Expertenplattform für den  Europäischen Zahlungsverkehr

Neues Geschäftspotenzial - Banken als ID-Provider

Bis heute konzentrieren sich anbieterübergreifende Identitätsdienste hierzulande auf den Bereich e-Government. Im e-Commerce und vor allem im e-Banking haben sie dagegen Seltenheitswert. Neben staatlichen eID-Verfahren wie dem nPA bieten vor allem Social-Media-Plattformen wie Facebook und Google Authentifikations- und Single Sign-On-Funktionen an. Das bedeutet, dass User ihre Login-Daten für diese Plattformen auch auf anderen Websites nutzen können. Dieses sogenannte Social Login ist zwar komfortabel, aber die Identität des Users lässt sich damit nicht zweifelsfrei nachweisen. Als Informationsbasis dient nämlich lediglich der User-Account beim ursprünglichen Dienstanbieter. Nötig sind daher anerkannte Legitimationsverfahren auf Basis eines amtlichen Dokuments.

Diese Verfahren werden außerhalb Deutschlands bereits von Banken angeboten. In Kanada hat sich Secure Key Concierge etabliert, in den Niederlanden IDIN und in Skandinavien ist BankID weitverbreitet. Mit diesen Identitätsdiensten können sich Bankkunden mit der von der Bank ausgestellten Online-Kennung bei Drittdiensten anmelden oder ihre Identität nachweisen. Als ID-Provider genießen Banken dabei naturgemäß großes Vertrauen, da sie nach den strengen Regeln von „Know Your Customer“ handeln und die Geldwäschevorschriften beachten müssen.

Bank-Login als digitaler Ausweis

In Deutschland fördert der neu gegründete Fintech-Rat diese Entwicklung. Er will das Bank-Login als digitalen Ausweis im Internet positionieren und damit eine „überall nutzbare“ digitale Identität schaffen. Gegenwärtig arbeiten große Industrie -und Finanzunternehmen wie Allianz, Deutsche Bank, Postbank, Daimler und Axel Springer zusammen mit den IT-Unternehmen Core und Here an einem Universal Login zu unterschiedlichen Online-Angeboten. Geplant ist, dass sich der User dafür im Vorfeld mit Hilfe von VideoIdent oder einem anderen sicheren Identifikationsverfahren ausweist. Anschließend kann er rechtssichere Verträge abschließen, Behördenangelegenheiten regeln und Zahlungsfunktionen sowie andere Finanzdienstleistungen in Anspruch nehmen.

Auch Deutschlands Sparkassen sind mittlerweile aktiv geworden. Zusammen mit der YES Europe AG wollen sie bis Ende des Jahres einen in das Onlinebanking integrierten Identitätsdienst bereitstellen. Aufgrund der großen Reichweite des Sparkassenverbunds wäre dieses Angebot besonders für Service-Provider interessant, die eine sichere Identifikation und Authentifikation einer Person benötigen. Über eine einzige Schnittstelle könnten sie auf einen großen Bestand an identifizierten Kunden zugreifen. Andere zeitaufwändigere Identifikationsverfahren wie Post- oder Videoident, die in digitalisierten Geschäftsprozessen oftmals einen Medienbruch darstellen, würden damit der Vergangenheit angehören.

Gesetzliche Grundlage für die geplanten Identitätsdienste ist die von der der Europäischen Union erlassene eIDAS-Verordnung. Sie schafft einen einheitlichen Rechtsrahmen für die Nutzung von eID-Verfahren, Vertrauensdiensten, digitalen Siegeln und Zertifikaten innerhalb der EU und verpflichtet Mitgliedsstaaten dazu, länderspezifische eID-Schemata grenzüberschreitend nutzbar zu machen. Dies kommt beispielsweise bei einer Kontoeröffnung im Ausland unter Verwendung einer nationalen eID zum Tragen, an der HSBC und Barclays derzeit im Rahmen eines britisch-französischen Projekts arbeiten.

Darüber hinaus ermöglicht die eIDAS-Verordnung die rechtsverbindliche digitale Unterzeichnung von Dokumenten. Erste Anbieter, wie z.B. der Bankverlag, haben bereits eine Lösung entwickelt, elektronische Signaturen mit den bestehenden Authentifikationsverfahren einer Bank, wie photoTAN, per Onlinebanking vorzunehmen. Dafür muss sich der Anwender nur vorher für diesen Dienst bei seiner Bank registrieren und deren TAN-Verfahren mit seiner durch den Dienstanbieter bereitgestellten qualifizierten elektronischen Signatur verknüpfen.

Regulatorische Neuerungen in der EU

Die eIDAS-Verordnung ist nur ein regulatorischer Baustein in der voranschreitenden Digitalisierung. Neben der am 25. Mai 2018 in Kraft tretenden EU-Datenschutzgrundverordnung (EU-DSGVO) steht Europas Finanzindustrie vor einer weiteren Herausforderung: der Umsetzung der zweiten Zahlungsdiensterichtlinie PSD2. Sie verpflichtet Banken dazu, eine Schnittstelle einzurichten, die Drittanbietern den Zugriff auf online geführte Zahlungskonten ermöglicht (Access to Account bzw. XS2A). Mit Einverständnis des Bankkunden können dann beispielsweise Zahlungen abgewickelt, Kontosalden und Umsätze abgefragt oder Kontodeckungen geprüft werden.

Um den Drittanbieter dabei zweifelsfrei identifizieren zu können, schreibt die PSD2 die Nutzung von eIDAS-konformen Zertifikaten beim Kontozugriff vor. Als zusätzliche Maßnahme gegen einen missbräuchlichen Zugriff auf sensible Kontendaten sieht die PSD2 eine starke Kundenauthentifizierung (SCA) mit genau festgelegten Authentifizierungsabläufen vor. Die EU-DSGVO sorgt in diesem Zusammenhang zudem für den europaweit einheitlichen Umgang mit personenbezogenen Daten, u.a. durch das neu in die Verordnung aufgenommene Recht auf Datenportabilität.

Auf den ersten Blick bedeutet PSD2 für etablierte Banken durchaus ein Risiko. Es droht zum einen der Verlust der Kundenschnittstelle an Drittdiensteanbieter. Zum anderen wächst die Konkurrenz durch Kreditinstitute, die sich auf Mobile Only- oder White Label-Lösungen für FinTechs spezialisiert haben und innovative Bankprodukte deutlich schneller umsetzen.

PSD2 als neue Chance für Banken

Doch gerade große Kreditinstitute mit zahlreichen Kunden könnten die PSD2 auch als neue Chance nutzen, indem sie selbst als Drittdiensteanbieter auftreten und damit wettbewerbsfähiger werden. Mehr noch als Facebook und Google profitieren Banken von einem großen Stamm an verifizierten und identifizierten Nutzer- bzw. Kundendaten. Durch die konsequente Nutzung der XS2A-Schnittstelle können Banken zukünftig aussagekräftige Profile ihrer Kunden erstellen und für innovative Serviceangebote wie Identitätsdienste nutzen. Angesichts der Aktivitäten von Facebook, Google, Apple & Co., die teilweise bereits über eigene Banklizenzen verfügen oder Unternehmen aus der Finanzbranche übernommen haben, sind Banken gut beraten, sich entsprechend auf dem Markt zu positionieren, um nicht ins Hintertreffen zu geraten.

Banken bietet sich heute die Gelegenheit, mit nur einem Authentifikationsmedium umfassende Serviceleistungen aus einer Hand anzubieten. Ein Identitätsnachweis per eID ermöglicht einen Antrag auf Kontoeröffnung, Zugriff auf das Onlinebanking und Fernsignaturen für die rechtsverbindliche Unterzeichnung von Dokumenten. Darüber hinaus kann die Bank als Identitätsprovider für andere Dienstleister auftreten und ihren Kunden dank Single Sign-On den Anmeldevorgang auf anderen Portalen erleichtern. Die ab Ende des Jahres zur Verfügung stehenden Instant Payments schließen eine weitere wichtige Lücke im digitalen Vertragsabschluss. Dann ist ein durchgehend digitales Verfahren inklusive Identitätsfeststellung, digitaler Unterschrift bis hin zur Bezahlung einer Dienstleistung innerhalb von zehn Sekunden tatsächlich Realität geworden.

Artikel als PDF

Autoren

Kommentare

Schreiben Sie den ersten Kommentar.