Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Einfache und sichere Identifizierung gewährleistet..
Anzeige

Eine digitale Identität für alle Fälle

Die eigene Identität im Internet zweifelsfrei nachweisen zu können, gilt als Grundvoraussetzung für eine sichere digitale Vernetzung. Projekte dazu gibt es europaweit, besonders erfolgreiche Modelle wurden in Schweden, Norwegen und Belgien in Kooperation mit den Banken verwirklicht. Für Österreich entwickelt derzeit der Transaktionsdienstleister PSA Payment Services Austria eine universelle Lösung, die es Menschen und Unternehmen ermöglicht, sich online zu identifizieren, digitale Services zu nutzen und Geschäfte abzuschließen – auf einfache und sichere Art.

Wer ein Auto mieten oder ein Bankkonto eröffnen will, muss sich „ausweisen“. Gleiches gilt beispielhaft beim Abschluss eines Versicherungsvertrags, beim Einblick in Onlinebefunde und der Erledigung eines Behördengangs. Die sogenannte Legitimationsprüfung, die der Feststellung der Identität bzw. der Prüfung der Echtheit von Unterschriften dient, ist in der physischen Welt klar geregelt: Der Nachweis wird in Österreich vor allem mit dem Vorlegen eines Reisepasses oder Führerscheins erbracht, die beide alle geforderten Informationen zur Person enthalten. Als ungleich komplexer erweist sich diese Aufgabe in der digitalen Welt.

Identifikation im Netz

Im Internet werden reale Personen durch ihre digitale Identität vertreten. Digitale Identitäten entstehen überall da, wo sich eine Person in der Onlinewelt mit bestimmten Inhalten anmeldet und zu erkennen gibt: mit E-Mail-Adresse, Benutzernamen und Passwort. Die meisten von uns haben in der Regel gleich mehrere davon ­– und zwar für jedes einzelne Benutzerkonto (Social-Media-Portale, E-Mail, Online-Banking etc.), das sie online verwenden. Viele Identitäten zu haben, erweist sich jedoch als unpraktisch und unübersichtlich. Das gilt nicht nur für die Nutzer, die sich verschiedene Passwörter merken müssen. Unter dem Abbruch eines als zu mühsam empfundenen Anmeldevorgangs leiden auch die Anbieter der Onlinedienste. Umfragen haben ergeben, dass Internetuser im Durchschnitt 29 unterschiedliche Passwörter verwalten.

Kommt Geld ins Spiel, gewinnt das Thema der Sicherstellung, dass ein Internetnutzer tatsächlich die Person ist, die er vorgibt zu sein, zusätzlich an Bedeutung. Für diesen Vorgang der Authentifizierung kann die alleinige Verwendung eines Passworts in der Praxis zum Problemfall werden. Untersuchungen zeigen, dass bis zu 80 Prozent dasselbe Passwort für mehrere Konten verwenden und so ein hohes Sicherheitsrisiko eingehen. Diesen Umstand wissen Betrüger zu nützen.

Identitätsdiebstahl

Beim Identitätsdiebstahl täuschen Dritte eine existierende falsche Identität vor. Sie verwenden dazu öffentlich zugängliche Informationen (zum Beispiel Social-Media-Daten) oder durch Social-Engineering-Angriffe erschlichene Daten – wie etwa vor Kurzem für Facebook-Daten bekannt wurde. Laut jüngster Umfrage des Statistikportals Statista sind rund elf Prozent der Österreicher schon einmal Opfer von Identitätsdiebstahl im Internet geworden. Die Folgen sind teils schwerwiegend. Cyberkriminelle verschaffen sich die Möglichkeit, auf fremde Kosten Einkäufe zu tätigen oder Accounts bei Dienstleistern in fremdem Namen zu eröffnen. Mögliche Auswirkungen umfassen neben finanziellen Schäden auch umfangreiche Reputationsschäden. Identitätsmissbrauch und Bestellbetrug stellen zudem Webshops und Marktplätze vor immer größere Herausforderungen. Vor allem im Netz aktive KMU-Händler gehören zu beliebten Zielen von Hackern und Betrügern. Eine aktuelle Studie zur Sicherheit im Onlinehandel, die Ende 2020 vom österreichischen Handelsverband durchgeführt wurde, zeigt, dass falsche Namens- oder Adressangaben zu den gängigsten Betrugsformen zählen. In knapp 40 Prozent der Betrugsfälle wird unter Angabe einer falschen Identität mit dem Wissen bestellt, dass die Rechnung nicht beglichen werden kann.

Armin Timmerer, Projektleiter der elektronischen Identität, kurz eID, des Transaktionsdienstleisters PSA Payment Services Austria.
Armin Timmerer, Projektleiter der elektronischen Identität, kurz eID, des Transaktionsdienstleisters PSA Payment Services Austria.PSA

Verifizierte Identität

„Geschäftsprozesse und Dienstleistungen verlagern sich immer mehr in die digitale Welt, in der Praktiken wie der Identitätsdiebstahl ein großes Problem darstellen. Die Abwicklung von Transaktionen verlangt Vertrauen in die Identität und Authentizität des Gegenübers. Was es deshalb braucht, ist eine sichere digitale Identität für Online-Nutzerinnen und Nutzer“, sagt Armin Timmerer, Projektleiter der elektronischen Identität, kurz eID, des Transaktionsdienstleisters PSA. „Sicher“ bedeutet nach dem Prinzip „Know your customer“ vor allem, dass die digitale Identität von einer vertrauenswürdigen Organisation überprüft wurde. In der Privatwirtschaft sind Banken die idealen Unternehmen, um Daten zu bestätigen, da sie in Europa ohnehin gesetzlich dazu verpflichtet sind, die Identität ihrer Kunden zweifelsfrei festzustellen, sie also zu legitimieren. Die Identitätsprüfung durch die Bank ist etwa Voraussetzung, um ein Konto zu eröffnen und in der Folge auch das Log-in für die Onlineservices der Bank zu bekommen. Auf den Log-in-Daten der Bankkunden basiert auch die sichere digitale Identität, die – im Gegensatz zu einem Account bei Unternehmen wie Facebook oder Google – verifiziert ist und bei der die Daten in Österreich bleiben.

eID und die Rolle der Banken

„Kunden vertrauen Banken ihre Finanzen an. Banken verifizieren wie gesetzlich vorgeschrieben die persönlichen Daten der Kunden. Diese existierende Vertrauensbasis plus die geprüften Daten sind eine ideale Grundlage für eine sichere eID“, erklärt Timmerer. Darum setzt die PSA bei der Entwicklung der eID-Lösung mit dem Markennamen „ich.app“ auf die Partnerschaft mit starken Banken. „Die ich.app ermöglicht den Kunden, ihre von Banken geprüften Daten im Netz als Bestätigung ihrer Identität zu nützen. Aufwändige Pass-Upload- oder Video-Identitätsverfahren werden damit obsolet“, so Timmerer. Für doppelte Sicherheit sorgt die Methode der Zwei-Faktor-Authentifizierung, also jenes Prozedere, bei dem ein Anwender den Nachweis seiner Identität mittels der Kombination zweier unterschiedlicher, unabhängiger Merkmale (Faktoren) erbringt. Trotz der hohen Sicherheit sind Registrierung und Log-in in der ich.app komfortabel und damit nutzerfreundlich gestaltet.

Screenshot ich.appPSA

> > > Vorteile der ich.app

Für die Händler und Serviceanbieter im Netz ergeben sich durch die ich.app eine Reihe von Chancen. Vor allem stellt die ich.app sicher, dass Käufe, Vertragsabschlüsse oder die Nutzung von Serviceangeboten nur mit realen Personen erfolgen. Durch die Einbindung der österreichischen Banken werden viele Kunden vom Start weg die Möglichkeit haben, die ich.app zu nutzen.

Weitere Vorteile liegen darin, dass die ich.app

  • das datenschutzkonforme Arbeiten mit personenbezogenen Daten deutlich erleichtert und natürlich selbst DSGVO-konform ist,
  • zur Reduktion von Missbrauch beiträgt,
  • bei Händlern den Aufwand für Datenkontrolle gering hält und
  • die Anzahl der Abbrüche von Registrierungsprozessen minimiert, da die Daten einfach und bequem vom Nutzer der ich.app an den Serviceanbieter übermittelt werden können.

Davon profitieren alle Akzeptanzpartner der ich.app und ihre Kunden. Den Nutzern der ich.app steht eine einfache, vertraute und sichere Lösung zur Verfügung, um sich für verschiedenste Kauf- und Serviceangebote zu registrieren oder diese anzuwenden. Die persönlichen Daten der Nutzer werden nirgendwo zusätzlich zwischengespeichert. Nur nach einer expliziten Freigabe des Kunden werden sie von seiner Bank an den anfragenden Händler und Serviceanbieter weitergegeben. Die Sorgen, den Überblick darüber zu verlieren, welche Daten wo gespeichert sind, oder was internationale Multiplayer mit den Daten anstellen, gehören so der Vergangenheit an. Dem steigenden Bedürfnis von Konsumenten nach Datenhoheit und -transparenz wird damit Rechnung getragen. Gleichzeitig verringern sich Aufwand und Kosten für Datensicherheit bei den Online-Serviceanbietern.

Universelle Lösung

Die möglichen Einsatzgebiete einer sicheren und eindeutigen eID sind denkbar vielfältig. Die Palette reicht vom Zugang zu Online-Labordaten, zu E-Papers von Zeitungen oder Tickets im Mobilitätsbereich (Bahn, Verkehrsbetriebe) über Online-Vertragsabschlüsse mit Versicherungen und Finanzdienstleistern bis hin zu allen Bereichen, bei denen Personenmerkmale wie etwa das Alter verlässlich zu sein haben. „Unsere Vision bei der Entwicklung der ich.app ist es, eine universelle Lösung anzubieten, die es Menschen und Unternehmen ermöglicht, sich online zu identifizieren, digitale Services zu nutzen und Geschäfte abzuschließen – auf einfache und sichere Art“, bringt es Armin Timmerer auf den Punkt.

Digitale Bank-Identitäten in Europa

Das Konzept einer von Banken verifizierten elektronischen Identität wird in vielen Ländern Europas vorangetrieben. Als Musterbeispiele einer erfolgreichen Umsetzung gelten etwa die Lösungen in Skandinavien. So begann in Norwegen die Arbeit an der Entwicklung einer BankID bereits zur Jahrtausendwende. 2004 erhielten die ersten Kunden ihre digitale Identität, 2014 wurde BankID Norway AS gegründet, 2018 folgte die Fusion mit Vipps und BankAxept, um das Produktangebot zu verbessern und sich auf den Wettbewerb mit globalen Tech-Unternehmen vorzubereiten. Die Identifikation und Signierung mit BankID für sichere, effektive und einfache Geschäftsprozesse wird mittlerweile von vier Millionen Norwegern genutzt.

Bereits acht Millionen aktive User zählt die BankID-Lösung in Schweden, die seit 2003 von einer Reihe von Großbanken für die Nutzung durch Bürger, Behörden und Unternehmen entwickelt wurde. Via BankID, die auf Chipkarten, Computern, Mobiltelefonen und Tablet-Geräten zwecks digitaler Identifikation sowie zur Unterzeichnung von Transaktionen und Dokumenten verfügbar ist, wird eine Vielzahl an Diensten angeboten – von Online und Mobile Banking über E-Trading bis hin zur Steuererklärung. Nach schwedischem Recht und innerhalb der Europäischen Union ist eine Signatur, die mit einer BankID geleistet wird, rechtsverbindlich.

Zum weithin akzeptierten Standard für die mobile Identifikation und den Schutz der Privatsphäre in der digitalen Welt hat sich auch die 2017 in Belgien eingeführte itsme-App entfaltet. itsme ermöglicht die Identifikation, die Authentifizierung, die Bestätigung einer Transaktion und die rechtsverbindliche elektronische Unterzeichnung von Dokumenten. Die vom belgischen Mobile-ID-Konsortium (das Konsortium vereint die sieben belgischen Marktführer aus dem Banken- und Telekommunikationssektor) entwickelte App wurde von der belgischen Regierung im Januar 2018 als offizielle Form der digitalen Identität akkreditiert und wird inzwischen von rund 2,6 Millionen Belgiern aktiv und regelmäßig genutzt.

Am Konzept einer BankID wird seit 2019 auch beim tschechischen Bankenverband (39 Banken, die mehr als 99 % des tschechischen Bankensektors repräsentieren) intensiv gearbeitet. Geplant ist ähnlich wie in den anderen europäischen Ländern eine staatlich akzeptierte Authentifizierungslösung, um Bürgern, Regierungsorganisationen und privaten Unternehmen E-Government-Aktivitäten, die Unterzeichnung von Verträgen über das Internet sowie die sichere und einfache Nutzung von Online-Handelsdienstleistungen zu ermöglichen. Der Start soll noch 2021 erfolgen.

> > > Mehr Informationen unter: www.psa.at und www.ich.app