Inhaltsverzeichnis II

Inhaltsverzeichnis   

Abbildungsverzeichnis   IV

Tabellenverzeichnis   V

Abk  ürzungsverzeichnis  VI

1.  Einleitung.  1

2.  Grundlagen  3

2.1  Klassische Legitimationsprüfung  3

2.1.1  Kontoeröffnung am Bankschalter  3

2.1.2  Online-Kontoeröffnung  4

2.2  Elektronischer Personalausweis  6

2.2.1  Allgemein  6

2.2.2  Funktionen  8

2.2.2.1  Speicherung biometrischer Daten  8

2.2.2.2  Elektronischer Identitätsnachweis  9

2.2.2.3  Qualifizierte elektronische Signatur  12

2.2.3  Verwendete Technik und Sicherheitsmechanismen  13

2.3  Gesetzliche Rahmenbedingungen  16

2.3.1  Kontoeröffnung  16

2.3.2  Elektronischer Personalausweis  16

2.4  Ziele  17

3.  Elektronische Legitimationsprüfung  19

3.1  Einführung  19

3.2  Voraussetzungen  19

3.3  Ablauf  19

3.4  Gegenüberstellung der klassischen und der elektronischen  

Legitimationspr  üfung  22

3.5  Beschreibung und Analyse der Chancen und Risiken  25

3.5.1  Chancen  25

3.5.1.1  Vertrauensbildung  25

Inhaltsverzeichnis III

3.5.1.2  Schaffen effizienter und sicherer Prozesse  26

3.5.1.3  Gewinnen von Neukunden  27

3.5.1.4  Kosteneinsparungspotential  28

3.5.2  Risiken  29

3.5.2.1  Akzeptanz  29

3.5.2.2  Fälschungssicherheit und Authentizität  29

3.5.2.3  Datenschutz und Datensicherheit  30

3.5.2.4  Signaturfunktion  30

3.5.2.5  Kosten  31

3.5.3  Kritische Gegenüberstellung der Chancen und Risiken  32

4.  Schlussbetrachtung und Ausblick  34

Literaturverzeichnis   38

Hilfsmittel   44

Abbildungsverzeichnis   

Abbildungsverzeichnis   

Abb.  2-1 EPK der Kontoeröffnung am Bankschalter  

Abb.  2-2 PostIdent-Formular  

Abb.  2-3 EPK der Kontoeröffnung via PostIdent-Verfahren  

Abb.  2-4 Elektronischer Personalausweis  

Abb.  2-5 Akzeptanz des elektronischen Personalausweises  

Abb.  2-6 Sicherheitsmechanismen  

Abb.  3-1 Ablauf einer Kontoeröffnung  

Abb.  3-2 Sicherheit über Identität des Gegenüber  

Abb.  3-3 EPK der Kontoeröffnung via ePA  

Abb.  3-4 Infektionen mit Schadsoftware  

Abb.  3-5 Gründe für die Ablehnung von Online-Banking  

Abb.   

Tabellenverzeichnis V

Tabellenverzeichnis

Tab. 2-1  Sicherheitsmechanismen ................................................... 13  Tab. 3-1  Gegenüberstellung der Identitätsnachweise ...................... 24  Tab. 3-2  Gegenüberstellung der Chancen und Risiken .................... 33 

Abkürzungsverzeichnis VI

Abkürzungsverzeichnis

AGB Allgemeine Geschäftsbedingungen

AO Abgabenordnung

AG Aktiengesellschaft

BMI Bundesministerium des Innern

BSI Bundesamt für Sicherheit in der Informationstechnik

CA Chip Authentication

EAC Extended Access Control

ELV Elektronisches Lastschriftverfahren

EPK Ereignisgesteuerte Prozesskette

eID Elektronischer Identitätsnachweis

ePA Elektronischer Personalausweis

GwG Geldwäschegesetz

PA Passive Authentication

PACE Password Authenticated Connection Establishment

PersAuswG Personalausweisgesetz

PIN Persönliche Identifikationsnummer

RFID Radio Frequency Identification

SigG Signaturgesetz

SIS Siemens IT Solutions and Services

SSO Single-Sign-On

TA Terminal Authentication

TAN Transaktionsnummer

QES Qualifizierte elektronische Signatur

ZKA Zentraler Kreditausschuss

1. Einleitung 1

1. Einleitung

Ein Identitätsnachweis bequem von zu Hause aus ist bis dato noch nicht möglich. Wenn ein Kunde ein Konto bei einem Kreditinstitut eröffnen will, muss er sich nach wie vor persönlich legitimieren. Dies geschieht bisher mit Hilfe des PostIdent-Verfahrens in einer Postfiliale oder in einer Filiale des Kreditinstitutes, bei dem das Konto eröffnet werden soll. Der potentielle Kunde ist gezwungen seine Identität nachzuweisen, indem er physisch erscheint und durch die Vorlage geeigneter Ausweisdokumente bestätigt, dass er auch diejenige Person ist, die er behauptet zu sein. Mit der eigenhändigen Unterschrift erkennt die Person außerdem die Allgemeinen Geschäftsbedingungen (AGB) des Kreditinstitutes an und hinterlegt damit eine Unterschriftenprobe, die zur Dokumentation und Beweissicherung im Rahmen der Geschäftsbeziehung dient.

Dieses eher umständliche und für die heutige Zeit schon etwas anachronistisch anmutende Procedere könnte in naher Zukunft durch die Einführung des elektronischen Personalausweises der Vergangenheit angehören. Mit dem neuen Ausweis wird ein wichtiger Grundstein zur Vereinfachung des elektronischen Rechts- und Geschäftsverkehrs gelegt. Er stellt ein Multifunktionsdokument dar und soll die Grundlage für die unterschiedlichsten Anwendungen bilden. Unter anderem wird die Möglichkeit geschaffen, die persönliche Identität durch die Übermittlung einer qualifizierten elektronischen Signatur via Internet nachzuweisen. Da diese Signatur der persönlichen Unterschrift rechtlich gleichgestellt ist, könnte somit auch der nötige Identitätsnachweis bei einer Kontoeröffnung elektronisch und aus der Ferne erbracht werden.

Die vorliegende Abschlussarbeit möchte eine potentielle elektronische Legitimationsprüfung am Beispiel einer Kontoeröffnung aufzeigen sowie versuchen, die sich daraus ergebenden Chancen und Risiken des elektronischen Identitätsnachweises darzulegen.

In Kapitel zwei wird zunächst auf die Grundlagen der oben genannten Thematik eingegangen und der klassische Identitätsnachweis bei einer (Online-)Kontoeröffnung beschrieben. Im Anschluss sollen der elektro-

1. Einleitung 2

nische Personalausweis vorgestellt und die gesetzlichen Rahmenbedingungen erläutert werden.

In Kapitel drei folgt die Darstellung der potentiellen elektronischen Legitimationsprüfung anhand einer Kontoeröffnung. Hier werden die klassische und elektronische Legitimationsprüfung zunächst gegenübergestellt. Im weiteren Verlauf sollen die Chancen und Risiken, die dieses neue Verfahren beinhalten könnte, beschrieben und analysiert werden. Mit einem kritischen Vergleich der identifizierten Potentiale und Gefahren der elektronischen Legitimationsprüfung schließt dieses Kapitel ab. Es wird auf wichtige Kriterien Bezug genommen, die für die Einführung und Implementierung dieses neuen Verfahrens entscheidungsführend sein könnten. Zu nennen wären hier beispielsweise die Vor- und Nachteile für Banken und Kunden, Kosten und Nutzen für alle Beteiligten sowie die nötige Akzeptanz in der Bevölkerung.

Kapitel vier formuliert dann das Gesamtergebnis der Abschlussarbeit in einer zusammenfassenden Schlussbetrachtung und gibt einen Ausblick.

Obwohl der in Kapitel drei beschriebene Ablauf des elektronischen Legitimationsnachweises zum großen Teil hypothetisch ist, verzichtet diese Arbeit zum besseren Verständnis und der Einfachheit halber auf den Konjunktiv und verwendet den Indikativ.

Weiterhin soll an dieser Stelle auf den Unterschied zwischen Authentisierung und Authentifizierung hingewiesen werden, da diese Begriffe im weiteren Verlauf häufiger verwendet werden: Unter der Authentisierung versteht man die Vorlage geeigneter Ausweisdokumente mit denen eine Person ihre Identität bestätigt. Die Authentifizierung beschreibt dagegen die Prüfung der Authentisierung, d.h. den Vorgang der Überprüfung der Identität des Kommunikationspartners. (vgl. Nitschke et al. 2005, S. 6 f.).

In dieser Abschlussarbeit wird aufgrund der besseren Lesbarkeit die männliche Form genutzt, welche die weibliche mit einschließt.

2. Grundlagen 3

2. Grundlagen

Dieses Kapitel erläutert zunächst den Ablauf einer Kontoeröffnung, wie sie bis dato in allen Bankhäusern oder auch Postfilialen üblicherweise durchgeführt wird. Im weiteren Verlauf wird der elektronische Personalausweis vorgestellt und auf die bestehenden bzw. geschaffenen gesetzlichen Rahmenbedingungen eingegangen.

2.1 Klassische Legitimationsprüfung

Die klassische Legitimationsprüfung erfolgt entweder direkt an einem Bankschalter oder wird durch die Deutsche Post vorgenommen. Beide Möglichkeiten werden im Folgenden vorgestellt.

2.1.1 Kontoeröffnung am Bankschalter

Die übliche Form der Legitimationsprüfung ist die Überprüfung der Identität an einem Bankschalter, hierbei besteht direkter Kundenkontakt. Die Identität kann vor Ort überprüft und das Konto direkt eröffnet werden. Der Kunde wählt sein gewünschtes Produkt durch Ausfüllen der entsprechenden Unterlagen aus. Er bestätigt durch Vorlage seines Personalausweises oder andere geeignete Identitätsdokumente (wie z.B. den Reisepass) seine Identität und leistet eine Unterschrift. Die Kontoeröffnungsunterlagen werden ihm nach Prüfung seiner Daten auf postalischem Wege zuge-sandt. Dieses Procedere wird anhand der ereignisgesteuerten Prozesskette (EPK) in Abb. 2-1 veranschaulicht.

2. Grundlagen 4

Wurde das Konto online bei einer Direktbank ¹ eröffnet, die ein Tochterunternehmen eines Finanzkonzerns mit eigenem Filialnetz ist, besteht auch die Möglichkeit der Identitätsprüfung in einer dieser Filialen. Dies ist zum Beispiel bei der comdirect Bank der Fall, einer Tochter der Commerzbank AG (vgl. Finanzvergleich 2009).

2.1.2 Online-Kontoeröffnung

Bei einer Online-Kontoeröffnung, wie sie beispielsweise Direktbanken anbieten, geschieht die Legitimationsprüfung bislang durch das sogenannte PostIdent-Verfahren. Dieses Verfahren ist ein Service der Deutschen Post und ermöglicht die Identifizierung von Personen bei fehlendem Kundenkontakt. Die Legitimationsprüfung erfolgt in einer Postfiliale oder wird direkt an der Haustür durch den Postzusteller vorgenommen (vgl. Deutsche Post 2009).

Der Kunde erhält zusammen mit seinen Kontoeröffnungsunterlagen das PostIdent-Formular, das in Abb. 2-2 anhand der Deutschen Kreditbank AG ² beispielhaft dargestellt wird. Die Unterlagen werden entweder auf dem Postweg zugestellt oder vom Kunden selbst ausgedruckt. Der Antragssteller legt diese anschließend in einer Postfiliale zusammen mit einem gültigen Ausweispapier vor. Der Postbeamte bestätigt die Identität und füllt das PostIdent-Formular aus. Sämtliche Unterlagen werden an die Bank zurückgeschickt, die dem Kunden nach Erhalt der Bestätigung das Konto eröffnet.

Bei diesem Verfahren entstehen dem Kunden nicht nur Kosten für die Anfahrt zur Post, sondern auch für das Porto, sofern dieses nicht explizit durch die Bank übernommen wird.

Die Legitimationsprüfung an der Haustür wird von den Kreditinstituten nicht angeboten. Dies ist zum einen auf die höheren Kosten zurückzuführen, die die Post für dieses Verfahren veranschlagt. Zum anderen ist es dem einfachen Grund geschuldet, dass die Kontoeröffnungsunterlagen vom Kunden unterschrieben werden müssen und er diese zur Post bringen muss.

¹ Banken ohne ein eigenes Filialnetz.

² http://www.dkb.de