Neue VideoIdent-Verordnung: Deutschlands Banken stehen vor einem Identifizierungsumbruch
Während die EU fleißig an geldwäscherechtlichen Sorgfaltspflichten und an der eIDAS 2.0-Verordnung arbeitet, hat das Bundesfinanzministerium seinen Referentenentwurf zur VideoIdent-Verordnung veröffentlicht. Die Folge? Finanzdienstleister müssen sich auf neue Regularien einstellen – und auf ein breiteres Angebot an Identifizierungsverfahren. Ein Überblick.
Die Neuigkeit, die Mitte April aus dem Detlev-Rohwedder-Haus kam, löste ein kleines Beben in der deutschen Finanzbranche aus: Die Veröffentlichung eines neuen Referentenentwurfs zur Geldwäschevideoidentifizierungsverordnung (GwVideoIdentV), oder einfacher „VideoIdent-Verordnung“. Die neue nationale Verordnung, die parallel zu vielen anderen laufenden Digitalisierungs- und Geldwäschebestrebungen der EU bearbeitet werden soll, soll die Wettbewerbsfähigkeit der deutschen Finanzbranche und des gesamten GwG-Sektors im europäischen Vergleich stärken. Die bekannten Videoidentifizierungsverfahren sollen dafür modernisiert, neue Verfahren unter dem Geldwäschegesetz (GwG) erlaubt werden.
Vieles ist momentan noch unklar, eins zeichnet sich im Regulierungsdickicht jedoch ab: Finanzdienstleister hierzulande müssen sich auf einige regulatorische Änderungen und auf ein breiteres Angebot an Identifizierungsverfahren einstellen.
KI, NFC oder expertengeführt – künftig soll vieles möglich sein
Ein bedeutender Teil der angestrebten Modernisierung soll über neue Verfahren bzw. Änderungen an bestehenden Verfahren laufen. Drei dieser vorgeschlagenen Änderungen sorgten im Banking für besonders großes Aufsehen:
1. Die Online-Ausweisfunktion (eID), GwG-konform und seit 2010 im Markt, doch seither im Schatten der anderen Lösungen, soll verpflichtend angeboten werden: Banken und Finanzdienstleister, die Videoidentifizierungsverfahren bereits im Einsatz haben, sollen künftig auch die eID inklusive ihrer NFC (Near Field Communicaton)-Funktion anbieten.
2. Teilautomatisierte Verfahren sollen erlaubt werden: Gewisse Teile des Videoidentifizierungsverfahrens könnten außerhalb des bekannten Live-Video-Calls stattfinden. Eine menschliche Überprüfung ähnlich der bisherigen Verfahren wäre bei dieser Variante weiterhin Teil des Prozesses.
3. Vollautomatisierte, KI-basierte Verfahren, wie sie in anderen EU-Ländern auch schon zum Einsatz kommen, sollen – unter strengen Vorschriften – ebenfalls zugelassen werden. Eine eingehende Evaluation durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zu den Voraussetzungen gehören.
Raus aus dem Schattendasein: Schlägt nach 14 Jahren die Stunde der eID?
Auch wenn die eID laut Referentenentwurf in der Finanzbranche künftig verpflichtend angeboten werden soll, wird der große Durchbruch des Verfahrens vorerst wohl trotzdem ausbleiben. „Anwendungsfälle wie eine Kontoeröffnung kommen dafür zu selten im Alltag der Bürgerinnen und Bürger vor“, erklärt Armin Bauer, Chief Technology & Security Officer und Mitgründer von IDnow.
Trotzdem sendet der Entwurf ein positives Signal: „Finanzdienstleister sowie Unternehmen aus anderen Branchen müssen die Implementierung der eID in ihre Onboarding-Verfahren unabhängig von der Politik wagen. Ein erhöhtes Angebot wird sich zwangsläufig positiv auf die Bekanntheit der eID auswirken und sie dadurch für alle – Endkundinnen und Kunden sowie Banken – attraktiver machen“, schiebt Bauer hinterher.
Eine Handvoll weitere Faktoren könnten die eID zudem doch noch auf die Siegerstraße bringen: Die technische Umsetzung für Banken und Dienstleister ist nicht mehr so kostenintensiv und aufwändig wie in den Anfangsjahren. Über webbasierte Plattformen können Finanzunternehmen sie in ihren Arbeitsablauf integrieren. Zusätzlich spielt die eID für elektronische Signaturen, insbesondere für die qualifizierte elektronische Signatur (QES), im Finanzbereich eine immer wichtigere Rolle, um Vertragsunterzeichnungen online sicher und rechtskonform umzusetzen.
EUDI-Wallets: Vom Einweg-KYC zu wiederverwendbaren Identitäten
Darüber hinaus wird sich die eID-Funktion auch dank der europäischen eIDAS 2.0-Verordnung (electronic Identification, Authentication and Trust Services) künftig größerer Beliebtheit erfreuen. Denn als sicheres und zuverlässiges Identifizierungsverfahren wird sie als Grundlage für die deutsche Umsetzung der EU Digital Identity (EUDI)-Wallet dienen.
Mit den EUDI-Wallets wird sich auch die Finanzbranche weg von Einweg-Know-Your-Customer-Prozessen hin zu wiederverwendbaren Identitäten bewegen. Anstatt sich immer wieder neu identifizieren zu müssen, können Nutzerinnen und Nutzer mit der Wallet ihre verifizierten Identitäten speichern und beim nächsten Mal einfach wiederverwenden. Banken und Finanzdienstleister werden die Wallets unter eIDAS2.0 zwingend zum Onboarding ihrer Kundinnen und Kunden akzeptieren müssen.
„Letztlich sollten die Verordnungen und Bestrebungen der Politik das Ziel verfolgen, den Nutzerinnen und Nutzern die Entscheidung zu überlassen, welches Verfahren sie, unter den notwendigen Sicherheitsvoraussetzungen, zur Identifizierung verwenden wollen – ob KI- oder NFC-basiert, klassisch expertengeführt, per Identity Wallet oder vor Ort“, so Bauer. „Die persönlichen Wünsche und Fähigkeiten der Personen finden so Berücksichtigung und es wird sichergestellt, dass niemand von der Fernidentifizierung ausgeschlossen wird. In Anbetracht dessen ist es für den Finanzsektor schon heute immens wichtig, auf Plattformidentifizierungsanbieter wie IDnow zu setzen, die hohe Sicherheitsniveaus einhalten und alle Verfahren aus einer Hand anbieten können.“
Nationale und europäische Geldwäschebekämpfung
Doch nicht nur eIDAS2 und die GwVideoIdentV stehen den Finanzinstituten bevor. Die EU hat ebenfalls im April ein neues Gesetzespaket zur Geldwäschebekämpfung verabschiedet. Das sieht verstärkte Sorgfaltspflichten und Kundenidentitätskontrollen vor. Die Verpflichteten (d. h. Banken, Vermögensverwalter und Krypto-Investoren sowie Immobilienmakler) müssen verdächtige Aktivitäten an zentrale Stellen und andere zuständige Behörden melden.
In Frankfurt am Main wird dafür eigens eine neue Behörde zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (Authority for anti-money laundering and countering the financing of terrorism, AMLA) eingerichtet. Die AMLA wird für die direkte Aufsicht über die risikoreichsten Finanzunternehmen zuständig sein, bei Unzulänglichkeiten der Aufsichtsbehörden eingreifen, und als Drehscheibe und Mittler zwischen den nationalen und europäischen Aufsichtsbehörden agieren.
Auch dieses Gesetzespaket aus Brüssel und der Entwurf der GwVideoIdentV sind eng verwoben. Denn die GwVideoIdentV gibt bereits vor, dass die nationale Verordnung ab dem Zeitpunkt wieder außer Kraft tritt, ab dem „unmittelbar anwendbare europäische Regelungen zur Durchführung von geldwäscherechtlichen Sorgfaltspflichten und zu Einzelheiten der dafür erforderlichen Identifizierungsverfahren, einschließlich des Bereichs der Fernidentifizierungsverfahren, anwendbar sind“ – oder anders gesagt: europäische Regelung sticht nationale. Konkretisierende Vorschriften, die die Einzelheiten der Anwendung dieser EU-Verordnung regeln, sollen dann von der AMLA in Frankfurt erlassen werden.
Nicht nur das Bundesfinanzministerium, sondern auch die EU erhöhen also das Tempo im Kampf gegen die Finanzkriminalität und Geldwäsche. Unabhängig von den politischen Entscheidungen rückt die zunehmende Bedrohung durch Cyberkriminelle das Thema aus wirtschaftlichem Eigeninteresse für Finanzakteure aber auch immer mehr in den Fokus.
Der Kampf gegen Social-Engineering- und Deepfake-Angriffe
Im Kampf gegen die steigende Cyberkriminalität braucht es ein breites Aufgebot an Gegenmaßnahmen. Dabei gilt es zu bedenken, dass nicht alle Identifizierungsverfahren den gleichen Schutz gegen Deepfake- und Social-Engineering-Attacken bieten.
Bis heute ist Social Engineering die mit am weitesten verbreitete Betrugsmasche, weil sie einfach, schnell, skalierbar und kostengünstig ist. Der Schlüssel gegen diese Art von Angriffen liegt darin, den Betrügern das Leben zu erschweren, und den Angriff für sie zeitaufwändig und teuer zu machen.
Die Kombination aus Mensch und Maschine liefert dafür die besten Resultate. Laut Armin Bauer könne ein hybrides Modell, das KI und menschliche Intelligenz mit Echtzeitfragen und trainierten Beobachtungen optimal kombiniert, den bestmöglichen Schutz für Kundendaten bieten und so ein hohes Maß an Sicherheit gewährleisten. Auch die starke Zunahme sogenannter Deepfakes (täuschend echt aussehende manipulierte Bild-, Audio- oder Videoaufnahmen), könne durch das Zusammenspiel von Mensch und Maschine weitaus zuverlässiger erkannt werden als durch automatisierte Prozesse allein, resümiert der IDnow-Mitgründer.
„Seit unserer Gründung vor nunmehr zehn Jahren treiben wir fortlaufend den Fortschritt der Branche voran. Nicht nur der deutsche und europäische Gesetzgeber, sondern auch wir arbeiten kontinuierlich an Betrugsprävention, die an die heutige und künftige Bedrohungslage angepasst ist. So können wir sicherstellen, dass unser gesamtes Lösungsportfolio – das neben VideoIdent, auch voll- und teilautomatisierte Lösungen sowie die deutsche eID umfasst – den Betrügern und Kriminellen immer einen Schritt voraus ist“, so Bauer abschließend.