Die Bundesnetzagentur will das automatisierte VideoIdent-Verfahrens zur Beantragung eines qualifizierten Zertifikates für elektronische Signaturen nicht länger anerkennen. Das teilte die Regulierungsbehörde laut Tagesspiegel Background am Freitag in einem Rundschreiben mit.
Die "innovative Identifizierungsmethode" nach Paragraf 11 Vertrauensdienstegesetz darf demnach nur noch bis zum 21. Dezember genutzt werden, um qualifizierte digitale Signaturen nach europäischer eIDAS-Verordnung von 2014 auszustellen. Diese Verschlüsselung ermöglicht es, Dokumente wie Verträge, Bestellungen, Personalunterlagen oder behördliche Anträge online rechtssicher zu unterschreiben.
Verfahren ausgehebelt
Aktuell bieten diverse Vertrauensdienstleister eine Videoidentifizierung unter Bezeichnungen wie Auto-, KI- oder Selfie-Ident an. Damit soll automatisiert geprüft werden können, ob ein Ausweisdokument echt ist und zu der Person gehört, die sich ausweisen will. Mitgliedern des Chaos Computer Clubs (CCC) gelang es aber schon Mitte 2022, die VideoIdent-Verfahren von sechs nicht genannten Anbietern mit einfachen Mitteln auszuhebeln.
In ihrer bisherigen, am 22. Dezember 2021 noch einmal verlängerten Anerkennung der Identifizierungsmethode forderte die Bundesnetzagentur, die audiovisuelle Kommunikation zwischen dem genutzten IT-System und der zu identifizierenden Person "ist in Bezug auf Integrität und Vertraulichkeit ausreichend abzusichern". Daher seien "nur Ende-zu-Ende verschlüsselte Videochats zulässig". Die Echtheit des Identitätsdokuments und die Zugehörigkeit zu der zu identifizierenden Person müssten "zuverlässig überprüft werden", hieß es weiter.
"Geeignete Maßnahmen" nötig
Der Anbieter habe "geeignete Maßnahmen" zu ergreifen, um eine Manipulation des Videobildes beziehungsweise des Identitätsdokumentes oder der Person zu erkennen. Gegenüber dem Tagesspiegel erläuterte die Regulierungsbehörde, dass für eine erneute Verlängerung das Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nötig gewesen wäre. Das BSI habe nun aber massive Sicherheitsbedenken vorgebracht.
Die Bundesanstalt für Finanzdienstleistungen (BaFin) verlängerte im Einklang mit dem BSI dagegen voriges Jahr die Zulassung der Technik für Banken erneut. Weiter erhalten bleibt zudem die Option zur menschlich begleiteten Videodentifizierung einer Person bei der Beantragung eines Zertifikats, bei der ein Mitarbeiter eines Callcenters involviert ist.
Vertrauensdienstleister wie Sign8 oder der Bank-Verlag protestierengegen die plötzliche Entscheidung der Netzagentur. Sie sehen es dem
Bericht zufolge als besonders kritisch an, dass Anbieter aus anderen EU-Staaten das automatisierte Prüfverfahren auch in Deutschland weiter anbieten könnten.
Quelle: heise / Krempl
Sollte die BNetzA bei dieser Entscheidung bleiben und die BaFin möglicherweise nachziehen, wäre das ein erster Schritt zu ein wenig mehr Sicherheit im Netz. Insbesondere die BaFin hätte in diesem Fall die Möglichkeit, auch für Unternehmen, die eine Lizenz einer anderen Aufsichtsbehörde haben, zumindest für Deutschland eine Gewerbeuntersagung auszusprechen.
Die "innovative Identifizierungsmethode" nach Paragraf 11 Vertrauensdienstegesetz darf demnach nur noch bis zum 21. Dezember genutzt werden, um qualifizierte digitale Signaturen nach europäischer eIDAS-Verordnung von 2014 auszustellen. Diese Verschlüsselung ermöglicht es, Dokumente wie Verträge, Bestellungen, Personalunterlagen oder behördliche Anträge online rechtssicher zu unterschreiben.
Verfahren ausgehebelt
Aktuell bieten diverse Vertrauensdienstleister eine Videoidentifizierung unter Bezeichnungen wie Auto-, KI- oder Selfie-Ident an. Damit soll automatisiert geprüft werden können, ob ein Ausweisdokument echt ist und zu der Person gehört, die sich ausweisen will. Mitgliedern des Chaos Computer Clubs (CCC) gelang es aber schon Mitte 2022, die VideoIdent-Verfahren von sechs nicht genannten Anbietern mit einfachen Mitteln auszuhebeln.
In ihrer bisherigen, am 22. Dezember 2021 noch einmal verlängerten Anerkennung der Identifizierungsmethode forderte die Bundesnetzagentur, die audiovisuelle Kommunikation zwischen dem genutzten IT-System und der zu identifizierenden Person "ist in Bezug auf Integrität und Vertraulichkeit ausreichend abzusichern". Daher seien "nur Ende-zu-Ende verschlüsselte Videochats zulässig". Die Echtheit des Identitätsdokuments und die Zugehörigkeit zu der zu identifizierenden Person müssten "zuverlässig überprüft werden", hieß es weiter.
"Geeignete Maßnahmen" nötig
Der Anbieter habe "geeignete Maßnahmen" zu ergreifen, um eine Manipulation des Videobildes beziehungsweise des Identitätsdokumentes oder der Person zu erkennen. Gegenüber dem Tagesspiegel erläuterte die Regulierungsbehörde, dass für eine erneute Verlängerung das Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nötig gewesen wäre. Das BSI habe nun aber massive Sicherheitsbedenken vorgebracht.
Die Bundesanstalt für Finanzdienstleistungen (BaFin) verlängerte im Einklang mit dem BSI dagegen voriges Jahr die Zulassung der Technik für Banken erneut. Weiter erhalten bleibt zudem die Option zur menschlich begleiteten Videodentifizierung einer Person bei der Beantragung eines Zertifikats, bei der ein Mitarbeiter eines Callcenters involviert ist.
Vertrauensdienstleister wie Sign8 oder der Bank-Verlag protestierengegen die plötzliche Entscheidung der Netzagentur. Sie sehen es dem
Bericht zufolge als besonders kritisch an, dass Anbieter aus anderen EU-Staaten das automatisierte Prüfverfahren auch in Deutschland weiter anbieten könnten.
Quelle: heise / Krempl
Sollte die BNetzA bei dieser Entscheidung bleiben und die BaFin möglicherweise nachziehen, wäre das ein erster Schritt zu ein wenig mehr Sicherheit im Netz. Insbesondere die BaFin hätte in diesem Fall die Möglichkeit, auch für Unternehmen, die eine Lizenz einer anderen Aufsichtsbehörde haben, zumindest für Deutschland eine Gewerbeuntersagung auszusprechen.
Wenn Dir ein ebay-Mitarbeiter die Hand gibt und "Guten Tag" sagt, sind folgende drei
Wahrheiten als self-evident zu erachten und als sicher gegeben anzusehen:
1.) Zähle nicht nur deine Finger nach, sondern auch deine Hände. So Du welche hast auch die Füße.
2.) Draussen ist es mitten in der Nacht und dunkel wie im Bärenarsch.
3.) Der einzige Lichtschein dringt aus den Pforten der Hölle, die sich geöffnet haben weil die Welt untergeht.
Wahrheiten als self-evident zu erachten und als sicher gegeben anzusehen:
1.) Zähle nicht nur deine Finger nach, sondern auch deine Hände. So Du welche hast auch die Füße.
2.) Draussen ist es mitten in der Nacht und dunkel wie im Bärenarsch.
3.) Der einzige Lichtschein dringt aus den Pforten der Hölle, die sich geöffnet haben weil die Welt untergeht.
