Der Einsatz von Video-Ident-Verfahren gründet bis heute nicht auf einer Rechtsverordnung. Dies macht den Prozess juristisch angreifbar. Versicherungsmagazin sprach mit Nect-Gründer Benny Bennet Jürgens unter anderem darüber, warum dies deutsche Versicherer und Banken im europäischen Wettbewerb benachteiligt und welche sicheren Alternativen es gibt.
Video-Ident leidet unter rechtlichen Schwachstellen - ist die Digitalisierung jetzt abgesagt?
Innovationen können vor allem dann entstehen, wenn es auch einen klaren Prozess gibt, wie diese eingesetzt werden können. Dass der Einsatz des Video-Idents bis heute nicht auf einer Rechtsverordnung beruht, sondern quasi nur geduldet wird, beweist die derzeitige innovationsunfreundliche Regulierung in Deutschland. Es muss technologieoffen reguliert werden. Die Identifizierung vor Ort ist im Zeitalter der Digitalisierung längst überholt, gilt aber beispielsweise laut GwG §13 (1) als Goldstandard. Wenn bewiesen ist, dass die maschinelle Kontrolle gleichwertig sicher der menschlichen Kontrolle ist, denn auch die ist nicht fehlerfrei, warum kann diese dann nicht eingesetzt werden? Digitalisierung benötigt vor allem die Offenheit, bestehende Prozesse komplett neu zu denken und nicht nur zu elektrifizieren. Die aktuelle Gesetzgebung birgt für deutsche Versicherer und Banken einen starken Nachteil im EU-Wettbewerb. Das darf nicht sein. So werden wir nicht digital.
Es gibt juristische Vorbehalte gegen das Video-Ident-Verfahren: Den Personalausweis rechtssicher in die digitale Welt zu übertragen sei per Video nicht möglich. Wie ist Ihre Meinung dazu?
Die grundsätzliche Idee, ein Online-Ident-Verfahren per Video zu schaffen, um den Gang zum Amt oder zu einer der wenigen Postfilialen zu sparen, war und ist weiterhin richtig. Nur muss dieses nicht nur praktikabel, sondern auch sicher sein. Und das ist das klassische Video-Ident-Verfahren mittlerweile nicht mehr. Soweit stimme ich den Kritikern zu. Eine Video-Übertragung von Ausweisdokumenten stellt die menschliche Kontrolle vor Herausforderungen, die ein Mensch nicht gewinnen kann. Mittlerweile gibt es aber alternative, maschinelle Online-Verfahren, die etwa den notwendigen Gesichtsabgleich zwischen Person und Ausweisdokument deutlich zuverlässiger als der Mensch in der Filiale erledigen.
Wenn also formaljuristisch kritisiert wird, dass eine optische Übertragung eine Kopie der Urkunde sei, dann mag das aus dieser Sicht richtig sein - vergisst aber, dass wir ganzheitlich beurteilen müssen, wie hoch das Risiko aus dieser Kopie ist. Denn wir müssen uns mit der Vor-Ort-Kontrolle vergleichen. Hier mag man eventuell argumentieren, dass das Dokument das Original und keine Kopie ist - dafür habe ich bei einer Online-Prüfung weitere Datenpunkte die mir eine Identitätsprüfung absichern, welche ich in der Filiale nicht habe.
Zwar ist auch die eID vergleichsweise sicher, allerdings mit großen Einstiegshürden versehen und bis heute, 13 Jahre nach Einführung, immer noch einer schlechten Nutzererfahrung unterliegend. Strenger Regulierungen des BMF und BMI geschuldet, konnten sich innovative, nutzerfreundliche Verfahren mit gleichen Sicherheitsstandards nur in weniger regulierten Branchen durchsetzen, hier aber mit großem Erfolg. Meiner Meinung nach ist es an der Zeit, die rechtliche Lage in Deutschland offener zu gestalten und alle Möglichkeiten zu nutzen, die bis jetzt entwickelt wurden. Nur durch Iterationsprozesse kommt Fortschritt und den brauchen wir, um in der Zukunft eine möglichst ganzheitliche Sicherheitsprüfung zu bieten.
Wie sicher ist das Verfahren?
Mittlerweile sind Künstliche Intelligenzen in der Lage, realistische Videos und Morphings zu erstellen, bei denen die Mitarbeiter in den Call Centern des klassischen Video-Idents Schwierigkeiten haben, sie von echten Menschen zu unterscheiden. Dies ist einer der Gründe, weswegen Video-Ident auch für einige Bereiche des deutschen Gesundheitswesens nicht mehr zulässig ist. Dagegen sind bereits genannte alternative Verfahren deutlich sicherer. Der entscheidende Unterschied ist, dass nicht ausschließlich über die Video-Aufnahmen entschieden wird, ob es sich tatsächlich um die richtige Person handelt, sondern über eine Lebendigkeitsprüfung, in der zufällig bestimmte Aktionen durchgeführt werden müssen, die zuvor eingeplante Täuschungsmanöver verhindern. Auch die Nutzung von NFC Chips in Personalausweisen und Reisepässen ist mittlerweile über die gängigsten Smartphones möglich und stellt eine hohe Sicherheit bei der Dokumentenprüfung sicher.
Letztendlich möchte ich auch einmal erwähnen, dass wir uns in Deutschland bei Aktivierungsbriefen auf das Briefgeheimnis verlassen dürfen und somit den Aktivierungsbrief als ausreichend sicher für etwa Krankenkassen deklarieren. Das Fälschen eines Ausweises und/oder einer Urkunde ist per Strafgesetzbuch (u.a. §273 und §281) ein mindestens ebenbürtiges Vergehen - weshalb völlig unverständlich ist, weswegen die Gematik den Krankenkassen im Online-Verfahren zwar Aktivierungsbriefe erlaubt, aber nicht die optische Prüfung eines Ausweisdokuments.
Was sind die Vorteile von Video-Ident-Verfahren für Versicherer, Finanzdienstleister und Kunden?
Digitale Verfahren bieten eine Vielzahl an Vorteilen: Zunächst spart man sich den Weg in Büros, Shops und Ämter. Gerade in der Pandemie-Zeit haben sich deswegen digitale Verfahren als sehr nützlich erwiesen. Gleichzeitig wird den Unternehmen und Mitarbeitenden eine Menge Bürokratie erspart, die bislang Zeitaufwand, große Kostenapparate und Zettelwirtschaften mit sich brachte. Über eine digitale Alternative freut sich also auch die Umwelt. Für viele innovative Verfahren braucht man weder Brief noch PIN, ohne an Sicherheit einsparen zu müssen. Die hohe Nutzerfreundlichkeit innovativer Verfahren und der Online-Zugang verringern Absprungraten und steigern so die Kundenzufriedenheit und die Abschlussrate bei Versicherern & Co.
Diese Verfahren sind bislang aber nicht GwG-konform, obwohl sie die gleichen Sicherheitsstandards wie die Vor-Ort-Kontrolle erfüllen. Würde sich die Verifizierung über ein Wallet-System etablieren, was ich hoffe und erwarte, so liefe die Verifizierung binnen Sekunden ab, eine große Zeitersparnis für alle Beteiligten. Bisher wurde vor allem die Verifizierung mit der eID gefördert mit der Argumentation, sie biete die größte Sicherheit. Allerdings funktioniert sie nur für deutsche Ausweisdokumente und bringt auch eine große Papierwirtschaft mit sich. Sobald der per Post versendete PIN-Code in die falschen Hände gerät, entstehen außerdem auch hier Sicherheitsrisiken. Um Digitalisierung für alle in Deutschland Lebenden möglich zu machen, braucht es ein Verfahren, das auch für ausländische Ausweise funktioniert. Nur das ist fair. Genauso wichtig ist, dass die Identifizierung so simpel ist, dass auch weniger technikaffine und mobile Generationen sie reibungslos in kurzer Zeit durchführen können. Da stört eine schnell vergessene PIN genauso wie der Weg in die Filiale.
Warum haben sich eID und ePass beim Verbraucher noch nicht durchgesetzt?
Die Einstiegshürde der eID ist einfach immens hoch. Der Mensch vermeidet einfach jede Hürde, wenn es doch auch Verfahren gibt, die diese Hürde nicht haben oder die er in der Vergangenheit schon einmal sicher durchlaufen hat. Und wenn ich dann erst noch eine PIN/PUK bestellen muss, dann gehen Bürger lieber den gewohnten Weg. Dagegen hat die biometrische Datenerfassung bereits Einzug in unseren Alltag gehalten, weswegen ich denke, dass der ePass sich sehr schnell durchsetzen wird. Beim ePass wird die Sicherheit nicht durch eine PIN, wie bei der eID, sondern durch einen Gesichtsabgleich hergestellt, der ein oder andere kennt es vielleicht schon vom Flughafen. Hier fehlt also die Hürde der PIN komplett, auch die NFC-Kompatibilität ist größer, weswegen ich eine schnelle Adoption des ePasses im Vergleich zur eID sehe.
Und wie ist die Lage im Ausland?
Andere Länder zeigen sich offener. Der Blick nach Skandinavien oder ins Baltikum zeigt, dass Länder wie Estland oder Finnland uns im technologischen Sinne um einiges voraus sind. Ob es um digitale Verwaltungsangebote, Prozesse im Gesundheitssystem oder digitale Kommunikationswege in der Wirtschaft geht. Natürlich gibt es auch Negativbeispiele wie China, wo die rasante Entwicklung künstlicher Intelligenz nicht nur für sinnvolle Zwecke, sondern teilweise auch zur Überwachung von Bürgerinnen und Bürgern genutzt wird. Technologie-Missbrauch muss natürlich durch entsprechende Regulierungen vorgebeugt werden. Innovative Technologien haben so viel Potenzial, wenn sie verantwortungsvoll genutzt werden.
Was bedeutet die AML-Verordnung (EU) für die Zukunft der Verifizierung?
Viele Anwendungsfälle im Finanzwesen sind aktuell nur mit klassischen Ident-Verfahren oder der eID möglich. Dass diese aber Schwächen in der Verbreitung und User Experience haben, wurde unter dem angeblichen Sicherheitsaspekt verdrängt. Die Überregulierungen behindern die Anwendung innovativer Verfahren und machen die eID zum Monopol für die Finanzindustrie und weitere Branchen. Das hat zur Folge, dass Unternehmen und unter ihnen vor allem Start-Ups mit fortschrittlichen Ideen und Technologien ins Ausland abwandern, etwa nach Finnland und Spanien. Die neue AML-Verordnung könnte für Deutschland bedeuten, dass jedes eIDAS-zertifizierte elektronische Identifizierungsverfahren EU-weit auch als GwG-konform gilt und für sämtliche Zwecke im Banking zugelassen werden. Vor allem, da es sich dieses Mal um eine Verordnung und nicht nur um eine Richtlinie handelt. Das wäre ein wichtiger Schritt in Richtung Technologieoffenheit und vor allem eine tolle Chance, um die oftmals antiquierten Prozesse bei Banken endlich auf ein neues Level zu heben.
Sie haben bei Nect ein biometrisches und vollautomatisiertes Video-Ident-Verfahren entwickelt. Was heißt das genau?
Unser eIDAS-zertifiziertes Nect-Ident-Verfahren vereint verschiedene Verifizierungsmethoden und Sicherheitsmodule. Dazu gehört unter anderem das vollautomatisierte, KI-basierte Video-Ident, bei dem ein Video vom Ausweisdokument, etwa dem Personalausweis, sowie eine Selfie-Video vom Nutzer aufgenommen wird. Unsere Maschinen prüfen sowohl das Dokument auf Echtheit und Gültigkeit als auch die Person auf Lebendigkeit - nicht nur visuell, sondern auch über die Stimme, indem der Nutzer zwei zufällig angezeigte Wörter vorlesen muss. Darüber hinaus haben wir aktive und passive Sicherheitsmodule entwickelt, um die Sicherheit unseres Verfahrens noch weiter zu erhöhen. Das "Put Yout Face Here"-Modul zum Beispiel ist ein aktives Modul, das den Nutzer dazu auffordert, seinen Ausweis in verschiedene, zufällig generierte, Positionen zu bewegen und somit eine originale Aufnahme erwirkt. Zu den passiven Sicherheitsmodulen zählt u.a. die von uns entwickelte Presentation Attack Detection, kurz PAD, die ohne aktive Mitarbeit des Nutzers im Hintergrund auf Manipulation und Angriffsversuche prüft. Erst wenn die PAD grünes Licht gibt, ist der Prozess positiv abgeschlossen. Dafür werden nur ein Smartphone, ein Ausweis und das eigene Gesicht benötigt - keine PIN, kein Brief. Gleichzeitig haben wir mit unserer Wallet-Funktion zur Wiederverwendung der digitalen Identität eine noch bessere User Experience geschaffen. Durch sie können bereits acht Millionen Nutzer in Sekundenschnelle ihr digitalisiertes Ausweisdokument wiederverwenden. So vereinen wir Sicherheit mit hoher Nutzerfreundlichkeit, denn selbst die sicherste Technologie bringt uns nichts, wenn sie niemand benutzt.
Letztendlich können Nutzer über das Nect Verfahren über eine von vier Methoden identifiziert werden: automatisiertes Video-Ident, eID, ePass und die Wallet-Funktion. Das zahlt ebenfalls auf die Nutzerfreundlichkeit ein und sichert hohe Abschlussraten bei vergleichbarer Sicherheit zur Vor-Ort-Kontrolle eines Ausweisdokuments.
Die Nect GmbH wurde 2017 von Benny Bennet Jürgens und Carlo Ulbrich gegründet und ist ein Anbieter für digitale, KI-basierte Identifizierungslösungen in Deutschland. Alle Lösungen werden über die unternehmenseigene App, die Nect Wallet, zur Verfügung gestellt. Neben dem Nect Ident, welches die Identifizierung über das automatisierte Video-Ident, die eID, den ePass und eine Wiederverwendungsfunktion umfasst, bietet das Unternehmen mit Nect Sign eine Lösung für die qualifizierte elektronische Signatur (QES). Die von Nect entwickelte und patentierte Technologie kommt unter anderem bei der R+V Versicherung, dem ADAC, der Barmer sowie der Telekom Deutschland zum Einsatz.
Mehr zum Thema Video-Ident finden Sie im Artikel "Video-Ident leidet unter rechtlichen Schwachstellen" aus Versicherungsmagazin 9/2023.
Autor(en): Benny Bennet Jürgens