ETSI-Norm für Identitätsnachweise als Service

In diesem Monat jährt sich der Tag der Veröffentlichung der neuen ETSI-Norm für Identitätsnachweise als Service (ETSI TS 119 461) zum ersten Mal. Welche Bedeutung hat diese Norm, und welche Auswirkungen hat sie auf den Sektor der Online-Identitätsprüfung? Was können wir in den kommenden Jahren erwarten? Im folgenden Artikel gebe ich Antworten auf die wichtigsten Fragen rund um die ETSI-Norm für Identitätsnachweise und skizziere die Auswirkungen des neuen Standards auf das digitale Ökosystem.

Vor genau einem Jahr, im Juli 2021, hat das Europäische Institut für Telekommunikationsnormen (ETSI) die Standards für Identitätsprüfungen als Komponente von Vertrauensdiensten im Rahmen der Bereitstellung elektronischer Signaturen veröffentlicht. Die Auswirkungen gehen jedoch aus zwei Gründen weit über die elektronische Signatur hinaus:

1. Es handelt sich um die weltweit erste De-facto-Norm für die Durchführung von Fernidentifizierungen in der digitalen Welt. Im Laufe meiner Karriere habe ich Hunderte von verschiedenen Ansätzen für Identitätsüberprüfungsszenarien in der ganzen Welt gesehen. Die Regulierungsbehörden haben mit großem Aufwand versucht diesen nicht ganz einfachen Markt zu regulieren. Aber es ist nicht die Aufgabe der Regulierungsbehörden, Methoden der Identitätsprüfung zu definieren. Diese Lücke füllt der ETSI Standard für Identitätsnachweise als Service nun aus.
2. Sie macht den Weg frei für Identitätsprüfungen als Komponente vertrauenswürdiger Dienste in beliebigen digitalen Prozessen, auch außerhalb des Bereichs der elektronischen Signatur. Der Identitätsnachweis bildet die Basis einer Beziehung zu einem Kunden in der digitalen Welt. Er ist daher der wichtigste Vertrauenspfeiler, wenn es darum geht, Geschäfte online zu tätigen.

Identitätsnachweise für die Finanzbranche und den Glücksspielsektor

Was also bedeutet „vertrauenswürdiger Service“? Der Begriff „vertrauenswürdig“ (trusted) wurde von der eIDAS-Verordnung eingeführt. Aus rechtlicher Sicht ist ein Service dann vertrauenswürdig, wenn das Ergebnis dieses Services eine unmittelbare Rechtswirkung hat und gerichtsverwertbar ist. Praktisch ausgedrückt: Wird eine Identitätsüberprüfung von einem vertrauenswürdigen Service-Anbieter durchgeführt, gelten die daraus resultierenden Überprüfungsdaten als rechtlich glaubwürdig, und das Ergebnis ist nur vor Gericht anfechtbar. Dies hat erhebliche Auswirkungen auf die derzeitige Identitätsprüfungslandschaft, da die Verpflichtungen zur Identitätsprüfung an vertrauenswürdige Diensteanbieter ausgelagert werden können, die für die von ihnen bereitgestellten Daten haften. Vereinfacht ausgedrückt kann die Einhaltung der AML-Vorschriften einfach dadurch sichergestellt werden, dass die risikoreiche Aufgabe und die Haftung für die Bereitstellung von Identitätsinformationen in Onboarding-Szenarien wie z.B. der Eröffnung eines Bankkontos oder der Registrierung eines Online-Spielers ausgelagert werden.

Dies ist eine sehr gute Nachricht für den Finanzsektor, den Glücksspielsektor und zahlreiche andere regulierte Marktsektoren, in denen Compliance ein Muss ist. Unternehmen in diesen Sektoren müssen nicht mehr viel Geld und andere Ressourcen in die Entwicklung eigener Verfahren zur Identitätsüberprüfung investieren. Auch die ständige Angst vor einer möglichen Nichteinhaltung der Compliance-Vorschriften hat ein Ende.

ETSI-Norm eröffnet neue Märkte für Identitätsprüfungen

Eine weitere wichtige Auswirkung der neuen ETSI-Norm für Identitätsnachweise als Service ist die Erschließung neuer Marktsegmente in nicht regulierten Sektoren wie Reisen, Gesundheitswesen, Mieten, Immobilien usw. Die Integration eines Identitätsüberprüfungsverfahrens, der Betrieb der entsprechenden Infrastruktur und die Übernahme der damit verbundenen Risiken sind keine billige Angelegenheit. Die kleinen und mittelgroßen Märkte hatten bisher keine wirkliche Möglichkeit, solche Lösungen zu implementieren, selbst wenn sie es wollten. Das lag daran, dass es keine leicht zugänglichen kostenpflichtigen Dienste gab, da sich die Anbieter von Identitätsprüfungsdiensten sich auf die großen Fische wie z.B. Geschäftsbanken konzentrierten. Dem unregulierten und dem KMU-Sektor wurde wenig Aufmerksamkeit geschenkt.

Das wird sich nun ändern, denn es werden Anbieter von Identitätsprüfungsdiensten (Identity Proofing Service Providers, IPSP) auf den Plan treten, die gemäß der Norm geprüft und zertifiziert sind. Diese Dienstleister müssen sich regelmäßig einem strengen Prüfverfahren durch zertifizierte Prüfer unterziehen und die hohen Anforderungen an Sicherheits- und Betrugspräventionsmaßnahmen erfüllen.