Elektronische Legitimationsprüfung im Rahmen einer Kontoeröffnung

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1. Einleitung

2. Grundlagen
2.1 Klassische Legitimationsprüfung
2.1.1 Kontoeröffnung am Bankschalter
2.1.2 Online-Kontoeröffnung
2.2 Elektronischer Personalausweis
2.2.1 Allgemein
2.2.2 Funktionen
2.2.2.1 Speicherung biometrischer Daten
2.2.2.2 Elektronischer Identitätsnachweis
2.2.2.3 Qualifizierte elektronische Signatur
2.2.3 Verwendete Technik und Sicherheitsmechanismen
2.3 Gesetzliche Rahmenbedingungen
2.3.1 Kontoeröffnung
2.3.2 Elektronischer Personalausweis
2.4 Ziele

3. Elektronische Legitimationsprüfung
3.1 Einführung
3.2 Voraussetzungen
3.3 Ablauf
3.4 Gegenüberstellung der klassischen und der elektronischen Legitimationsprüfung
3.5 Beschreibung und Analyse der Chancen und Risiken
3.5.1 Chancen
3.5.1.1 Vertrauensbildung
3.5.1.2 Schaffen effizienter und sicherer Prozesse
3.5.1.3 Gewinnen von Neukunden
3.5.1.4 Kosteneinsparungspotential
3.5.2 Risiken
3.5.2.1 Akzeptanz
3.5.2.2 Fälschungssicherheit und Authentizität
3.5.2.3 Datenschutz und Datensicherheit
3.5.2.4 Signaturfunktion
3.5.2.5 Kosten
3.5.3 Kritische Gegenüberstellung der Chancen und Risiken

4. Schlussbetrachtung und Ausblick

Literaturverzeichnis

Hilfsmittel

Abbildungsverzeichnis

Abb. 2-1 EPK der Kontoeröffnung am Bankschalter

Abb. 2-2 PostIdent-Formular

Abb. 2-3 EPK der Kontoeröffnung via PostIdent-Verfahren

Abb. 2-4 Elektronischer Personalausweis

Abb. 2-5 Akzeptanz des elektronischen Personalausweises

Abb. 2-6 Sicherheitsmechanismen

Abb. 3-1 Ablauf einer Kontoeröffnung

Abb. 3-2 Sicherheit über Identität des Gegenüber

Abb. 3-3 EPK der Kontoeröffnung via ePA

Abb. 3-4 Infektionen mit Schadsoftware

Abb. 3-5 Gründe für die Ablehnung von Online-Banking

Tabellenverzeichnis

Tab. 2-1 Sicherheitsmechanismen

Tab. 3-1 Gegenüberstellung der Identitätsnachweise

Tab. 3-2 Gegenüberstellung der Chancen und Risiken

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Ein Identitätsnachweis bequem von zu Hause aus ist bis dato noch nicht möglich. Wenn ein Kunde ein Konto bei einem Kreditinstitut eröffnen will, muss er sich nach wie vor persönlich legitimieren. Dies geschieht bisher mit Hilfe des PostIdent-Verfahrens in einer Postfiliale oder in einer Filiale des Kreditinstitutes, bei dem das Konto eröffnet werden soll. Der potentiel- le Kunde ist gezwungen seine Identität nachzuweisen, indem er physisch erscheint und durch die Vorlage geeigneter Ausweisdokumente bestätigt, dass er auch diejenige Person ist, die er behauptet zu sein. Mit der eigen- händigen Unterschrift erkennt die Person außerdem die Allgemeinen Ge- schäftsbedingungen (AGB) des Kreditinstitutes an und hinterlegt damit eine Unterschriftenprobe, die zur Dokumentation und Beweissicherung im Rahmen der Geschäftsbeziehung dient.

Dieses eher umständliche und für die heutige Zeit schon etwas anachro- nistisch anmutende Procedere könnte in naher Zukunft durch die Einfüh- rung des elektronischen Personalausweises der Vergangenheit angehö- ren. Mit dem neuen Ausweis wird ein wichtiger Grundstein zur Verein- fachung des elektronischen Rechts- und Geschäftsverkehrs gelegt. Er stellt ein Multifunktionsdokument dar und soll die Grundlage für die unter- schiedlichsten Anwendungen bilden. Unter anderem wird die Möglichkeit geschaffen, die persönliche Identität durch die Übermittlung einer qualifi- zierten elektronischen Signatur via Internet nachzuweisen. Da diese Sig- natur der persönlichen Unterschrift rechtlich gleichgestellt ist, könnte somit auch der nötige Identitätsnachweis bei einer Kontoeröffnung elektronisch und aus der Ferne erbracht werden.

Die vorliegende Abschlussarbeit möchte eine potentielle elektronische Legitimationsprüfung am Beispiel einer Kontoeröffnung aufzeigen sowie versuchen, die sich daraus ergebenden Chancen und Risiken des elektronischen Identitätsnachweises darzulegen.

In Kapitel zwei wird zunächst auf die Grundlagen der oben genannten Thematik eingegangen und der klassische Identitätsnachweis bei einer (Online-)Kontoeröffnung beschrieben. Im Anschluss sollen der elektro nische Personalausweis vorgestellt und die gesetzlichen Rahmenbedingungen erläutert werden.

In Kapitel drei folgt die Darstellung der potentiellen elektronischen Legiti- mationsprüfung anhand einer Kontoeröffnung. Hier werden die klassische und elektronische Legitimationsprüfung zunächst gegenübergestellt. Im weiteren Verlauf sollen die Chancen und Risiken, die dieses neue Verfah- ren beinhalten könnte, beschrieben und analysiert werden. Mit einem kriti- schen Vergleich der identifizierten Potentiale und Gefahren der elektroni- schen Legitimationsprüfung schließt dieses Kapitel ab. Es wird auf wichti- ge Kriterien Bezug genommen, die für die Einführung und Implementie- rung dieses neuen Verfahrens entscheidungsführend sein könnten. Zu nennen wären hier beispielsweise die Vor- und Nachteile für Banken und Kunden, Kosten und Nutzen für alle Beteiligten sowie die nötige Akzep- tanz in der Bevölkerung.

Kapitel vier formuliert dann das Gesamtergebnis der Abschlussarbeit in einer zusammenfassenden Schlussbetrachtung und gibt einen Ausblick.

Obwohl der in Kapitel drei beschriebene Ablauf des elektronischen Legitimationsnachweises zum großen Teil hypothetisch ist, verzichtet diese Arbeit zum besseren Verständnis und der Einfachheit halber auf den Konjunktiv und verwendet den Indikativ.

Weiterhin soll an dieser Stelle auf den Unterschied zwischen Authentisierung und Authentifizierung hingewiesen werden, da diese Be- griffe im weiteren Verlauf häufiger verwendet werden: Unter der Authentisierung versteht man die Vorlage geeigneter Ausweisdokumente mit denen eine Person ihre Identität bestätigt. Die Authentifizierung be- schreibt dagegen die Prüfung der Authentisierung, d.h. den Vorgang der Überprüfung der Identität des Kommunikationspartners. (vgl. Nitschke et al. 2005, S. 6 f.).

In dieser Abschlussarbeit wird aufgrund der besseren Lesbarkeit die männliche Form genutzt, welche die weibliche mit einschließt.

2. Grundlagen

Dieses Kapitel erläutert zunächst den Ablauf einer Kontoeröffnung, wie sie bis dato in allen Bankhäusern oder auch Postfilialen üblicherweise durchgeführt wird. Im weiteren Verlauf wird der elektronische Personalausweis vorgestellt und auf die bestehenden bzw. geschaffenen gesetzlichen Rahmenbedingungen eingegangen.

2.1 Klassische Legitimationsprüfung

Die klassische Legitimationsprüfung erfolgt entweder direkt an einem Bankschalter oder wird durch die Deutsche Post vorgenommen. Beide Möglichkeiten werden im Folgenden vorgestellt.

2.1.1 Kontoeröffnung am Bankschalter

Die übliche Form der Legitimationsprüfung ist die Überprüfung der Identi- tät an einem Bankschalter, hierbei besteht direkter Kundenkontakt. Die Identität kann vor Ort überprüft und das Konto direkt eröffnet werden. Der Kunde wählt sein gewünschtes Produkt durch Ausfüllen der entsprechen- den Unterlagen aus. Er bestätigt durch Vorlage seines Personalausweises oder andere geeignete Identitätsdokumente (wie z.B. den Reisepass) sei- ne Identität und leistet eine Unterschrift. Die Kontoeröffnungsunterlagen werden ihm nach Prüfung seiner Daten auf postalischem Wege zuge- sandt. Dieses Procedere wird anhand der ereignisgesteuerten Prozessket- te (EPK) in Abb. 2-1 veranschaulicht.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-1 EPK der Kontoeröffnung am Bankschalter

Wurde das Konto online bei einer Direktbank^[1] eröffnet, die ein Tochterunternehmen eines Finanzkonzerns mit eigenem Filialnetz ist, besteht auch die Möglichkeit der Identitätsprüfung in einer dieser Filialen. Dies ist zum Beispiel bei der comdirect Bank der Fall, einer Tochter der Commerzbank AG (vgl. Finanzvergleich 2009).

2.1.2 Online-Kontoeröffnung

Bei einer Online-Kontoeröffnung, wie sie beispielsweise Direktbanken an- bieten, geschieht die Legitimationsprüfung bislang durch das sogenannte PostIdent-Verfahren. Dieses Verfahren ist ein Service der Deutschen Post und ermöglicht die Identifizierung von Personen bei fehlendem Kunden- kontakt. Die Legitimationsprüfung erfolgt in einer Postfiliale oder wird di- rekt an der Haustür durch den Postzusteller vorgenommen (vgl. Deutsche Post 2009).

Der Kunde erhält zusammen mit seinen Kontoeröffnungsunterlagen das PostIdent-Formular, das in Abb. 2-2 anhand der Deutschen Kreditbank AG^[2] beispielhaft dargestellt wird. Die Unterlagen werden entweder auf dem Postweg zugestellt oder vom Kunden selbst ausgedruckt. Der An- tragssteller legt diese anschließend in einer Postfiliale zusammen mit ei- nem gültigen Ausweispapier vor. Der Postbeamte bestätigt die Identität und füllt das PostIdent-Formular aus. Sämtliche Unterlagen werden an die Bank zurückgeschickt, die dem Kunden nach Erhalt der Bestätigung das Konto eröffnet.

Bei diesem Verfahren entstehen dem Kunden nicht nur Kosten für die Anfahrt zur Post, sondern auch für das Porto, sofern dieses nicht explizit durch die Bank übernommen wird.

Die Legitimationsprüfung an der Haustür wird von den Kreditinstituten nicht angeboten. Dies ist zum einen auf die höheren Kosten zurückzufüh- ren, die die Post für dieses Verfahren veranschlagt. Zum anderen ist es dem einfachen Grund geschuldet, dass die Kontoeröffnungsunterlagen vom Kunden unterschrieben werden müssen und er diese zur Post brin- gen muss.

Abbildung in dieser Leseprobe nicht enthalten

Quelle: (DKB 2009)

Abb. 2-2 PostIdent-Formular

Der oben beschriebene Ablauf des PostIdent-Verfahrens wird in Abb. 2-3 anhand einer EPK dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-3 EPK der Kontoeröffnung via PostIdent-Verfahren

2.2 Elektronischer Personalausweis

In diesem Abschnitt wird der elektronische Personalausweis genauer vor- gestellt. Neben den generellen Spezifikationen werden die Funktionen und Ziele sowie die verwendete Technik und Sicherheitsmechanismen näher beschrieben.

2.2.1 Allgemein

Die Einführung des elektronischen Personalausweises (im Folgenden ePA genannt) wurde am 18. Dezember 2008 vom Deutschen Bundestag beschlossen (vgl. Bundestag 2009, S. 1).

Das neue Ausweisdokument stellt eine Vereinigung des bisherigen Perso- nalausweises mit digitalen Funktionalitäten dar. Dies wird durch einen in- tegrierten kontaktlosen Chip ermöglicht. Der ePA soll ab dem 1. Novem- ber 2010 verfügbar sein und den bisherigen Personalausweis ablösen. Die korrekte Terminierung vorausgesetzt, wird ab diesem Datum nur noch die elektronische Variante ausgegeben. Der alte Ausweis soll dabei bis zum Ablaufdatum seine Gültigkeit behalten (vgl. Schmeh 2009, S. 140).

Abbildung in dieser Leseprobe nicht enthalten

Quelle: (BSI 2009a)

Abb. 2-4 Elektronischer Personalausweis

Die Abb. 2-4 zeigt ein vorläufiges Muster des neuen Ausweises, der die folgenden aufgedruckten persönlichen Angaben enthält:

- Familienname und Geburtsname
- Vorname(n)
- Doktorgrad
- Tag und Ort der Geburt
- Lichtbild
- Unterschrift
- Körpergröße
- Augenfarbe
- Anschrift
- Staatsangehörigkeit
- Seriennumer
- Ordensname, Künstlername

Auf dem Chip des Ausweises sind alle oben aufgezählten Daten gespei- chert, ausgenommen Körpergröße, Augenfarbe und Unterschrift des Aus- weisinhabers (vgl. BSI 2009b). Neben der obligatorischen Abfrage, ob der Ausweis gesperrt oder abgelaufen ist, können folgende Daten übermittelt werden. Diese sind in § 18 des Personalausweisgesetzes (PersAuswG) festgehalten.

- Familienname
- Vornamen
- Doktorgrad
- Tag der Geburt
- Ort der Geburt
- Anschrift
- Dokumentenart
- Dienste- und kartenspezifische Kennzeichen
- Abkürzung „D“ für Bundesrepublik Deutschland
- Angabe, ob ein bestimmtes Alter über- oder unterschritten wird
- Angabe, ob ein Wohnort dem abgefragten Wohnort entspricht
- Ordensname, Künstlername

[...]

^[1] Banken ohne ein eigenes Filialnetz.

^[2] http://www.dkb.de