Elektronische Unterschrift: Dinge, die man wissen muss

Ob Online-Banking oder neues Handy - immer mehr Vertragsabschlüsse und Vorgänge verlagern sich in die digitale Welt. Was die Kreditvergabe oder den Wechsel des Stromanbieters beschleunigt, hat leider eine Kehrseite: Ohne persönliches Erscheinen ist ein Sicherheitsrisiko gegeben. Verschiedene Formen der Verifizierung haben sich online etabliert. Unser Artikel zeigt auf, welche dem aktuellen, technischen Stand entsprechen und wo eventuelle Risiken bei der Nutzung liegen.

Verifizierung im Internet - vielfältig und notwendig

Zugegeben: Die Digitalisierung hat diverse Vorgänge des Alltags erleichtert und beschleunigt. Man denke an die Vergabe von Krediten, die früher nur bei der Hausbank möglich und mit vielen Formalitäten verbunden war. Heute lässt sich ein Vergleich Dutzender Anbieter und das Einholen eines Angebots in nur wenigen Minuten digital durchführen.

Online-Banking oder der Wechsel zu Energieversorgern und anderen Dienstleistern gehören auch in diesen Bereich. Bei aller Beschleunigung alltäglicher Prozesse darf die erstmalige Verifizierung eines Nutzers oder Kunden nicht zu kurz kommen. Was in manchen Momenten lästig wirkt, ist ein wesentlicher Beitrag zum Schutz vor Cyberkriminalität. Und da die Verifizierung nur einmalig erfolgen soll, ist der Aufwand überschaubar.

Weshalb überhaupt verschiedene Verfahren der Verifizierung?

Die Notwendigkeit, sich online bei einem Dienstleister zu verifizieren, hat sich über die Jahrzehnte entwickelt. Sie hängt wesentlich mit dem Fortschritt und den technischen Möglichkeiten des Internets zusammen. Beispielsweise war in den Anfängen des Online-Bankings die Hausbank vor Ort noch immer der wichtigste Ansprechpartner für Geldgeschäfte. Erst mit den Jahren kamen reine Online-Banken hinzu, die eine sichere Umgebung für alle Finanzgebaren notwendig machte.

Dem Sektor Online-Banking fällt mit der Eingabe von TAN-Nummern zur Bestätigung von Überweisungen und anderen Aktivitäten die Rolle eines Pioniers zu. Hierauf aufbauend haben sich Zahlungsdienste und Schnittstellen entwickelt, die mit den Jahren Bezahlungen im Netz möglich machten. Im nächsten Schritt folgte die Bestätigung der eigenen Identität als Person - mittlerweile auf staatlicher Ebene durch Methoden wie den elektronischen Personalausweis umgesetzt.

Zudem haben Unternehmen und Dienstleister weltweit unterschiedliche Verfahren zur Verifizierung entwickelt. Eine einheitliche Linie gab es nicht, zumal ein unterschiedlicher Sicherheitsstandard je nach Geschäftsfeld und Webseite notwendig war. Aus den vielfältigen Strömungen haben sich einige Standards entwickelt, auf die wir ausführlich schauen möchten.

Verfahren Nr. 1: Ident-Verfahren

Wenn es um die Bestätigung der persönlichen Identität geht, sind Ident-Verfahren ein moderner Standard. Ein typisches Einsatzzweck ist die Eröffnung eines Girokontos bei einer Online-Bank. Da hier kein Kontakt vor Ort stattfindet, muss die Bank überprüfen, dass es sich beim Antragsteller wirklich um die Person handelt, deren Daten im Antragsformular zu finden sind.

Zwei Verfahren haben sich über die Jahre etabliert: Das Post-Ident und in den letzten Jahren verstärkter das Video-Ident. Beide Methoden bringen Vor- und Nachteile mit sich. Trotz der jeweiligen Nachteile ist ihre Nutzung bis heute obligatorisch und für zahllose Dienstleister und Firmen der führende Standard, wenn es ums Thema Identifikation online geht.

Post-Ident

Das klassische Post-Ident macht einen Besuch in einer Postfiliale vor Ort notwendig. Der Dienstleister, der eine Bestätigung einfordert (z. B. eine Online-Bank), sendet zusammen mit den Vertragsunterlagen einen Coupon zu. Dies kann per Brief oder E-Mail erfolgen. Dieser wird in der Postfiliale vorgelegt und die eigene Identität mit einem Dokument wie dem Personalausweis bestätigt. Die Unterlagen zur Bestätigung kann die Post direkt an den jeweiligen Dienstleister weiterleiten.

Post-Ident mit Videochat

Diese Variante ist ein moderner Hybrid aus dem traditionellen Post-Ident und dem Video-Ident. Die Bestätigung der Identität erfolgt online, allerdings auf dem speziellen Kundenportal der Deutschen Post. Eine Webcam ist hierfür notwendig, um dem Post-Mitarbeiter das Ausweisdokument zu zeigen. Neben dem PC kann diese Bestätigung auch über eine spezielle App erfolgen.

Video-Ident

Das Video-Ident funktioniert wie bereits beschrieben, nur mit Bestätigung durch einen anderen Dienstleister als die Deutsche Post. Auch hierfür wird ein Smartphone, Tablet oder PC mit Webcam benötigt, damit die eigene Person und ein Ausweisdokument live präsentiert werden kann. Grundsätzlich kann jeder Online-Dienstleister auf dieses Verfahren setzen. Für die sichere Abwicklung sollten diese auf einen externen Anbieter vertrauen, der sich auf das sichere Video-Ident spezialisiert hat.

Vor- und Nachteile des Verfahrens

Post- und Videoident sind schnelle und günstige Verfahren, die grundsätzlich wenig Aufwand bei der Verifizierung mit sich bringen. Das traditionelle Postident hat den Nachteil, dass ein Besuch einer Postfiliale notwendig ist und keine reine Identifikation am Computerbildschirm erfolgen kann.

Im Fall des Video-Idents muss die Bereitschaft gegeben sein, eine App für die Verifizierung herunterzuladen. Zudem ist ein Termin mit einem Mitarbeiter der Deutschen Post oder eines anderen Dienstleisters festzulegen. Je nach Unternehmen und sonstigen Anfragen kann es zu Wartezeiten kommen. Zudem muss eine stabile Internetverbindung und eine Eignung des Browsers vorliegen.

Wichtig: Auch Methoden wie das Video-Ident können anfällig sein, was die Sicherheit betrifft. Grundsätzlich ist nicht ausgeschlossen, dass Dritte den Datenverkehr abfangen und in den Besitz sensibler Daten gelangen. Online lassen sich schlechte Erfahrungen mit dem Video-Ident-Verfahren bei verschiedensten Dienstleistern finden. Verantwortungsvolle Nutzer sollten dringend prüfen, auf welchen Dienstleister ein Anbieter für das Video-Ident vertraut und ob es Alternativen zum Nachweis der eigenen Identität gibt.

Verfahren 2: Online-Ausweis

Kein Dokument in Deutschland bestätigt die eigene Identität so gut und verlässlich wie der Personalausweis. Er gehört zu den wichtigsten Dokumenten, die jeder Bürger dauerhaft mit sich führen sollte. Umso sinnvoller, den Ausweis mit einer Funktion auszustatten, die es jedem Bundesbürger erlaubt, sich online über dieses offizielle Dokument zu identifizieren.

Wie funktioniert der elektronische Ausweis genau?

Der Online-Ausweis erlaubt nicht alleine die Bestätigung der eigenen Identität. Auch rechtsverbindliche Unterschriften lassen sich mit diesem Dokument leisten. Technisch wird dies über einen integrierten Chip geregelt, der viele grundlegende Daten Deutscher und EU-Bürger abspeichert. Seit dem 1. August 2021 ist für neue Ausweise das Hinterlassen von zwei Fingerabdrücken sogar verpflichtend.

Detaillierte Informationen, wie der elektronische Personalausweis technisch funktioniert, lassen sich auf der Webseite des Bundesministeriums des Innern finden. Die Identifikation im staatlichen Sinne dient vor allem der Rechtsstaatlichkeit, beispielsweise beim Grenzübertritt in andere EU-Länder.

Online-Dienste vertrauen häufiger auf das mit dem Personalausweis verknüpfte Pseudonym. Mit diesem müssen Sie lediglich bei der erstmaligen Bestätigung Ihrer Identität die Ausweisdaten eingeben, hiernach arbeiten Sie alleine mit dem Pseudonym. Wesentlicher Nachteil: Mit einem neuen Personalausweis wird auch ein neues Pseudonym erstellt. An den Ausweis ist zudem eine PIN-Nummer gekoppelt, ähnlich wie beim Banking mit der EC-Karte.

Vor- und Nachteile des Online-Ausweises

Der Ausweis erleichtert Ihnen viele Behördengänge und beschleunigt die Datenverwaltung. Dies gilt im Zusammenhang mit Ämtern genauso wie beim Online-Banking oder anderen Dienstleistern im Netz. Eine Speicherung des Online-Ausweises auf dem Handy oder Tablet ist möglich, so dass diese technischen Geräte für eine Bestätigung Ihrer Identität ausweisen.

Für die Nutzung der Funktion müssen Sie immer Ihre persönliche PIN-Nummer kennen. Diese kann vergessen werden, das Anlegen einer neuen Nummer ist mit einigen Formalitäten verbunden. Fahrlässig sollte mit der Nummer nicht umgegangen werden, da ansonsten jeder Nutzer nach einem Diebstahl des Ausweises diesen online in Ihrem Namen nutzen kann.

Kritiker des Online-Ausweises sehen das Risiko, zu fahrlässig mit der Funktion umzugehen und die eigene Identität bei zu vielen Dienstleistern im Internet preiszugeben. Hier gilt es erneut, Eigenverantwortung zu übernehmen. Ähnlich wie die EC- oder Kreditkarte im Internet dazu verleiten könnte, zu häufig im Netz zu shoppen, könnte der Ausweis den gleichen Effekt bei der Nutzung digitaler Services mitbringen. Ein bewusster Umgang mit der neuen Funktion ist anzuraten.

Verfahren 3: TAN-Verfahren

Jeder Bankkunde kennt TAN-Nummern, mit denen sich Überweisungen und andere Vorgänge rund ums Banking abwickeln lassen. In den Anfängen des Online-Bankings wurden TANs in Listenform ausgedruckt an Bankkunden vergeben. Dies ist nach europäischer Rechtsprechung seit September 2019 nicht mehr erlaubt. Elektronische TAN-Verfahren sind erhalten geblieben und haben bis heute ihre Berechtigung, auch wenn sie nicht für alle Formen der elektronischen Verifizierung geeignet sind.

Als TAN (Transaktionsnummer) wird ein einmaliges Passwort bezeichnet, das im Regelfall aus einer sechsziffrigen Zahl besteht. Die Nummern können spontan von der Bank und anderen Dienstleistern erzeugt werden und verlieren nach kurzer Zeit ihre Gültigkeit. Der Einsatz der TAN ist heute an eine Zwei-Phasen-Authentifizierung gekoppelt. Das heißt, neben der Bestätigung einer Transaktion durch eine TAN muss der Nutzer eine weitere Form der Identifikation nutzen. Im Falle des Online-Bankings ist dies die Anmeldung mit den individuellen Kundendaten.

Die wichtigsten TAN-Verfahren im Profil

Technik und Sicherheit haben das TAN-Verfahren über die Jahre verändert und neue Varianten hervorgebracht. Zu den wichtigsten Spielarten gehören:

mTAN: Bei dieser Methode sendet der Dienstleister die TAN per SMS an eine zuvor vom Kunden hinterlegte Handynummer. Das Verfahren lässt sich sinnvoll für die Bestätigung einer Transaktion oder Anmeldung für einen Service nutzen. Es gilt als relativ sicher, größtes Risiko ist der Diebstahl des Smartphones des Nutzers.

pushTAN: Diese Variante stellt den sechsstelligen Code nicht per SMS, sondern über eine gesonderte App zur Verfügung. Die Methode ist bei vielen Online-Banken beliebt und wird von der Anmeldung bei der Bank über den Nachrichtenversand bis hin zu Überweisungen genutzt. Für die Sicherheit empfiehlt es sich, das Banking über ein anderes Gerät als das Smartphone mit der pushTAN-App abzuwickeln.

chipTAN: Im Banking genauso etabliert ist die chipTAN. Bei dieser wird auf den integrierten Chip der EC-Karte des Bankkunden vertraut. Für die Nutzung ist ein spezielles Gerät notwendig, in das die Karte eingesteckt wird. Durch Scannen eines QR-Codes oder anderen Codierung auf dem Bildschirm erzeugt das Gerät eine sechsstellige TAN, die ausschließlich für diesen einzelnen Einsatzzweck verwendbar ist.

appTAN: Die appTAN erspart Bankkunden die explizite Eingabe eines sechsstelligen Codes. Hier findet die Erzeugung und Verifizierung im Hintergrund statt. Der Bankkunde meldet sich stattdessen einfach in einer zugehörigen App an, beispielsweise über ein selbst gewähltes Passwort. Nach einer Bestätigung findet die gewünschte Transaktion ohne Anzeige oder Eingabe der TAN statt.

Wie sicher sind TAN-Verfahren?

Grundsätzlich gilt das TAN-Verfahren als sehr sicher und wird stetig verbessert. Offensichtlich kommt es für Transaktionen zum Einsatz, bei denen keine Bestätigung der Identität des Nutzers mehr nötig ist. Diese ist im Vorfeld durch ein anderes Verifizierungsverfahren abzuwickeln. Hinweise der Verbraucherzentralen umfassen den sicheren Umgang mit den zugehörigen technischen Geräten. Zudem sollte auf die Nutzung in öffentlichen WLAN-Netzen verzichtet werden.

Verfahren 4: Die digitale Unterschrift

Beim Abschluss privater und geschäftlicher Verträge sorgt die Unterschrift für rechtliche Verbindlichkeit. Sind die Vertragspartner nicht am selben Ort und lässt sich dies nur schwierig einrichten, ist die digitale Unterschrift die ideale Alternative. Sie entspricht dem digitalen Zeitalter und lässt sich von jeder Privatperson ohne Ident-Verfahren, TAN-Nummern & Co. nutzen.

Es gibt unterschiedliche Sicherheitsniveaus, mit denen Sie eine digitale Unterschrift geben können:

• einfache Unterschrift (EES)
• fortgeschrittene Unterschrift (FES)
• fortgeschrittene Unterschrift (FES)

Abgewickelt wird die Erstellung und Verwaltung der digitalen Unterschriften über spezialisierte Dienstleister und Software-Tools. Bei diesen ist im ersten Schritt eine Verifizierung mit einer anderen Methode nötig. Nur so entsteht die Sicherheit, dass es sich tatsächlich um die unterschreibende Person handelt.

Welche Art digitaler Unterschrift wird benötigt?

Speziell für Einsteiger ins Thema digitale Unterschrift ist die Wahl zwischen EES, FES und QES nicht einfach. Für einfache, alltägliche Belange reicht die EES im Regelfall aus. Spezielle Vertragsgebaren wie der Abschluss einer Bürgschaft setzt zwingend die QES voraus. Bevor eine Wahl getroffen wird, sollten umfassende Informationen eingeholt werden, welches Sicherheitsniveau der Unterschrift benötigt wird.

Unverzichtbar ist eine technische Ausstattung vom PC oder Smartphone mit Internetanschluss bis zu einem optionalen Unterschriften-Pad. Je nach Dienstleister und Software fallen zudem Kosten an, mit höherem Sicherheitsniveau umso mehr. Kostenlose Angebote gibt es zwar. Diese gelten jedoch meist nur für die EES und sind auf einzelne digitale Unterschriften begrenzt.

Vor- und Nachteile der digitalen Unterschrift

Ist die Bereitschaft gegeben, ein paar Euro fürs digitale Unterschreiben zu zahlen, ist dieses Verfahren die perfekte Alternative zur gewöhnlichen Unterschrift. Speziell Privatpersonen sollten sich bewusst machen, dass nicht jedes Sicherheitsniveau der digitalen Unterschrift zu allen Einsatzzwecken passt. Das Informieren im Vorfeld nimmt Zeit in Anspruch, genauso wie die Wahl des passenden Dienstleisters und der Software. Ist dies geklärt, lässt sich schnell, sicher und unkompliziert unterschreiben. Ähnlich wie beim TAN-Verfahren ist eine einmalige Verifizierung durch eine andere Methode im Vorfeld nötig.

Verifizierung online und der Risikofaktor Mensch

Alle genannten Verfahren bringen ihre Vor- und Nachteile mit sich. Faktoren wie Schnelligkeit, Sicherheit und Funktionalität werden je nach Nutzer unterschiedlich gewichtet. Doch egal, wie sicher und praktikabel ein Verfahren ist, die größte Gefahr liegt wie so häufig im Fehlverhalten des Menschen.

Bereits mit einigen grundlegenden Maßnahmen und Verhaltensregeln lässt sich das Risiko minimieren, dass das verwendete Sicherheitsverfahren zum Sicherheitsrisiko wird. Hier einige Anregungen:

• Sämtliche Transaktionen im Online-Banking sollten in den eigenen vier Wänden stattfinden, nicht in öffentlichen WLAN-Netzwerken.
  
• Nicht nur der PC, auch Smartphone oder App sollten über essenzielle Sicherheitsprogramme wie zum Beispiel dem Virenschutz verfügen.
  
• Die PIN-Nummer für den elektronischen Ausweis gehört nicht auf den Ausweis oder ins Portemonnaie, sondern sollte im Kopf sein. Ähnliches gilt für den PIN der EC-Karte oder Kreditkarte.
  
• Die Verarbeitung einer einmalig erzeugten TAN sollte schnellstmöglich erfolgen, damit diese nicht von Dritten abgefangen und für kriminelle Zwecke genutzt werden kann.
  
• Dienstleister im Internet und die verwendete Software sollten bekannt und namhaft sein. So sinkt das Risiko, dass Ihre Daten von einem Anbieter mit rein betrügerischer Absicht erfasst werden.

Unser Fazit zu Verifizierungsverfahren

Ob Ident-Verfahren, TAN-Vergabe oder die digitale Unterschrift - der elektronischen Verifizierung wird sich langfristig niemand entziehen können. Eine Auseinandersetzung mit dem Thema und die Auswahl individuell passender Methoden ist wichtig. Neben allen rechtssicheren, technischen Standards ist das eigene Sicherheitsverhalten wichtig, um betrügerischer Machenschaften mit der eigenen Identität online zu verhindern.