E-Signatur: Regulierer lässt automatisiertes VideoIdent-Verfahren nicht mehr zu
Ein qualifiziertes Zertifikat für elektronische Signaturen soll nicht mehr per Videoidentifizierung mit automatisiertem Verfahren beantragt werden können.
(Bild: Bartolomiej Pietrzyk/Shutterstock.com)
Die Bundesnetzagentur will das automatisierte VideoIdent-Verfahrens zur Beantragung eines qualifizierten Zertifikates für elektronische Signaturen nicht länger anerkennen. Das teilte die Regulierungsbehörde laut Tagesspiegel Background am Freitag in einem Rundschreiben mit.
Die "innovative Identifizierungsmethode" nach Paragraf 11 Vertrauensdienstegesetz darf demnach nur noch bis zum 21. Dezember genutzt werden, um qualifizierte digitale Signaturen nach europäischer eIDAS-Verordnung von 2014 auszustellen. Diese Verschlüsselung ermöglicht es, Dokumente wie Verträge, Bestellungen, Personalunterlagen oder behördliche Anträge online rechtssicher zu unterschreiben.
Verfahren ausgehebelt
Aktuell bieten diverse Vertrauensdienstleister eine Videoidentifizierung unter Bezeichnungen wie Auto-, KI- oder Selfie-Ident an. Damit soll automatisiert geprüft werden können, ob ein Ausweisdokument echt ist und zu der Person gehört, die sich ausweisen will. Mitgliedern des Chaos Computer Clubs (CCC) gelang es aber schon Mitte 2022, die VideoIdent-Verfahren von sechs nicht genannten Anbietern mit einfachen Mitteln auszuhebeln.
In ihrer bisherigen, am 22. Dezember 2021 noch einmal verlängerten Anerkennung der Identifizierungsmethode forderte die Bundesnetzagentur, die audiovisuelle Kommunikation zwischen dem genutzten IT-System und der zu identifizierenden Person "ist in Bezug auf Integrität und Vertraulichkeit ausreichend abzusichern". Daher seien "nur Ende-zu-Ende verschlüsselte Videochats zulässig". Die Echtheit des Identitätsdokuments und die Zugehörigkeit zu der zu identifizierenden Person müssten "zuverlässig überprüft werden", hieß es weiter.
"Geeignete Maßnahmen" nötig
Der Anbieter habe "geeignete Maßnahmen" zu ergreifen, um eine Manipulation des Videobildes beziehungsweise des Identitätsdokumentes oder der Person zu erkennen. Gegenüber dem Tagesspiegel erläuterte die Regulierungsbehörde, dass für eine erneute Verlängerung das Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nötig gewesen wäre. Das BSI habe nun aber massive Sicherheitsbedenken vorgebracht.
Die Bundesanstalt für Finanzdienstleistungen (BaFin) verlängerte im Einklang mit dem BSI dagegen voriges Jahr die Zulassung der Technik für Banken erneut. Weiter erhalten bleibt zudem die Option zur menschlich begleiteten Videodentifizierung einer Person bei der Beantragung eines Zertifikats, bei der ein Mitarbeiter eines Callcenters involviert ist.
Vertrauensdienstleister wie Sign8 oder der Bank-Verlag protestieren gegen die plötzliche Entscheidung der Netzagentur. Sie sehen es dem Bericht zufolge als besonders kritisch an, dass Anbieter aus anderen EU-Staaten das automatisierte Prüfverfahren auch in Deutschland weiter anbieten könnten. (dahe)
