Neues BaFin-Rundschreiben erhöht die Sicherheit der Video-Identifikation

25. September 2017 in Kategorie Compliance

von
Michael Sittek
Managing Director IDnow


Seit 2014 dürfen Banken und Finanzdienstleister in Deutschland ihre Kunden per Video-Identifikation legitimieren. Damit ist es problemlos möglich geworden, am Wochenende online ein Konto zu eröffnen oder spätabends einen Kredit zu beantragen. Ab sofort gelten für das etablierte Verfahren neue Sicherheitsstandards: Mit dem 15.06.2017 ist das Rundschreiben 3/2017 (GW) – Videoidentifizierungsverfahren der Bundesanstalt für Finanzdienstleistungs-aufsicht (BaFin) in Kraft getreten. Es ersetzt das bisher gültige Rundschreiben 1/2014 (GW), das als Grundlage der Video-Legitimation galt.

In der Branche trifft das langerwartete neue Rundschreiben auf positive Resonanz. Es bestätigt die Video-Identifikation und erhöht die Sicherheit des Verfahrens weiter, ohne auf Kosten der Anwenderfreundlichkeit zu gehen. In die aktuellen Vorgaben der BaFin sind die Erfahrungen eingeflossen, die im täglichen Einsatz der Video-Identifikation in den ersten drei Jahren gewonnen werden konnten. Mit den neuen Sicherheitsanforderungen werden nun selbst ausgefeilte technische Betrugsansätze erkannt und ausgehebelt.

Im vergangenen Jahr kamen zwischenzeitlich Forderungen nach einer ergänzenden Referenzüberweisung und einer Abfrage von Social-Media- Kanälen bei jedem Ident-Vorgang auf. Diese wurden ebenso wenig umgesetzt, wie eine Einschränkung des Anbieterkreises auf Kreditinstitute i. S. d. § 1 Abs. 1 KWG. Auch künftig ist es allen, dem Geldwäschegesetz verpflichteten Unternehmen erlaubt, ihre Kunden per Video-Chat zu identifizieren.

Um das neue Rundschreiben auf den Weg zu bringen, haben BMF und BaFin, BMI und BSI sowie weitere Ministerien, Behörden, Finanzinstitute und Ident-Anbieter konstruktiv zusammengearbeitet. Auch der Münchner Ident-Experte IDnow war im Rahmen einer eigens dafür gegründeten Arbeitsgruppe maßgeblich an der Ausarbeitung der neuen Maßnahmen beteiligt.

Was ist neu?

Bei den Neuerungen des Rundschreibens 3/2017 (GW) – Videoidentifizierungsverfahren geht es im Wesentlichen um technische und organisatorische Anpassungen. Zu den wichtigsten gehören:

  • Anlass der Identifikation
    Um Fälle von Social Engineering zu verhindern, hinterfragen die für die Identifikation verantwortlichen Mitarbeiter, die Ident-Spezialisten, im Rahmen des Video-Chats beim Kunden den Anlass der Identifikation. Damit werden Betrugsversuche verhindert, bei denen ein Anwender unwissentlich dazu gebracht worden ist, ein Konto zu eröffnen, dass dann von einem Betrüger genutzt werden könnte. Neben speziellen Fragestellungen sind die Ident-Spezialisten auch auf auffälliges Verhalten geschult. Durch die verschiedenen Maßnahmen überzeugen sie sich davon, dass die zu legitimierende Person überhaupt weiß, warum sie gerade den Prozess durchläuft.
  • Überprüfung zufällig vorgegebener Sicherheitsmerkmale
    Im Rahmen der Video-Identifikation ist es ab sofort notwendig, drei zufällig ausgewählte Sicherheitsmerkmale des Ausweises aus verschiedenen Kategorien zu überprüfen. Dazu gehören beispielsweise die Hologramme, das Laserkippbild und der Sicherheitsdruck. Zur Erkennung von Manipulationen ist es nötig, den entsprechenden Ausschnitt auf einem Standbild zu vergrößern. Das er-fordert eine Technologie, die hochaufgelöste Bilder von exzellenter Qualität erzeugt, damit auch Merkmale wie die Guillochen oder Mikroschriften erkannt werden. Weist ein Ausweis die geforderten Eigenschaften nicht auf, ist er nicht für eine Identifikation zugelassen. Der Großteil der genutzten Ausweisdokumente erfüllt diese Bedingungen jedoch problemlos.
  • Ende-zu-Ende-Verschlüsselung
    Um die Kommunikation zwischen Nutzer und Ident-Spezialist ausreichend zu schützen, muss der komplette Ident-Vorgang über eine sogenannte Ende-zu-Ende-Verschlüsselung mit mindestens 2.048 Bit laufen. Die Vorgaben hierzu finden sich in der technischen Richtlinie zu kryptographischen Verfahren des Bundesamts für Sicherheit in der Informationstechnik. Dienste wie Skype oder iChat und Verbindungen, die geringer verschlüsselt sind, sind damit künftig nicht mehr zugelassen.
  • Obligatorische Video-Aufzeichnung
    Der gesamte Identifikationsvorgang muss ab sofort akustisch und visuell aufgezeichnet und durch die Bank aufbewahrt werden. Da Serienbilder oder Screenshots keine durchgängige Dokumentation garantieren, sind laut BaFin deshalb Video-Aufnahmen ab sofort Pflicht. Zur Nachvollziehbarkeit der jeweiligen Identifizierung muss die Aufnahme mindestens bis fünf Jahre nach Ende der Geschäftsbeziehung gespeichert werden. Bei rund 10 MB Datenvolumen pro Ident- Vorgang fordert das von Banken und Ident- Anbietern entsprechende Server-Kapazitäten. Die Speicherung des Prozesses könnte die Datenschützer auf den Plan rufen. Nach Ansicht der BaFin ist die Datenschutzfrage jedoch in § 8 GWG geregelt. Darin wird eine vollständige und dauerhafte Aufzeichnung des Prozesses erlaubt – und das sogar ohne die Schwärzung von Ausweisteilen.

Weitere Neuerungen betreffen eine automatisierte Gültigkeits- und Plausibilitätsprüfung der Ausweisdaten, das Hin-und Her-Bewegen des Ausweises vor der Kamera und bestimmte Anforderungen an die Ausbildung der Mitarbeiter und die Call-Center-Räumlichkeiten.

PRAXISTIPPS

    • Kunden-Legitimation: Fit für die Zukunft
      Die Video-Identifikation hat innerhalb kurzer Zeit das Kunden-Onboarding in der Finanzbranche revolutioniert. Waren noch vor wenigen Jahren digitale Lösungen zur Kontoeröffnung oder zum Vertragsabschluss die Ausnahme, sind sie inzwischen in der Gesellschaft angekommen und völlig selbstverständlich. Das ist auch notwendig, denn Kunden verlangen im digitalen Zeitalter, ihre Finanzgeschäfte jederzeit per Computer oder Smartphone erledigen zu können. Die Finanzindustrie war hierfür der Vorreiter. Mittlerweile haben jedoch auch Unternehmen abseits der Finanzwelt das Potential des Verfahrens erkannt und setzen es ein, um die Identität ihrer Kunden zu prüfen. Die Legitimierung per Video-Ident bietet ihnen dabei bereichsübergreifend eine gesetzeskonforme Lösung, die den Prozess für beide Parteien erheblich vereinfacht.
    • Schon bei der Einführung der Video-Identifikation  hat Deutschland als First Mover in Europa eine Vorreiterrolle übernommen. Inzwischen ermöglichen auch andere Länder wie zum Beispiel Österreich, Schweiz und Luxemburg nach deutschen Vorbild ein vergleichbares System zur Legitimation von Kunden. Mit den Vorgaben des neuen Rundschreibens hat die BaFin dieses wegweisende Verfahren fit für die Zukunft gemacht. Ein Schritt, der auch dieses Mal wieder ein Vorbild für andere Länder sein wird und außerdem dazu beiträgt, den Finanzstandort Deutschland nachhaltig zu stärken.

SEMINARTIPPS

______________________________________________________________________________________

Dieser Beitrag ist erschienen im Newsletter Banken-Times SPEZIAL Compliance, Ausgabe September 2017.
(Kostenlose) Bestellung möglich unter http://www.fc-heidelberg.de/bankentimes
_______________________________________________________________________________________

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>