119 461 eine Möglichkeit geschaffen, die unterschiedlichen Videoidentifizierungsverfahren zu gruppieren. Ob damit eine bessere Einschätzung des Sicherheitslevels der jeweiligen Lösung möglich ist, erörtere ich im nächsten Beitrag.Rudolf Linsenbarth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert