„Ja, ich bin’s!“ – Legitimationsprüfung in Sekunden

Wie wird in Zukunft die Identität des Kunden geprüft? Biometrische Verfahren, Blockchain-Technologien, Mobile ID ... Ansätze gibt es viele. Auch der Personalausweis kann als Zukunftstechnologie betrachtet werden. kartensicherheit.de sprach mit Bernd-Ludwig Müller von der Authada GmbH, um zu klären, ob das neue, BSI-zertifizierte Verfahren von Authada wirklich revolutionär ist.

Der Markt für die Identifizierung der Kunden beim digitalen Onboarding brodelt. Aber jeder kocht sein eigenes Süppchen: Der Staat, Finanzinstitute, große Internetkonzerne, spezialisierte Anbieter, Telekommunikationsunternehmen, Automobilhersteller ... Mit einem Paukenschlag könnte nun ein innovativer Player zahlreiche Konkurrenten überholen. Die Authada GmbH setzt auf die Möglichkeiten des neuen Personalausweises bei der mobilen Identifizierung mit dem Smartphone oder Tablet. Etliche Auszeichnungen hat der visionäre Newcomer schon gewonnen.

Herr Müller, unser Interview könnten wir mit der Überschrift versehen: „Von einem, der auszog, die bestehenden Identifizierungsverfahren zu revolutionieren." Wo ist Authada gestartet? Und ist das Ziel einer Revolution nicht doch etwas vollmundig formuliert?

Die Wurzeln von Authada liegen in der Forschung – alles begann an der Hochschule Darmstadt. Drei der vier Authada-Gründer forschten viele Jahre intensiv im Bereich digitale Identitäten zur Identifizierung und Authentifizierung. Dann war klar, dass mit den Forschungsergebnissen marktreife Lösungen entstanden waren. Im Mai 2015 wurde die Authada GmbH gegründet. Unsere Lösungen sind sehr innovativ und bestehenden Identifizierungsverfahren gegenüber weit voraus. Wenn ich Authada-Lösungen den bisher am Markt vertretenen Verfahren gegenüberstelle, kann ich mit ruhigem Gewissen sagen: Authada-Lösungen ändern von Grund auf bestehende Prozesse.

Die elektronische Identität des Personalausweises (eID) wird in zehn Sekunden übermittelt, versprechen Sie. Das findet natürlich jeder Konsument schön komfortabel, doch wo benötigt er diese Überprüfung?

Etwa beim mobilen und digitalen Eröffnen eines Bank- oder Sparkassenkontos, bei einem online Kreditantrag, wie auch beim Kauf einer SIM-Karte – identifizieren in einer Postfiliale war gestern. Heute identifizieren sich Kunden digital mit der Authada-App, die der Dienstleister in seine Antragsstrecke implementiert. Das bedeutet für den Dienstleister: Beim Aufnahme-Prozess neuer Kunden steigt die Umwandlungsrate und die Absprungraten sinken. Denn mit Authada ist das digitale Identifizieren vollkommen zeit- und ortsunabhängig. Und dabei immer konform mit dem Geldwäsche-, Zahlungsdiensteaufsichts- und Telekommunikationsgesetz sowie höchsten Sicherheitsstandards entsprechend.

Liegen die Einsatz-Vorteile speziell für Finanzinstitute genauso auf der Hand? Welche Verfahren ließen sich mit der Lösung von Authada vereinfachen?

Der Know-Your-Customer-Prozess wird immens verbessert. Für Finanzinstitute gelten besondere regulatorische Anforderungen: Am Ende eines jeden Antrags muss sich der potentielle Kunde den gesetzlichen Vorgaben entsprechend identifizieren (Gesetze zur Geldwäsche und Zahlungsdiensteaufsicht sowie zum Kreditwesen und Personalausweis, aber auch nach EU-Rechtsnormen wie eIDAS (electronic Identification, Authenticitation and trust Services) und DSGVO (Datenschutz-Grundverordnung)). Mit Authada geht das schnell und sicher – es braucht nur den Personalausweis oder elektronischen Aufenthaltstitel, die PIN und ein NFC-fähiges Smartphone oder Tablet. Soweit zu den Fernidentifizierungslösungen.

Dann gibt es aber auch noch die Vor-Ort-Identifizierung, bei der nicht der Endnutzer unsere IT Lösung nutzt, sondern das Finanzinstitut, und zwar per Mitarbeiter oder Terminal. Diese Möglichkeit ist für Finanzinstitute interessant, weil es eine erhebliche Kosten- und Prozessoptimierung im täglichen Geschäft nach sich zieht. Hier benötigt der Verbraucher ausschließlich seinen Personalausweis ohne die sechsstellige PIN, da ein Lichtbildabgleich aus gesetzlichen Vorgaben erforderlich ist.

Und was halten Ihnen Skeptiker oder Konkurrenten entgegen?

Die Marktdurchdringung – also die Anzahl der Nutzer eines aktivierten Personalausweises – ist eine kritische Anmerkung, die wir manchmal hören. Dem kann ich die offiziellen Zahlen des Bundesinnenministeriums entgegenhalten: Seit der Einführung des elektronischen Ausweises im Jahre 2010 bis zum Juli 2018 sind rund 57 Mio. neue Personalausweise ausgegeben worden. Bis vor einem Jahr konnte der Bürger noch selbst entscheiden, ob sie die Online-Ausweisfunktion aktiviert haben möchten oder nicht. Seit Juli 2017 werden prinzipiell nur noch Ausweise mit eingeschalteter Online-Ausweisfunktion ausgegeben. Daher wächst der Anteil von 22,5 Mio. aktivierten Ausweisen (Stand Juli 2018) jährlich um rund 8 Mio. Keine andere Chip-Karte erreicht eine so hohe Verbreitung.
Wir stehen zudem in sehr engem und kontinuierlichem Austausch mit Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder Ministerien wie dem Bundesministerium des Innern, für Bau und Heimat und dem Bundesfinanzministerium, um Verwaltungsprozesse zu optimieren. Außerdem sehen wir ja die Zahlen der abgeschlossenen digitalen Identifizierungen bei unseren bisherigen Kunden – unsere Lösung wird sehr gut von den Endnutzern angenommen.

Auf der Authada Webseite erklärt ein Video allgemeinverständlich Ihr Produkt. Verraten Sie uns tiefere technische Details?

Sehr gerne! Die hoheitlichen Identitätsdaten, die ein Smartphone oder Tablet per NFC ausliest, werden verschlüsselt über einen nach BSI-Richtlinien arbeitenden Sicherheits-Server direkt an den Dienstleister, zum Beispiel an ein Institut, gesendet. Der gesamte eID-Core von Authada, also alle unsere Lösungen, sind seit Januar 2018 durch das BSI zertifiziert. Und ein weiteres technisches Detail: Alle Daten die Authada vom Personalausweis ausliest, werden weder in der App, noch auf dem mobilen Endgerät gespeichert, sondern direkt verschlüsselt über unsere Programmierschnittstelle (API) dem Business-Kunden geliefert.

Was halten Sie kritischen Verbrauchern entgegen, die in Ihrem Angebot eine bedenkliche Möglichkeit sehen, ihre Identität zu kontrollieren?

Authada steht für die Sicherheit von digitalen Identitäten. Die Datensouveränität liegt beim Verbraucher. Alle unsere Lösungen sind durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert und wir arbeiten auf höchstem Sicherheitsstandard, um die digitalen Identitäten unserer Endnutzer zu schützen und nicht zu kontrollieren.

Mit der Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik haben Sie einen Meilenstein erreicht. Welcher soll für Authada folgen?

Das stimmt. Wir arbeiten an Meilensteinen, die schon bald folgen: Kurz vor der Umsetzung steht etwa unsere Lösung sign. Sie ermöglicht zusammen mit einem „Qualified Trust Service Provider" (QTSP) innerhalb der EU einen papierlosen, mobilen und vollautomatisierten Vertragsabschluss in wenigen Minuten. Der Kunde unterschreibt elektronisch online den Vertrag medienbruchfrei mit einer „Qualifizierten Elektronischen Signatur" (QES). Diese Lösung ist rechtssicher, eIDAS-konform und die QES ersetzt digital die handschriftliche Unterschrift vollständig, sodass etwa Bank-, Kredit- und Mobilfunkverträge innerhalb von Minuten abgeschlossen und Papier sowie lange Wartezeiten vollkommen entfallen können. Das wird der nächste große Authada-Meilenstein.

Hier geht's zum Authada Erklärvideo auf der Authada Webseite und hier zum Link zum YouTube-Video.