Der CCC hat kürzlich gezeigt, dass Video Ident prinzipiell angreifbar ist: CCC | Chaos Computer Club hackt Video-Ident
Die Gematik hat anscheinend daraufhin die Verwendung von Video Ident für die elektronische Patientenakte untersagt.
Laut FAQ verwendet Tomorrow weiterhin Video Ident zur Identifizierung von Neukunden.
Plant Tomorrow dies fort zu führen, oder alternative Technologien, wie z.B. die Ident Funktion des eAusweises zu nutzen?
3 „Gefällt mir“
Gute Frage, habe mir das ganze mal angeschaut und hier geht es ja auch darum mittels „Fake“-Ident Verfahren bereits bestehende Daten von Dritten anzufordern. Zum Eröffnen eines Bankkontos sehe ich da weniger das Problem für Bestandskund:Innen, falls das vielleicht auch deine Sorge ist, sondern eher ein vielleicht zukünftiges Problem für Banken, welche dann nicht sicher sein können, wer da gerade eine Konto eröffnen will.
Berechtigte Kritik und Sorge, aber bei Tomorrow zumindest war und ist denke ich noch das Video-Ident Verfahren nicht mittels einer KI zu machen, sondern noch mit Mitarbeitern, welche ein Livegespräch vor der Kamera führen, was meines Erachtens nach mit der Methode des CCC weniger angreifbar ist (oder täusche ich mich da?), es sei denn Deepfakes werden immer krasser…
Alternativen sind da (elektronischer Personalausweis), jedoch glaube ich, dass da erstmal einiges im gesetzlichen Bereich angepasst werden müsste und das nicht Tomorrows’s bzw. Solaris’ Entscheidung ist…
Aber alles natürlich nur reine Spekualtion 
Edit: der CCC hat es tatsächlich geschafft bei sechs Anbietern zu registrieren bzw. zu identifizieren. Außerdem konnte sie auch damit eine digitale Patientenakte einer eingeweihten Person anfordern, was natürlich recht bedenklich ist.
Dennoch vermute ich, dass es keinen wirklichen Einfluss auf die Video-Idents bei Banken haben wird, bis auf, dass vielleicht der Dienstleister dafür gewechselt wird…
Ich habe mir die CCC-Sache nicht genau angesehen, aber ich gehe davon aus, dass die meisten Anbieter von Videoident mehr oder weniger im Background KI-gestützte Bilderkennungssoftware nutzen. Der CCC hat ja ein manipuliertes Videobild dazwischen geschalten.
Die BaFin ist für die Überwachung der KYC-Prozesse zuständig. Solange die Videoident-Methoden von der BaFin anerkannt sind, gehe ich davon aus, dass sie von Banken auch genutzt werden.
Der elektronische Personalausweis kann schon seit vielen vielen Jahren für die Eröffnung von Konten genutzt werden. Die meisten Anbieter, die Videoident anbieten, haben das auch im Portfolio. Die DKB bot das seit 2012 an, hat die Option aber unlängst erst wieder abgeschafft: weil es hat niemand genutzt hat.
2 „Gefällt mir“
Trotzdem natürlich interessant, dass der BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) und der BSI (Bundesamt für Sicherheit in der Informationstechnik) schon mehrfach vor dem weiteren Einsatz von Video-Ident Verfahren gewarnt hat, welche die BaFin ignoriert…
Postdienst erscheint dir sicherer? Bestimmte in Europa zugelassene Ausweispapiere, wie alte Papierausweise aus Griechenland, können z.B per Postident genutzt werden, (Für Videoident fehlen die Sicherheitsmerkmale.)
Ich glaube nicht, das die BaFin die Hinweise ignoriert. Sie kommen halt zu einer anderen Einschätzung. Im europäischen Vergleich sind die Anforderungen vergleichsweise hoch. In anderen Ländern reichen Selfies. Und die Prozesse sind in den letzten Jahren in Details angepasst worden, um das missbräuchliche Eröffnen von Konten zu erschweren.
1 „Gefällt mir“
Ich würde nicht sagen, dass PostIdent zu 100 Prozent sicher ist, aber vielleicht ist die physische Anwesenheit des potentiellen Kunden hier und da sicherer bzw. scheint es so, wobei hier natürlich eine Anpassung nötig wäre.
Am Ende kann man immer darüber diskutieren, dass nichts zu 100 Prozent sicher ist, und auf andere zeigen, die es auch nicht besser machen, wobei es ja aber für Deutschland scheinbar Gründe gab und gibt Verfahren wie dein genanntes Selfie-Beispiel nicht als Identifizierungsverfahren zu akzeptieren…
Meiner Ansicht nach ist die BaFin schon immer wieder ins Rampenlicht gerückt, was das ignorieren von Hinweisen betrifft, Stichwort Wirecard.
Das DKB-Beispiel zeigt auf jeden Fall, dass es rechtlich möglich ist allein mit eIdent per neuem Personalausweis ein Girokonto zu eröffnen und zwar mit extrem hohen Sicherheitsniveau. (Mit eIdent kann man nämlich per qualifizierter elektronischer Signatur so ziemlich jeden Vertrag schließen, bei mir beispielsweise kürzlich einen neuen Arbeitsvertrag.) Dass diese Option jetzt offenbar wieder entfernt wurde, liegt meiner Meinung nach eher daran, dass diese Option bei der DKB viel zu sehr versteckt wurde. Für mich wäre die Legitimation per eIdent eher ein eindeutiges Zeichen, dass ein Unternehmen in der Gegenwart angekommen ist und nicht im „Neuland“ (mit so tollen Aufgaben wie „wackeln Sie mit dem Ausweis bitte weiter vor der Kamera herum bis ich eine Spiegelung mit genügend Licht im richtigen Winkel erahnen kann…“) stecken geblieben ist.
6 „Gefällt mir“
Die DKB war lange Zeit absoluter Fan. Ich fürchte, die waren einfach zu früh dran. Es gab schon Werbung dazu. Das größte Hindernis, das ich gesehen habe, war die Verfügbarkeit der Lesegeräte. Es ist noch nicht so lange her, dass man auch ein iPhone als Leser nutzen kann. Zudem war es eine gebastelte Lösung, die nicht parallel in den Kontoeröffnungsflow eingebaut war.
Inzwischen bieten ja alle Ident-Anbieter das eigentlich als Option. Vielleicht sieht die Situation aber aktuell einfach so aus, dass Banken nichts investieren in Felder, die stabil laufen. Alle sparen an allen Ecken und Enden.
1 „Gefällt mir“