„Ja, ich bin’s!“ – die Legitimation im Geldverkehr
Thema Ident: Welche Legitimationsverfahren gibt es aktuell? Konto eröffnen, Kredit beantragen ... legitimieren ist Pflicht. Haben Sie den Überblick über mögliche Methoden zur Legitimationsprüfung?
Woher weiß Ihr:e Finanzdienstleister:in, dass Sie es tatsächlich sind und auch wirklich dürfen, was Sie da an vertraglichen Vereinbarungen vorhaben? Ohne Legitimierungsverfahren läuft nichts! Und stetig nimmt ihre Bedeutung weiter zu. Zum Schutz vor Kartenmissbrauch, Betrug, Geldwäsche, digitalem Identitätsdiebstahl beispielsweise.
Was ist der Unterschied zwischen Identifizierung, Authentifizierung, Autorisierung und Legitimation / Legitimierung?
Wer mit sicherheitssensitiven Diensten oder Produkten zu tun hat, begegnet immer wieder diesen Begriffen. Vergegenwärtigen wir uns kurz die unterschiedlichen Wortbedeutungen.
Identifizieren: Die Identität, Echtheit einer Person oder Sache feststellen.
Authentifizieren: Die Echtheit von etwas bezeugen; etwas beglaubigen.
Autorisieren: Bevollmächtigen; jemanden exklusiv zu etwas ermächtigen.
Legitimieren: Als rechtmäßig anerkennen; mit einem bestimmten Recht ausstatten; sich ausweisen; für legitim erklären; rechtfertigen.
Welche Legitimationsverfahren gibt es aktuell?
Grundsätzlich gibt es offline und online Verfahren zu Legitimationszwecken als Kund:in in allen möglichen sicherheitssensiblen Bereichen.
1. Persönliche Legitimierung vor Ort
Sie statten dem Kreditinstitut Ihrer Wahl persönlich einen Besuch ab und legen Ihren Personalausweis, Reisepass oder eine entsprechende Meldebescheinigung vor. Ein:e Mitarbeiter:in prüft die Gültigkeit, Echtheit und Übereinstimmung von Foto und Person.
2. Postident
Auch dieses Verfahren ist mit persönlichem Erscheinen verbunden; es hilft immer dann, wenn keine Niederlassung vor Ort existiert, wie bei Online- und Direktbanken der Fall. Das Kreditinstitut stellt für das Postident-Verfahren ein Formular bereit. In einer Filiale der Deutschen Post legt man das ausgefüllte Formular und Ausweisdokument vor. Ein:e Post-Mitarbeiter:in überprüft die Identität, bestätigt sie mit Unterschrift und Stempel; für den Formular-Versand fällt nur Briefporto an. Daneben bietet die Post aber auch Online Ident Verfahren an, beispielsweise über den Personalausweis mit Online-Funktion.
3. Videoident
Videoident wird heute gerne als komfortabler Legitimationsprozess genutzt. Die Liveübertragung spart nicht nur Zeit und Wege, auch Betrug ist nahezu ausgeschlossen. Im Videochat hält man seine Ausweisdokumente so vor die Kamera, dass eine eindeutige Identifizierung durch das Gegenüber stattfinden kann. Voraussetzung für dieses Verfahren ist – neben einem Device mit Webcam und einem gültigen, amtlichen Lichtbildausweis bzw. einer Meldebescheinigung – ein Konto, das bei einem Kreditinstitut innerhalb der Europäischen Union existiert. Denn hiervon ist eine Referenzüberweisung auf das neue Konto gesetzlich vorgeschrieben.
4. eID (onlinefähiger Personalausweis)
Seit 2021 wird die eID-Karte mit Online-Ausweis auf Bürgerämtern ausgehändigt. Die Bürger:innen können ihren Online-Ausweis nun direkt auf ihrem Smartphone speichern und mit einer App einfach, schnell und sicher nutzen; die Personalausweis-Chipkarte und ein Kartenlesegerät werden dann schon nicht mehr benötigt.
Eine Online-Legitimation per eID ist nicht nur für Zahlungsdienstleister praktisch, sondern auch für Mobilfunkanbieter, die KfZ-Zulassung, Behörden-Leistungen wie Elterngeld oder BAföG uvm.
Der Online-Ausweis ist sicher. Seine Funktion schaltet jede:r Einzelne selbst frei. Die Daten werden mit Ende-zu-Ende-Verschlüsselung geschützt; sie können nicht abgefangen oder eingesehen werden.
Werden Sie also z.B. vom Kreditinstitut gebeten, sich online auszuweisen, geschieht Folgendes:
- Sie stellen die Verbindung über Ihre Smartphone App her (alternativ Personalausweis-Chipkarte und Kartenlesegerät).
- Angezeigt wird, wer Ihre Daten abfragen will und welche Daten das sind.
- Sie erteilen Ihre Zustimmung mittels selbstgewählter, sechsstelliger PIN.
- Im ersten Schritt wird überprüft, ob das Kreditinstitut die staatliche Berechtigung besitzt, Ihre Daten abzufragen.
- Im zweiten Schritt erst, wenn die Berechtigung vorliegt, wird die Datenübermittlung angestoßen – was durchgehend verschlüsselt abläuft.
- Ist der Vorgang beendet, trennen Sie die eingangs hergestellte Verbindung wieder.
Detaillierte Informationen zu Personalausweis und Online-Ausweis stellt das Innenministerium als Broschüre oder Online-Version hier zum Abruf bereit.
5. eSign (digitale oder elektronische Signatur)
„eSigning“ steht für „electronic signature”, also das elektronische Unterzeichnen von elektronischen Dokumenten. Es kann zur Legitimation online und per Video eingesetzt werden.
Es gibt unterschiedliche eSign-Verfahren mit unterschiedlichen juristischen Definitionen und Bedingungen sowie technischen Eigenheiten. Vorsicht ist allerdings bei den Begriffen „digitale Signatur“ und „elektronische Signatur“ geboten, die häufig gleichbedeutend verwendet werden. Für Fragen der Rechtsgültigkeit und der Integrität eines Dokumentes ist der tiefere Bedeutungsunterschied jedoch wesentlich!
Der Begriff „elektronische Signatur“ ist im juristischen Sinne zu verstehen; er zielt auf Rechtsgültigkeit. Die „digitale Signatur“ gehört dagegen ins Reich der Datensicherheit. Kryptografische Verfahren und asymmetrische Verschlüsselungen ermöglichen ihre Integrität, für die ein sog. Hashwert bürgt. Hierzu wird eine alphanumerische Zeichenfolge als Prüfsumme gebildet, die vor Manipulation schützt. Ist der Hashwert vorhanden, kann die elektronische Signatur auch als digitale Signatur bezeichnet werden.
Die europäische Verordnung für E-Signaturen (eIDAS) reguliert die Anwendung elektronischer Signatur-Verfahren. Unterschieden werden drei Varianten, die in der gesamten EU rechtsgültige Verbindlichkeit haben.
- Einfache elektronische Unterschrift
- Fortgeschrittene elektronische Unterschrift
- Qualifizierte elektronische Unterschrift (QES)
Die Beweisbarkeit der ersten Variante ist am geringsten; die sicherste ist die QES, weil hier die Unterschrift mit einem persönlichen Zertifikat verknüpft ist. Rechtlich ist QES komplett gleichgestellt mit der ursprünglichen handschriftlichen Unterschrift – vorausgesetzt, sie wurde von einem staatlich zertifizierten Vertrauensdiensteanbieter nach erfolgter Legitimationsprüfung vorgenommen.
6. Biometrie (personengebundene Merkmale)
Hätten Sie‘s gedacht? Der Fingerabdruck als Legitimationsverfahren fürs Bezahlen feiert nächstes Jahr sein 10-jähriges Jubiläum. Smart Mobility ist nach wie vor ein gigantischer Entwicklungstreiber fürs Banking und Bezahlen. Die entsprechenden Tech-Unternehmen pflegen längst mit Zahlungssystemen, Banken und Sparkassen Kooperationen. Banking-Biometrie-Protokolle verbinden Geschäftsvorfälle mit der biometrischen Authentifikation.
Für die europäische und nationale Bankenaufsicht stellt die Biometrie im Rahmen der „Starken Kundenauthentifizierung“ ein inhärentes Merkmal dar, gleichberechtigt neben den Merkmalen Wissen und Besitz.
In Zukunft werden biometrische Verfahren auch hierzulande das Banking und Bezahlen noch sicherer und bequemer gestalten. Denn personengebundene Merkmale wie Fingerabdruck oder Augen-Iris machen die lediglich personenbezogenen Merkmale (PIN, TAN und Unterschrift) überflüssig. Mit Blick auf derzeit florierende Betrugsszenarien ein wichtiger Schritt!
Mehr zur Sicherheit biometrischer Verfahren sowie zum gesetzlichen Rahmen der Legitimationsprüfung erfahren Sie in der erweiterten Version für Premium-Leser:innen. Jetzt kostenfrei registrieren!
Quellen
https://www.giromatch.com/online-kredit/legitimation
https://www2.maxda.de/themen/legitimationspruefung/
https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/online-ausweisen/online-ausweisen-node.html
https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2020/10/10-jahre-personalausweis.html
https://www.idnow.io/de/glossary/esign/
https://www.getinsign.de/news/digitale-signatur-vs-elektronische-signatur/
https://www.kartensicherheit.de/oeffentlich/newsletter/alle-artikel/artikel-2015/gastbeitrag-biometrie-im-banking.html