Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat das Rundschreiben 3/2017 (GW) veröffentlicht, das neue Standards für die Video-Identifikation in Deutschland festlegt. Es ersetzt damit das bisher gültige Rundschreiben 1/2014 (GW). Mit den neuen Anforderungen soll die Sicherheit des Verfahrens weiter gesteigert werden.
Mit der Zulassung der Video-Identifikation hat Deutschland 2014 eine Vorreiterrolle übernommen und Maßstäbe für eine rechtskonforme Online-Identifizierung gesetzt. Das Verfahren ermöglicht Unternehmen, ihre Kunden schnell, nutzerfreundlich und sicher über einen Video-Chat zu identifizieren. Nahezu die gesamte Finanzwelt setzt seitdem das Verfahren erfolgreich ein und profitiert dadurch von signifikanten Steigerungen der Konversionsraten.
„Wir freuen uns sehr, dass das neue Rundschreiben die Sicherheit der Video-Identifikation weiter erhöht, ohne dabei die Nutzerfreundlichkeit einzuschränken“, erklärt Michael Sittek, Managing Director bei IDnow. „BaFin, BSI, weitere beteiligte Ministerien und Behörden sowie Finanzinstitute und Ident-Anbieter haben konstruktiv zusammengearbeitet, um eine zukunftsweisende Online-Identifizierungsmethode weiter zu verbessern. Diese wird den Finanzstandort Deutschland stärken und zudem ein Vorbild für ganz Europa sein.“
Armin Bauer, Managing Director bei IDnow ergänzt: „Da IDnow an der Erarbeitung der neuen Maßnahmen im Rahmen der Arbeitsgruppe beteiligt war, haben wir die technische Entwicklung bereits abgeschlossen und können unseren Kunden die neuen Anforderungen noch vor Ablauf der Übergangsfrist zur Verfügung stellen.“
Keine Referenzüberweisung und Social-Media-Abfrage
Bislang galt das Rundschreiben 1/2014 (GW), in dem erstmals die Fernidentifizierung via Video-Chat geregelt wurde. Vergangenes Jahr wurde das Rundschreiben 4/2016 veröffentlicht und kurz danach wieder ausgesetzt. Es enthielt einige kritische Punkte wie die Referenzüberweisung, die Abfrage von Social- Media-Kanälen sowie die Einschränkung auf Kreditinstitute im Sinne des §1 Abs. 1 KWG, die für großen Aufruhr bei den Instituten und Ident-Anbietern gesorgt hatten.
Erfreulicherweise wurden diese Einschränkungen nicht in das neue Rundschreiben übernommen. Es können weiterhin alle dem Geldwäschegesetz (GwG) verpflichteten Unternehmen die Video-Identifikation nutzen, um ihre Kunden zu legitimieren. Das Rundschreiben 4/2016 wurde nun endgültig aufgehoben.
Die wesentlichen Neuerungen des BaFin-Rundschreibens 3/2017 (GW) – Videoidentifizierungsverfahren:
– Prüfung von Sicherheitsmerkmalen aus drei verschiedenen Kategorien: Identifikationsdokumente verfügen üblicherweise über verschiedene Arten von Sicherheitsmerkmalen. Damit eine Sichtprüfung unter Weißlicht auch adäquat erfolgen kann, sind die Sichtprüfungen in dem aktuellen BaFin-Rundschreiben festgelegt. Aus den vier Bereichen beugungsoptisch wirksame Merkmale (Hologramme), Personalisierungstechnik, Material und Sicherheitsdruck muss die Überprüfung von Sicherheitsmerkmalen aus drei dieser vier Kategorien erfüllt sein. Ausweise mit wenigen Sicherheitsmerkmalen sind damit von dem Verfahren ausgeschlossen. Der absolute Großteil der genutzten Ausweise erfüllt jedoch diese Bedingungen ohne Probleme.
– Als Maßnahme gegen Phishing und Social Engineering müssen sich die Ident-Spezialisten zukünftig den Anlass der Identifikation bestätigen lassen. Damit soll unter anderem Fällen entgegengewirkt werden, in denen sich Personen von Betrügern als App-Tester anwerben lassen und dann in eigenem Namen die Identifikations-App „testen“. Die Ident-Spezialisten sollen sich mittels psychologischer Fragestellungen und Beobachtungen während der Durchführung des Identifizierungsvorgangs von der Plausibilität der Angaben im Ausweisdokument, den Angaben der zu identifizierenden Person im Gespräch sowie der vorgegebenen Absicht der zu identifizierenden Person überzeugen.
– Neu hinzugekommen ist die verpflichtende Ende-zu-Ende-Verschlüsselung für die sichere Kommunikation zwischen Nutzer und Ident-Spezialist. Dadurch ist die fragwürdige Nutzung von Skype oder ähnlichen Diensten zukünftig nicht mehr zulässig.
– Es gibt einen weiteren Prüfschritt, der eine computergestützte Manipulation des Ausweisdokuments verhindern soll. Dabei muss die zu identifizierende Person den Ausweis bewegen oder mit dem Finger teilweise verdecken. Anhand von Standbildern soll dann die Echtheit des Vorgangs überprüft werden.
Darüber hinaus wurden konkrete Schulungsmaßnahmen und -zyklen für die Ident-Spezialisten sowie weitere technische und prozessuale Maßnahmen vorgegeben, die jedoch keine wesentlichen Änderungen zum ersten BaFin Rundschreiben 1/2014 bedeuten.