die bank 10 // 2022

DIGITALISIERUNG Die

DIGITALISIERUNG Die Ansprüche umfassen auch die Aspekte Skalierbarkeit und Nutzerfreundlichkeit. Damit landet man unweigerlich beim Personalausweis, den jeder Deutsche besitzen muss. Im elektronischen Personalausweis, wie er seit November 2010 ausgegeben wird, sind alle Daten gespeichert, die für die eindeutige Identifikation einer Person erforderlich sind. Bei mehr als der Hälfte der Besitzer ist auch die Online-Ausweisfunktion bereits aktiviert, berichtete der Referent, und aufgrund des stetigen Austauschs der zehn Jahre gültigen Dokumente wächst die Zahl der potenziellen Anwender Monat für Monat. Und wie werden diese ausgelesen? Das Verfahren BVident Online beispielsweise stützt sich dabei auf die physische Ausweiskarte und die persönliche Identifikationsnummer (PIN) des Besitzers. In Verbindung mit einem NFC-Leser, wie er bereits in vielen Smartphones enthalten ist, kann die digitale Identität des Ausweisbesitzers so eindeutig nachgewiesen werden. Gros führte den Identifizierungsprozess mithilfe eines Videos des Kooperationspartners Governikus vor. Die Kommunikation im Abfrageprozess setzt dabei auf der AusweisApp2 auf. Dieser schlanke Prozess dauert im Normalfall weniger als zwei Minuten und ist dank seiner medienbruchfreien Durchführung auch maximal benutzerfreundlich, ohne Zeitaufwand oder Filialbesuch. Legitimierung vielfältig einsetzbar Die Anwendungsmöglichkeiten für solche Online-Legitimierungen sind vielfältig. Sie lassen sich neben GwG-konformen Legitimierungen auch hervorragend im Kunden-Onboarding einsetzen, also im Identifikationsprozess bei Konto-Neueröffnungen, und seien dabei deutlich schneller und auch kostengünstiger als andere Verfahren, ganz ohne manuelle Eingriffe oder Warteschlangen, erläuterte Danyel Gros. Daneben lassen sich Online-Identifizierungen aber auch für Funktionen der starken Kundenauthentifizierung nutzen, etwa beim Wiederherstellen von Zugangsdaten oder einer neuen Initialisierung nach dem Wechsel des Smartphones. Neben Schnelligkeit, Flexibilität, Bequemlichkeit und Kostenersparnis ist die Fehlerfreiheit ein weiterer ganz wichtiger Aspekt der elektronischen Identifizierung. „Alle Daten, die aus dem Ausweis ausgelesen werden, sind immer korrekt“, erklärte Gros den Zuhörern, Fehler seien bei diesem Verfahren auszuschließen – anders, als wenn Daten durch menschliches Zutun erfasst werden. Was eine elektronische Signatur ausmacht Was eigentlich hinter der eIDAS steckt, was eine elektronische Signatur ausmacht und wozu sie genutzt werden kann, das erläuterte Alexander Eßer den Zuhörern. Der Abteilungsleiter im Produktmanagement Vertrauensdienste beim Bank-Verlag nahm das Publikum bei der „Fachtagung Onboarding“ mit auf eine unterhaltsame Einführung in die vielfältigen Möglichkeiten der Digitalisierung. Die eIDAS-Verordnung („Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“) enthält europaweit geltende Regelungen für die elektronische Identifizierung und für die sogenannten „Elektronischen Vertrauensdienste“. Sie schafft einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste. Für eine elektronische Signatur wird zwischen drei Stufen unterschieden: der einfachen Signatur, der fortgeschrittenen Signatur sowie der qualifizierten Signatur. Die Signatur der höchsten Stufe wird von einer sogenannten „qualifizierten Signaturerstellungseinheit“ (Qualified Signature Creation Device, QSCD) bewirkt. Die qualifizierte elektronische Signatur (QES) beruht auf einem qualifizierten Zertifikat sowie auf einer erfolgreichen persönlichen Identifizierung. Nach den eIDAS-Anforderungen müssen die Erstellungs- und Signaturdaten auf einem hochsicheren Gerät gespeichert werden, etwa einem Hardware-Sicherheitsmodul (HSM), und auch für die kryptografischen Verfahren gelten hohe Sicherheitsstandards. Ohne zu tief in die technische Seite einsteigen zu wollen, lässt sich vereinfacht sagen, dass die Vertraulichkeit der zum Erstellen der elektronischen Signatur verwendeten Daten gesichert ist. Die verwendeten elektronischen Signaturerstellungsdaten können nicht abgeleitet werden, sie sind gegen Fälschungen und unbefugte Verwendung Dritter geschützt. Nur qualifizierte Trust-Service Provider (Vertrauensdiensteanbieter) dürfen solche qualifizierten elektronischen Signaturerstellungsdaten erzeugen und verwalten. Einsatz der qualifizierten elektronischen Signatur Rechtlich ist die QES einer händischen Unterschrift gleichgestellt. Damit ist sie hervorragend geeignet für den Einsatz in banknahen Anwendungen, um etwa Bestandskunden, deren Identität für eine Bank aufgrund der ihr vorliegenden Daten zweifelsfrei feststeht, online einen Vertrag unterzeichnen zu lassen, beispielsweise für einen Kreditvertrag. Eßer erläuterte am praktischen Beispiel, wie ein solcher digitaler Geschäftsprozess aussehen kann. Der Prozess beginnt üblicherweise mit der Anmeldemaske eines Online-Por- 70 10 | 2022

DIGITALISIERUNG tals und führt früher oder später an den Punkt, an dem eine Unterschrift des Kunden erforderlich wird. Hier müsste der Prozess für gewöhnlich unterbrochen werden: Der Kunde druckt den Vertragsentwurf aus, unterschreibt ihn händisch, und muss zur Feststellung der Echtheit seiner Unterschrift ein externes Identifizierungsverfahren (wie etwa Post-Ident) durchlaufen. Das ist zeitaufwendig und unpraktisch. „Unser Ansatz war, die Schriftformerfordernis auf Papier abzulösen, quasi den Druck- Button durch eine elektronische Unterschrift zu ersetzen“, sagte der Referent. Die Bank kann in dem Fall auf die ihr vorliegenden Identifizierungsdaten des Kunden zurückgreifen; dazu wird dann noch die Authentifizierung der Unterschrift, eine Willensbekundung der Unterschrift benötigt. Und das kann mit einem vom Kunden bereits genutzten Zwei-Faktor-Authentifizierungsverfahren des Online Bankings erfolgen, also z. B. einer mobilen TAN oder der Freigabe in der eigenen Banking-App. Wird die QES in den Kreditantragsprozess eingebunden, erspart dies dem Kunden Zeitverluste und lästige Wege außer Haus, er kann seinen Kreditantrag medienbruchfrei komplett online durchführen. Im Handling ist dies für den Kunden ebenso einfach wie die Nutzung von Online Banking. Für den erwähnten Kreditantrag loggt sich der Kunde ins Portal ein, füllt die Antragsmaske aus, prüft die Daten und bestätigt sie mit einer TAN – und schon ist der Antrag rechtssicher unterzeichnet. Die Signatur binde sich also optimal in die bestehenden Prozesse ein. „Die Flexibilität, Modularität und Anpassungsfähigkeit der Signaturanforderungen an die gegebenen Bedingungen war für uns von vornherein eine wichtige Komponente“, so Eßer. Beim Ratenkreditprozess der Postbank wird das Bank- Verlag-Verfahren bereits seit Jahren erfolgreich genutzt. Unabhängig von Service- und Öffnungszeiten können Bestandskunden dort rund um die Uhr und 365 Tage im Jahr volldigital ihren Antrag komplettieren. Und gerade nachts würden erstaunlich viele Kredite angefragt, wusste der Praktiker zu berichten. Ein zweites Beispiel erläuterte den Kreditprozess der TeamBank. Hierbei wird der papierbehaftete Prozess in der Filiale digital ersetzt: Der Kunde erhält vor Ort eine Aufforderung auf sein Smartphone, „unterschreibt“ den Antrag mit einer Vor-Ort-Fernsignatur und gibt diesen mit einer mobilen TAN frei. Während im Hintergrund der Prozesse komplexe kryptografische Verfahren auf höchstem Niveau ablaufen, Zertifikate ausgetauscht werden und vieles mehr, was für den Laien schlicht nicht zu durchschauen ist, stellt sich der Prozess für den Kunden so dar, dass er die Signatur ganz einfach mit der Eingabe seiner TAN ausgelöst hat. Die Vertragsunterlagen werden ihm danach sofort in sein digitales Postfach zugestellt. Die TeamBank spart auf diese Weise 27 Millionen Blatt Papier pro Jahr ein. Neben dem Nachhaltigkeitseffekt – hier werden 403 Tonnen Holz und sieben Millionen Liter Wasser eingespart – ist die Entlastung der Mitarbeiter erwähnenswert: Ihnen stehen pro Jahr zusätzliche 40.000 Stunden für die Kundenberatung zur Verfügung. Das elektronische Fernsiegel Der digitale Prozess kennt auch den umgekehrten Weg, den des elektronischen Fernsiegels. Darunter versteht man einen digitalen Stempel für juristische Personen, der den Ursprung (Authentizität) und die Unversehrtheit (Integrität) von Dokumenten nachweisen kann. Er hilft Unternehmen und Behörden, die Herkunft von Dokumenten eindeutig zu bescheinigen und ihre Unveränderlichkeit sicherzustellen. Auch beim elektronischen Siegel gibt es drei Abstufungen, von einfach über fortgeschritten bis zum qualifizierten elektronischen Siegel. Banken können ein elektronisches Der Bank-Verlag, in dem auch die Zeitschrift „die bank“ erscheint, ist seit Sommer 2020 als Vertrauensdiensteanbieter (VDA) für Qualifizierte elektronische Signaturen zugelassen. Schon ein Jahr zuvor bestätigte die Bundesnetzagentur den Bank-Verlag als „qualifizierten Vertrauensdiensteanbieter für elektronische Fernsiegel“. Der Bank-Verlag hat die Zulassung für die Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung (QWAC) sowie für qualifizierte Zertifikate für elektronische Siegel (QSealC). Diese dienen zur Ausgabe eIDAS-konformer elektronischer Zertifikate für zugelassene PSD2-Drittdienstleister, die beispielsweise im x2A einen Zugang zu einem Konto haben möchten. Darüber hinaus besitzt der Bank-Verlag die Genehmigung des Bundesverwaltungsamts zum Auslesen der eID. Fernsiegel beispielsweise beim Versand bzw. der Speicherung von Kontoauszügen nutzen. Das Siegel eignet sich aber auch für Jahresberichte, Kundenverträge, Steuerbescheide, elektronische Rechnungen und vieles mehr. Wie Alexander Eßer den Zuhörern darlegte, stellen die qualifizierten Vertrauensdienste eine sinnvolle Ergänzung der Digitalisierung im Bankwesen dar. Sie eröffnen eine zeitsparende und medienbruchfreie User Experience und bieten viele Vorteile für Kunden und Unternehmen, und das nicht nur bilateral, sondern auch für Mehr-Parteien-Modelle. Zudem sind diese Dienste kostengünstiger als bisherige Identifizierungsverfahren. Ergänzt um die vorgestellten eID-Services (siehe dort) ermöglichen die qualifizierten Vertrauensdienste eine eIDAS-substanzielle Darstellung und fehlerfreie Datenübertragung. Autorin Anja U. Kraus 10 | 2022 71