Verimi: Datenschutzfreundliche europäische Identitäts-Plattform startet

Hinter der Daten- und Identitätsplattform Verimi stehen zahlreiche deutsche Großunternehmen, die datenhungrigen US-Riesen eine nutzerfreundliche und transparente Alternative entgegensetzen wollen.

In Pocket speichern vorlesen Druckansicht 490 Kommentare lesen
Verimi: Datenschutzfreundliche europäische Identitäts-Plattform startet

(Bild: Verimi)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Mit Verimi startet am heutigen Dienstag eine europäische Datenplattform, bei der Nutzer ihre persönlichen Daten sicher hinterlegen und für Anmeldung sowie Identifikation bei verschiedenen Online-Diensten einsetzen können. Zunächst geht das Anmelden mit Verimi beim Online-Banking der Deutschen Bank, bei einigen Angeboten der Bundesdruckerei und einigen Startups. Sowohl der Funktionsumfang von Verimi als auch der Kreis der Partner, bei denen man sich mit dem grünen Button anmelden kann, sollen in den kommenden Wochen und Monaten ausgebaut werden.

In Zukunft sollen Nutzer mit Verimi auch Zahlungen oder eine qualifizierte digitale Signatur leisten und digitale Personaldokumente hinterlegen können, erklärt Verimi-CEO Donata Hopfen im Gespräch mit heise online: “Das ist der Weg dahin, eine abgesicherte digitale Identität für den Nutzer zu liefern.” Die Daten werden abgesichert in europäischen Rechenzentren gespeichert. “Wir genügen höchsten Datenschutz- und Sicherheitsanforderungen”, betont Verimi-CTO Holger Friedrich.

Verimi wurde im Frühjahr 2017 gegründet. Der Name des Startups geht auf das englische "verify me" zurück. Das Unternehmen will den Diensten von US-Riesen wie Facebook und Google eine europäische Alternative entgegensetzen – eine Alternative, bei der die Nutzer selbst die Kontrolle über die Verwendung der von ihnen hinterlegten Daten haben. “Wir geben dem Nutzer seine Selbstbestimmung zurück”, betont Hopfen. “Mit den Daten passiert nichts, was der Nutzer nicht will.”

Verimi ist eine offene Plattform, die von Anwendungspartnern mit Standardprotokollen wie OAuth 2.0 und OpenID eingebunden werden kann. Zum Start entspricht Verimi dem zweiten “Level of Assurance” (LoA) nach dem ISO-Standard für Authentifizierung. Damit wird die Identität des Nutzers gegenüber Anwendungen und Dienstleistern in verschiedenen Stufen garantiert.

“Wir starten jetzt mit LoA2”, erklärt Friedrich. “Level 3, das zum Beispiel im Bankenumfeld ein Rolle spielt, beherrschen wir jedoch heute schon. Weitergehende Funktionen für beispielsweise Versicherungen oder Telekommunikationsunternehmen ziehen wir in den nächsten Wochen nach. Die Anbindung von Bürgerportalen der Länder und Kommunen ist mit der Freischaltung der Governikus-Schnittstellen noch im April ebenso gewährleistet.”

Bis zum Ende des Jahres sollen dann auch Funktionen für den Personalausweis und andere amtlichen Dokumente kommen. “Das höchste Level 4, bei dem man Personaldokumente hinterlegen kann, wollen wir bis zum Ende des Jahres aufgeschaltet haben”, erklärt Friedrich. “Wir decken dann alle Level of Assurance ab.” Damit kann man mit Verimi dann zum Beispiel Behördengänge online erledigen – immer vorausgesetzt, die Gemeinde bietet entsprechende Dienste auch an und bindet Verimi ein.

Der Anwender entscheidet dabei selbst, welche Daten er hinterlegt und wie weit er die Identifikationsdienste nutzen möchte. Ihre Daten können Nutzer selbst hinterlegen oder von ihrem Konto bei einem Partnerunternehmen zu Verimi übertragen. Die für Android und iOS erhältliche Smartphone-App (Android und iOS) dient dabei auch zur Zwei-Faktor-Authentifizierung. Die persönlichen Daten werden von Verimi einmal in einem Video-Ident-Verfahren durch den Partner WebID verifiziert und können dann eingesetzt werden. “Der Vorteil ist, man identifiziert sich bei uns nur einmal und kann diese Identifikation dann immer wieder verwenden”, sagt Hopfen

Datenplattform Verimi (4 Bilder)

Verimi verspricht Kontrolle über die Verwendung der persönlichen Daten.

Derzeit funktioniert der Login mit Verimi nur mit dem Online-Banking der Deutschen Bank und bei der Bundesdruckerei. Parallel dazu sind die Startups Weltsparen, Compaio und Docynet angebunden. Es ist jedoch geplant, das im Laufe der nächsten Wochen und Monate schnell weitere Anwendungsfälle hinzukommen, unter anderem von den beteiligten Gesellschaftern.

Unter den zehn Gesellschaftern, die jeweils zehn Prozent der Anteile halten, sind große Namen: Die Allianz-Versicherungsgruppe, der Axel-Springer-Verlag, Daimler, Deutsche Bank, Deutsche Telekom, Here Technologies, Giesecke + Devrient und die Lufthansa sowie die Bundesdruckerei und der IT-Thinktank Core, von dem auch CTO Friedrich kommt. Am Standort Berlin gibt es derzeit rund 30 festangestellte Mitarbeiter, weitere 80 Entwickler kommen aus dem Gesellschafterkreis dazu. Verimi ist als Startup mit 50 Millionen Euro Startkapital solide ausgestattet, über eine zweite Finanzierungsrunde wird derzeit verhandelt.

Anwendungsfälle für Verimi wird es künftig immer mehr geben. Die neue EU-Datenschutzgrundverordnung verlangt von Unternehmen, ihren Kunden mehr Transparenz und Mitsprache bei der Verwendung von persönlichen Daten zu geben. Andererseits fordert das EU-Recht auch, dass sich Kunden bei bestimmten Transaktionen nachweisbar identifizieren müssen – zum Beispiel beim Erwerb einer Prepaid-SIM-Karte für ein Smartphone.

Auch deshalb ist Verimi nicht nur für Gesellschafter Telekom interessant, sondern auch für Vodafone und Telefónica/O2. Die drei deutschen Mobilfunknetzbetreiber wollen im Laufe des Jahres ein Verfahren für die Identifikation mit dem Smartphone anbieten, das auf dem GSMA-Standard Mobile Connect beruht. Auch dieses System soll dann bei Verimi andocken. Darüber hinaus dürften auch die anderen Gesellschafter schon an der Integration des Dienstes arbeiten.

Unterdessen entwickeln United Internet, RTL und die ProSiebenSat1-Gruppe ihr eigenes Login-System weiter. Inzwischen hat die Initiative auch einen Namen: NetID soll ein “offener Industriestandard” werden, mit dem “jede Website in Europa ihren Nutzern einen sicheren und datenschutzkonformen Log-in bieten kann. Unter dem Dach einer Stiftung will das bisher als “Log-in-Allianz” bekannte Bündnis das System weiterentwickeln und Anbieter bei der Umsetzung des neuen europäischen Datenschutzrechts unterstützen. (vbr)