Sie sind hier: Home » Fachartikel » Hintergrund

Identitäten für elektronische Finanztransaktionen


Die Identität ist inzwischen auch eine Compliance-Anforderung
Geeignete Maßnahmen ergreifen, um die Identität derjenigen zu überprüfen, die Online-Transaktionen mit einem bestimmten Unternehmen abwickeln



Bei einer Online-Transaktion "Ich stimme zu" zu klicken, reicht nicht aus um nachzuweisen, dass tatsächlich die richtige Person zugestimmt hat. Wenn es um sensible Transaktionen wie die von Finanzdienstleistern geht, dann reichen auch eine aufgezeichnete gesprochene Zustimmung oder eine handschriftliche Online-Unterschrift für eine eineindeutige Verifizierung nicht aus. Hier kommt digitale Identität ins Spiel. 'Digitale Identität' weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen: Initiale Identifikation, Authentifizierung und Autorisierung.

Wie das im Einzelnen funktioniert und welche Transaktionen Banken und Finanzdienstleister mithilfe von Identitäten durchführen können, das ist Thema des aktuellen Blogbeitrags von GlobalSign:

Die Organization for Economic Co-operation and Development (OECD) definiert eine elektronische Transaktion wie folgt:
"Eine elektronische Transaktion ist der Verkauf oder Kauf von Waren oder Dienstleistungen, sei es zwischen Unternehmen, Haushalten, Einzelpersonen, Regierungen und anderen öffentlichen oder privaten Organisationen, die über computervermittelte Netzwerke durchgeführt werden."

Elektronische Transaktionen gibt es seit Jahren. Insbesondere Finanzdienstleister haben dafür gesorgt, dass die entsprechenden Technologien ausgebaut und massentauglich werden. Solche Transaktionen lassen sich inzwischen schnell und einfach durchführen, aber vielen von ihnen fehlt etwas: eine Identität.

Bei einer Online-Transaktion "Ich stimme zu" zu klicken, reicht nicht aus um nachzuweisen, dass tatsächlich die richtige Person zugestimmt hat. Wenn es um sensible Transaktionen wie die von Finanzdienstleistern geht, dann reichen auch eine aufgezeichnete gesprochene Zustimmung oder eine handschriftliche Online-Unterschrift für eine eineindeutige Verifizierung nicht aus.

Hier kommt digitale Identität ins Spiel. "Digitale Identität" weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen:

Initiale Identifikation (basierend auf echter ID)
>> Authentifizierung (basierend auf den in der ersten Stufe bereitgestellten Anmeldeinformationen) und
>> Autorisierung (Unterzeichnung und Genehmigung eines Finanzdokuments).
Bei dieser Art der elektronischen Kommunikation kann es ziemlich schwierig werden, mit absoluter Sicherheit nachzuweisen, dass eine Autorisierung wirklich stattgefunden hat. Der Nachweis der Identität wird zur rechtlichen Notwendigkeit.

Identität ist inzwischen auch eine Compliance-Anforderung. Mit Verordnungen wie eIDAS, dem Electronic Communications Act (Gesetz über die elektronische Kommunikation), der Payment Services Directive 2 (Richtlinie über Zahlungsdienste 2) und dem Consumer Credit Act (Verbraucherkreditgesetz), sind Organisationen (insbesondere solche des Finanzwesens) angehalten, geeignete Maßnahmen zu ergreifen, um die Identität derjenigen zu überprüfen, die Online-Transaktionen mit einem bestimmten Unternehmen abwickeln.

Sehen wir uns dazu Anwendungsfälle für elektronische Transaktionen an und wie ein Finanzdienstleister Identitäten nutzen kann, um einen Kunden zu verifizieren und in seiner Branche richtlinienkonform zu bleiben.

E-Mandate für Sepa-Lastschriften
Bei einem Lastschriftmandat ermächtigt eine Kunde ein Unternehmen, zukünftig fällig werdende Zahlungen einzuziehen. Die Erlaubnis erfolgt häufig über ein Mandatsformular in Papierform, das der Kunde ausfüllt. Bisher war diese Methode ausreichend. Allerdings arbeiten mehr und mehr Unternehmen "papierlos". Dazu gehören auch papierlose Lastschriftmandate.

Das Problem bei papierlosen Lastschriftmandaten ist, dass sie von Ihrer Bank genehmigt werden müssen. Die Bank segnet alle Informationen, die einem Kunden präsentiert werden, ab. Sobald Zahlung und Genehmigung vom Kunden eingeholt wurden, werden diese Daten elektronisch an die Bank übermittelt. So weiß die Bank über Ihre Einzugsermächtigung (EZE) Bescheid.

Im Mai 2014 erörterte das Euro Retail Payments Board die Fragen, die sich aus E-Mandaten und Lösungen für Sepa-Lastschriften (SLS) ergeben.

Interessanterweise skizziert dieses Dokument etliche Probleme, die eIDAS und PSD2 gemeinsam lösen. Insbesondere das Konzept des 'Mangels an Vertrauen'. Schuldner können beispielsweise aus ausländischen Mitgliedsstaaten mit verschiedenen Zahlungsdienstleistern (ZDL) oder Drittanbietern von E-Mandat-Dienstleistern kommen. Das erschwert es, die Genehmigung nachzuvollziehen.

Das Dokument schlägt unter anderem vor Authentifizierungslösungen auf beiden Seiten zu implementieren, also sowohl auf Seiten des Kunden als auch mandatsseitig. Was fortgeschrittene elektronische Signaturen anbelangt, werden PKI-Zertifikate als Mittel zur beiderseitigen Authentifizierung vorgeschlagen.

Kreditverträge
Ein Kreditvertrag umfasst einen rechtlichen Vertrag, der von einem Kunden unterzeichnet werden muss. Das ist einer der Schritte, die er ergreifen muss, um eine finanzielle Transaktion, wie beispielsweise eine Hypothek zu erhalten, abzuschließen. Um diese Transaktion in eine Online-Umgebung zu bringen, muss gewährleistet sein, dass die richtige Person den Vertrag unterschreibt und dass alle Informationen, die vom Finanzdienstleister an den Kunden weitergegeben wurden korrekt sind. Dazu benötigt man eine Art elektronische Signaturlösung.

Im Vereinigten Königreich wurde das Verbraucherkreditgesetz 2004 geändert, um elektronische Signaturen zu berücksichtigen. Am 26. Februar beschloss der Oberste Gerichtshof im Fall Bassano vs Toft, dass eine elektronische Signatur Beweis genug für einen ordnungsgemäß abgeschlossenen Kreditvertrag ist und er gemäß Verbraucherkreditgesetz durchgeführt wurde. Frau Bassano hatte versucht zu erstreiten, dass die Darlehenskonditionen nicht durchsetzbar und damit ungültig wären. Dieser Ansicht ist das Gericht in seinem Urteil nicht gefolgt.

Das bringt eine Menge Annehmlichkeiten für Kreditgeber, die elektronische Signaturen verwenden. Darüber hinaus helfen neue Verordnungen wie eIDAS, die Verwendung elektronischer Signaturen unter höheren Sicherheitsauflagen zu erzwingen. Das schafft mehr Vertrauen und stellt sicher, dass das Dokument nicht nachträglich geändert wurde.

Verwendung digitaler Zertifikate für die Identität bei elektronischen Transaktionen
eIDAS geht davon aus, dass Finanzinstitute über fortgeschrittene oder qualifizierte elektronische Signaturen ein hohes Maß an Sicherheit und Vertrauen bieten, beispielsweise indem sie digitale Zertifikate verwenden. Ein digitales Zertifikat kann bei einer Zertifizierungsstelle wie GlobalSign erworben werden. Bevor das Zertifikat ausgestellt wird, wird die Identität der Person (d. h. des potenziellen Kunden) gründlich geprüft. Das resultierende Zertifikat ist einzigartig für genau diese Person und kaum zu manipulieren oder zu fälschen.

Die jeweilige Person kann dann das Zertifikat zum digitalen Signieren elektronischer Transaktionen verwenden. Digitale Signaturen bieten mehr Sicherheit als andere Arten elektronischer Signaturen, da sie eindeutig mit dem Unterzeichner verknüpft sind und nachträgliche Änderungen am Dokument verhindern. Die Einbindung eines vertrauenswürdigen Zeitstempels von einem Drittanbieter bietet darüber hinaus Unleugbarkeit von Datums und Uhrzeit, zu denen das Dokument signiert wurde.

Zertifizierungsstellen versuchen sicherzustellen, dass ihren Roots in wichtigen Softwareanwendungen, wie Adobe und Microsoft, vertraut wird und mit ihnen kompatibel sind. Signaturen, die mit solchen Zertifikaten erstellt wurden, werden dann automatisch erkannt und verifiziert. Das trägt dazu bei, eine durchgängige Benutzererfahrung für alle an der elektronischen Transaktion beteiligten, zu bieten.

Finanzielle Interaktionen mithilfe von Identitäten verbessern
Um die theoretischen Erörterungen besser einordnen zu können, hier einige Beispiele wie Finanzdienstleister bereits jetzt digitale Zertifikate nutzen können. Etwa um ihre Dienste zu verbessern, sich im Markt zu differenzieren, richtlinienkonform zu werden, eine durchgängige Kundenerfahrung zu ermöglichen und gleichzeitig Vertrauen in elektronische Transaktionen zu gewährleisten (für ein juristisches Umfeld).

Anwendungsfall 1: Elektronische Mandate
In einem typischen Szenario wird ein elektronisches Mandat vereinbart, wenn der Schuldner einen Haken im entsprechenden Kästchen setzt und so seine Zustimmung bestätigt. In der realen Welt lässt sich nicht unterscheiden, ob der echte Schuldner zugestimmt hat oder sein Cousin oder, wenn wir schon dabei sind, ein Hacker.

Deshalb wird von einer Drittfirma die Identität überprüft und ein digitales Zertifikat an den Schuldner ausgestellt. Das Zertifikat verbleibt auf dem Mobiltelefon oder einem anderen Gerät des Schuldners, zu dem nur er Zugang hat und auf dem nur er das Zertifikat verwenden kann, um den Vertrag zu unterzeichnen. Darüber hinaus profitiert der Kunde von einer einfachen "on-the-go"-Transaktion, die sich deutlich von umständlicheren Varianten unterscheidet.

Anwendungsfall 2: Unterzeichnen von Kreditverträgen weltweit
Angenommen, Sie bräuchten kein persönliches Treffen mit Ihrem Kunden und könnten die komplette finanzielle Interaktion online oder per Handy durchführen. Kunden würden Zeit sparen, da Transaktionen von überall auf der Welt aus möglich wären.
Durch die Integration von elektronischen Signierlösungen in mobile Applikationen lässt sich eine Transaktion komplett papierlos machen. So können Sie einen Kreditvertrag senden und der Kunde kann ihn unterschreiben. Das notwendige Vertrauen gewährleistet die zuvor durchgeführte Identitätsverifizierung eines vertrauenswürdigen Dritt-Identitätsanbieters. In diesem Szenario fungiert das Mobiltelefon des Kunden als 'sichere Signaturerstellungseinheit', mit dem er seine Identität nachweisen kann.

Es ist sicherlich an der Zeit über eine Infrastruktur der digitalen Zertifikate nachzudenken. Dafür spricht eine Reihe von Vorteilen: Unternehmen agieren durchgängig richtlinienkonform, sie differenzieren sich innerhalb ihres Marktumfelds, sie sind in der Lage Identität innerhalb der gesetzlichen Regelungen nachzuweisen und aktuelle Vorgaben wie eIDAS zu erfüllen. (GlobalSign: ra)

innerhalb der gesetzlichen Regelungen nachzuweisen und aktuelle Vorgaben wie eIDAS zu erfüllen. (GlobalSign: ra)

eingetragen: 21.07.17
Home & Newsletterlauf: 30.08.17

GMO GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Datennutzung und ethische Verantwortung

    Große Datenmengen und die Erkenntnisse, die darin verborgen liegen, sind aus der deutschen Wirtschaft nicht mehr wegzudenken. Wie eine Bitkom-Umfrage ergab, sammelt die überwiegende Mehrheit der Unternehmen bereits Informationen, um sie zu analysieren und die Ergebnisse zur Optimierung interner Prozesse und zur Steigerung des Geschäftswerts zu nutzen. Gleichzeitig übersehen jedoch die meisten, dass mit diesem Erfolg eine neue Verantwortung einhergeht.

  • Entzug der Rechtsgrundlage

    Das vom Europäischen Gerichtshof (EuGH) gefällte Urteil "Schrems II" vom 16. Juli 2020 ist in aller Munde, da es nicht unerhebliche Auswirkungen auf denUmgang und den Schutz von Personendaten in international tätigen Unternehmen hat. Welche praktischen Folgen hat die Rechtsprechung des EuGH auf den internationalen Datentransferaber im Detail? Mit dem Urteil des Europäischen Gerichtshofes Mitte letzten Jahres wurde die als Privacy Shield bekannte Rahmenvereinbarung zwischen den USA und der EU für ungültig erklärt. Demnach dürfen personenbezogene Daten von EU-Bürgern nur an Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein solches Schutzniveau verneint.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Was ist ein Selbst-Audit & warum ist es notwendig?

    Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben.

  • Mit Analytik Betrug erkennen

    Zahlungsanweisungen über SWIFT gelten im Allgemeinen als sicher. Doch es gibt Schlupflöcher im System, durch die es Kriminelle regelmäßig schaffen, Betrug zu begehen. Banken nutzen vermehrt KI-Tools wie User Entity Behaviour Analytics (UEBA) um sich und ihre Kunden zu schützen. SWIFT ist eine Plattform, die selbst keine Konten oder Guthaben verwaltet und über die Finanzinstitute aus aller Welt Finanztransaktionen unter einander ausführen. Ursprünglich wurde die Plattform lediglich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Das Format entpuppte sich in den Folgejahren jedoch als sehr sicher und praktisch, sodass immer mehr Teilnehmer die Plattform nutzten. Neben Notenbanken und normalen Banken wird Swiftnet heute auch von Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen