Rechtlich verbindliche Transaktionen über das Internet durchzuführen ist heute zumeist sehr zäh. Statt sich einfach digital auszuweisen, muss man umständliche und zeitraubende Verfahren, wie die Videolegitimation oder gar eine Prüfung im Postamt, durchlaufen. Geht das nicht einfacher? Klar! Meine Bank kennt doch meine Identität und könnte diese anderen Parteien gegenüber bestätigen. Wie das funktionieren kann, beschreibt unser Autor.

Eines Tages im Zug auf dem Weg nach München, es ist leider viel zu spät geworden. Busse und S-Bahnen bringen den Reisenden heute nicht mehr ins abgelegene aber günstige Hotel und am nächsten Morgen steht das wichtige Meeting an. Dank Car Sharing bekommt man am Hauptbahnhof auch spätabends am Automaten noch ein Auto. Gesagt, getan, der Reisende lädt die App des Car Sharing Service herunter und registriert sich. Aber was ist das? «Wir werden sie jetzt mit einem Agenten verbinden, der Ihre Personalien prüft. Stellen Sie eine stabile Internetverbindung für die Videokommunikation sicher.» Echt jetzt? Im ICE bei Tempo 300?

Wie einfach könnte das Leben doch sein, wenn sich Reisende jetzt einfach mit seinem Online-Banking-Account ausweisen könnten. Das würde schnell und robust funktionieren, denn dieser Account existiert bereits. Die Bank hat die Personalien nach den Vorgaben des jeweiligen Geldwäschegesetzes erhoben und geprüft und das Nutzerkonto ist mit Zwei-Faktor-Authentifizierung gegen Missbrauch geschützt. Für Dienste im digitalen Ökosystem könnte das der Conversion-Himmel auf Erden sein, denn schliesslich gibt es weltweit ungefähr 2 Milliarden Menschen, die Online-Banking benutzen (1). Damit bewegt man sich im Bereich der Gesamtnutzerzahl von Facebook. Wenn es gelingt, diese existierenden Accounts «anzuzapfen», dann gewinnen Nutzende und Dienste gleichermassen.

Internationales ID-Scheme entwickelt

Aber hier kommt der Haken: Im Unterschied zu Facebook sind die Nutzerinnen und Nutzer leider über ca. 25000 Banken weltweit verstreut, alleine in der EU gibt es 6596 Banken (Stand 2016) (2). Wenn ein Dienst sich also für die Online-Banking-Accounts aller Banken öffnen möchte, muss er im schlimmsten Fall ebenso viele Schnittstellen implementieren, Verträge abschliessen und Rechnungen prüfen und bezahlen. Und wie findet der Dienst für einen konkreten Nutzer heraus, mit welcher Bank er Kontakt aufnehmen soll? Wie wird den Nutzerinnen und Nutzern diese neue Funktion nahegebracht und wie erkennen sie sie wieder?

Eine mögliche Antwort liefert yes.com, das Startup-Unternehmen, welches ein internationales ID Scheme etabliert, in dem Banken ihre Fähigkeiten unter einer Marke und einem einheitlichen Button bündeln. Dafür definiert yes® einen einheitlichen Schnittstellen-Standard für die Kommunikation zwischen Diensten und Banken, verwaltet die Teilnehmenden des Schemes, ermöglicht deren Kontaktaufnahme im Rahmen einer Transaktion und kümmert sich auch um Vertragsmanagement und Abrechnung.

Aus Sicht der Nutzerinnen und Nutzer läuft der Prozess wie folgt ab: Auf der Seite des Dienstes erscheint ein Button «yes® ich will mich mit meiner Bank ausweisen». Wenn sie auf diesen Button klicken, dann müssen sie (einmalig) ihre Bank auswählen. Danach werden sie für den weiteren Prozess zu ihrer Bank geschickt. Dort loggen sie sich ein und bekommen das Anliegen des Dienstes angezeigt, z.B. der Zugriff auf die geprüften Ausweisdaten bei der Bank. Stimmen die Nutzerinnen und Nutzer dieser Anfrage zu, werden die Daten an den Dienst übertragen. Wurde der Prozess auf einem Gerät schon einmal durchlaufen, dann wird man nach dem Klick auf den yes®-Button direkt zur Bank weitergeleitet.

Bankverbindung als zuverlässige ID

Der Ansatz von yes® stellt also die bestehende Bankbeziehung in den Mittelpunkt. Das ist vorteilhaft für die Nutzenden, da sie ihr bestehendes Online Banking verwenden können. Es ist auch vorteilhaft für die Bank, da sie als Plattform im digitalen Leben ihrer Kundschaft auftritt und damit die Wertschöpfung erhöht und das Kundenverhältnis intensiviert. Und der Dienst profitiert von einer Verbesserung der Conversion.

Technisch gesehen basiert der Ansatz von yes® auf den etablierten Internet-Standards OAuth 2.0 und OpenID Connect. Hinzu kommen Erweiterungen, die dem Sicherheitsniveau eines solchen Schemes angemessen sind. Zum Beispiel kommen für die Authentifizierung der Dienste ausschliesslich TLS-Zertifikate zum Einsatz. Alle ausgestellten Tokens sind des Weiteren an diese Zertifikate gebunden, damit kann ein Diebstahl und die Verwendung dieser Tokens durch Angriffe wirksam verhindert werden.

Der Schutz der Privatsphäre der Nutzerinnen und Nutzer ist bei yes® «built-in». So erfolgt der Austausch von personenbezogenen Daten ausschliesslich über Ende-zu-Ende verschlüsselte Verbindungen zwischen Bank (als IDP) und dem abnehmenden Dienst. Es gibt keinen Mittelsmann, der die Daten ausspähen könnte, Daten gehen direkt von der Bank zum Dienst. Die Schnittstelle für den Dienst ist nach dem Prinzip der Datensparsamkeit ausgelegt. Dienste fragen damit feingranular genau nur die Datenelemente an, die sie für den Zweck benötigen. Den Nutzerinnen und Nutzern wird genau angezeigt, welche Daten der Dienst zu welchem Zweck anfragt. Hinzu kommt immer ein Link auf die Datenschutzerklärung des Dienstes, aus der hervorgeht, wie mit diesen Daten umgegangen wird. Damit treffen die Nutzerinnen und Nutzer immer informierte Entscheidungen. Und wenn sie nachträglich Zustimmungen einsehen oder zurücknehmen wollen, können sie das im Online-Banking oder in der App ihrer Bank tun.

Internationale Gesetze müssen berücksichtigt werden

Jenseits der Technik gilt es rechtlichen Anforderungen zu genügen. Internet-Dienste sind dabei mit unterschiedlichen Rechtskontexten konfrontiert, in Europa z.B. eIDAS, in Deutschland dem Telekommunikationsgesetz (TKG) oder dem Geldwäschegesetz (GwG), die unterschiedliche Anforderungen an die Identifizierung von Personen stellen. Das Vertrauensmodell von yes® basiert grundsätzlich auf dem GwG als der Basis für die Identifizierung von Kunden für Banken. Davon ausgehend können Abbildungen auf andere Gesetze, wie eIDAS, definiert werden. Und so kann mit yes® nicht nur eine Identifikation entsprechend TKG erfolgen, es ist auch möglich mit dem existierenden Online-Banking-Account rechtsverbindliche elektronische Unterschriften nach eIDAS zu leisten.

Und so werden sich Reisende bald mit ihrer Bank-Identität auch auf den letzten Drücker beim Car Sharing rechtssicher anmelden können. Darüber hinaus werden sie ihre Bonität nachweisen, bezahlen, rechtskonform elektronisch unterschreiben und vieles mehr können, denn yes® soll sich zu einem universalen Zustimmungsscheme auf Basis von Bank-Identitäten entwickeln.

Referenzen

https://www.juniperresearch.com/press/press-releases/digital-banking-users-to-reach-2-billion

https://www.ebf.eu/facts-and-figures/structure-and-economic-contribution-of-the-banking-sector/