Schon seit einigen Jahren arbeiten Banken und Finanzdienstleister weltweit an der Entwicklung und Einführung Wallet-basierter Identitätsmanagementsysteme. Größere Erfolge waren ihnen bislang nicht beschieden. Das dürfte sich nun, mit eIDAS 2.0, ändern.
Wallet-basierte Identitätsmanagementsysteme haben das Potential, den digitalen Zahlungsverkehr zu revolutionieren – durch signifikante Verbesserungen der digitalen Interaktionen einer Bank mit ihren Kunden. Kein Wunder, dass die Bemühungen der Finanzindustrie zur Entwicklung passender Wallet-Lösungen im Branchenvergleich – vom öffentlichen Sektor einmal abgesehen – am weitesten vorangeschritten sind. Jedoch: über ihre Testphase ist bislang noch keine der entwickelten Lösungen hinausgelangt.
Dass Banken dennoch weiterhin große Hoffnungen in die Technologie setzen, zeigte erst unlängst wieder Raiffeisenbank International (RBI). Auf der diesjährigen EIC konnten Besucher sich ein Bild davon machen, wie RBI derzeit eingehend testet, ob und wie die Onboarding-Prozesse mehrerer osteuropäischer Vertretungen mittels Wallets optimiert werden können. Auch viele andere deutsche Banken haben sich schon an der Technologie versucht. Der große Durchbruch aber, bislang blieb er aus.
Wallet- statt Federate-based
Derzeit speichern und verarbeiten Banken und Finanzdienstleister die Identitätsdaten ihrer Kunden immer noch federate-based – also zentral auf ihren Servern. Das erzeugt finanzielle Kosten: in Punkto Hardware, Strom, Management und Wartung. Es erhöht das Sicherheitsrisiko, da schon ein erfolgreicher Angriff genügt, um tausende von Nutzerdaten zu kompromittieren. Und Customer Journeys verlieren durch komplexe, langwierige Anmeldeverfahren an Attraktivität, was die Conversion Rate mindert.
Wallet-basierte Bank-IDs funktionieren anders. Identitätsdaten von Kunden werden hier dezentral gelagert – verschlüsselt in einer Wallet-App auf deren Smartphones. Verifizierte und verifizierbare Identitätsdaten, sogenannte „Verifiable Credentials“, wie Ausweis, Führerschein, Zeugnisse – oder auch die eigenen Bankdaten – können über sie angefordert, abgespeichert und bei Bedarf, zum Beispiel bei der Eröffnung eines Bankkontos, zum Einsatz gebracht werden.
Eine Technologie mit echtem Mehrwert
Die oben beschriebenen Schwachstellen eines federate-based Identitätsmanagements lassen sich so leicht aus dem Weg räumen:
- Infrastrukturkosten – da die Identitätsdaten nicht bei der Bank gespeichert werden, entfallen viele Kosten
- Datensicherheit – da Identitätsdaten nur noch einzeln gelagert werden, sinkt die Lukrativität – und damit das Risiko – von Cyberangriffen
- User Experience – Onboarding- und Anmeldeverfahren sowie Identitätschecks lassen sich wesentlich schneller abwickeln (489)
Darüber hinaus bietet der Einsatz von Wallets noch einen weiteren Vorteil:
- Vermindertes Betrugsrisiko – Dank Strong Customer Authentication (SCA) kann das Risiko von Betrugsfällen signifikant zurückgefahren werden (215)
eIDAS 2.0 – 2026 kommt die europäische digitale Wallet …
In diesem Frühjahr nun wurde vom Europäischen Parlament die eIDAS 2.0-Verordnung verabschiedet. Sämtliche EU-Mitgliedsstaaten stehen in der Pflicht, bis 2026 eine eigene nationale Wallet-Lösung zu entwickeln und ihrer jeweiligen Bevölkerung zugänglich zu machen. In einigen Staaten, etwa Frankreich, Griechenland und Belgien, stehen diese Wallet-Apps bereits im Apple- und Google-App Store zum Download bereit. In anderen EU-Staaten, wie Deutschland, befinden sie sich noch in der Entwicklungsphase.
Ihren Anwendern ermöglichen die Wallets es, staatliche Dienstleistungen in Anspruch zu nehmen und verifizierte Identitäts- und Attributdaten vorzulegen – sowohl in ihrem EU-Heimatland als auch im gesamten EU-Ausland. Letzteres wird über eine Kompatibilität der jeweiligen nationalen Wallet-App mit der EU Digital Identity Wallet (EUDIW) sichergestellt. Doch auch Leistungen der Privatwirtschaft – Bankgeschäfte beispielsweise – sollen unter Zuhilfenahme der Wallet-App unterstützt werden können.
… und ab 2027 stehen Banken in der Pflicht
Und genau deshalb dürfte eIDAS 2.0 dem Wallet-basierten Identitätsmanagement im Finanzsektor in den kommenden drei Jahren zum Durchbruch verhelfen. Bis 2027, so die Verordnung, müssen alle Großunternehmen, bei denen eine starke Nutzerauthentifizierung (SCA) für die Online-Identifizierung gesetzlich oder durch Verträge gefordert wird – also auch Banken und Finanzdienstleister – die nationalen Wallet-Apps akzeptieren und die für ihre Akzeptanz erforderliche technische Infrastruktur schaffen.
Drei Jahre bleiben Banken und Finanzdienstleistern also noch, ihre Systeme entsprechend vorzubereiten. Ihre IT-Verantwortlichen werden gut daran tun, sich im Vorfeld eingehend bei den Fachexperten zu informieren und dann mit den Konzeptionen und Planungen für die Einrichtung einer entsprechenden Schnittstelle zu beginnen.
Klare Zielvorgabe für die Finanzbranche
Mit der Verabschiedung von eIDAS 2.0 hat die Finanzbranche hinsichtlich ihrer Wallet-Bemühungen eine klare Zielvorgabe erhalten. Bis 2027 muss die Infrastruktur stehen, um Kunden Bankgeschäfte unter Zuhilfenahme ihrer EUDIW-kompatiblen nationalen Wallet-Apps zu ermöglichen. Noch sind viele Fragen offen.
Auch befindet sich die EUDIW hinsichtlich ihrer Anwendbarkeit im Online-Banking, erinnert sei hier nur an die Pilotprojekte ‚Potenzial‘, ‚EWC‘ und ‚NOBID‘, immer noch in der Testphase. IT-Verantwortlichen kann deshalb nur geraten werden, sich so früh wie möglich Rat von außen zu suchen.