Remote Identität in der EU: 3 weiterführende Einsichten vom ENISA-Workshop zur remoten Video-Identifizierung

Share

Am 10. Mai 2023 fand der ENISA-Workshop zur remoten Video-Identifizierung statt. An diesem Workshop nahmen Vertreter von EU-Regulierungsbehörden und Anbieter remoter Identitäts-Überprüfungen teil. Für die Mitglieder der Branche war es eine einmalige Gelegenheit, um zu netzwerken, aktuelle Auflagen und operative Herausforderungen zu diskutieren und Wichtiges zu zukünftigen Entwicklungen zu erfahren. Statt aber ein breitgefächertes Spektrum an Herausforderungen und Nuancen mit sich zu bringen, offenbarte dieses Event zentrale Einschränkungen und Anstrengungen, die – bis zu einem gewissen Grad – aktuell jeden Anbieter von Identitäts-Überprüfungen in der EU betreffen. So zumindest unser Chief Product Officer/CPO Tomas Zuoza.

1. Anbieter remoter ID-Überprüfungen erleben gerade einen höheren Druck bezüglich der Vorgaben zur Sicherheit und zur User Experience. Dieser Druck ist höher als je zuvor.


Anbieter von remoten Identitäts-Überprüfungen werden gerade Zeugen einer großen Verschiebung in der Art und des Ausmaßes von Cyberangriffen. Demgegenüber steht die Dringlichkeit, eine vollständige Datensicherheit zu gewährleisten. Sie ist eine Hauptsorge für jeden Beteiligten. Der Hauptgrund für die steigende Zahl der Cyberangriffe: Malware ist mehr und einfacher zu erhalten. Laut des iProov Biometric Threat Intelligence 2023 Report sind dabei gerade einmal 2 bis 3 % der bedrohlichen Akteure fortgeschrittene Programmierer/Codierer. Heutzutage sind Plug-and-Play-Setzkästen für jedermann erhältlich – und das meist zu wirklich niedrigen Preisen. Es obliegt also den ID-Serviceanbietern, diesen Betrügern immer einen Schritt voraus zu sein.

Geht es um die User Experience, ist eines ganz klar: Remote Anbieter gehen nirgendwo hin. Digitale Methoden haben gegenüber Prozessen mit manuellen Elementen absolute Priorität. Lösungen für eine zu 100 % remote Identitätsverifizierung in Selbstbedienung sind für alle Anbieter remoter ID-Überprüfungen nicht mehr zu umgehen. Dennoch haben viele vertrauenswürdige Serviceanbieter in der Branche solche Methoden noch nicht implementiert. Der Einführungsprozess ist mit behördlichen Einschränkungen und nuancierten Sicherheitsbedenken verbunden.

2. Aktuelle Regelungen spiegeln schon lange nicht mehr den aktuellen Stand innerhalb der Branche wider. Sie verursachen damit Einschränkungen für die Serviceanbieter.


Neue Vorschriften und Regulierungen gibt es in regelmäßigen Abständen. Sie drängen Serviceanbieter dazu, ihre Praktiken bezüglich der Konformitäts-Ziele kontinuierlich zu updaten. Laut Tomas zeigte der ENISA-Workshop jedoch, dass das Regulierungs-Netzwerk sich darauf fokussiert, mit dem aktuellen Stand der Dinge mitzuhalten. Dabei legen sie aber keinerlei Augenmerk auf die Zukunft. Das wiederum resultiert in einem veralteten Regulierungs-Netzwerk, das Lücken zeigt und zusätzlichen Druck auf die Serviceanbieter ausübt. Von ihnen wird nun erwartet, diese Lücken zu füllen, da die Nutzererwartungen sich weiterentwickeln und neue Sicherheitsbedenken laut werden.

Eine weitere Hauptsorge ist, dass es für Identifizierungsmethoden nationale Begrenzungen gibt. Das gilt vor allem für die NFC-basierten Identitäts-Überprüfungen. „Alles kann reibungslos laufen, solange Nutzer ihre Reisepässe vorzeigen können. Sie sind in jedem EU-Mitgliedsstaat inzwischen ähnlich. ID-Karten dagegen sind etwas ganz anderes. Jedes Land hat seine eigene Version. Und in einigen Ländern, wie zum Beispiel Frankreich, ist die NFC-basierte Identitäts-Überprüfung gesetzlich verboten. Vertrauenswürdige Serviceanbieter möchten aber auf NFC-basierte Identitäts-Überprüfungen umsteigen, weil sie sicher und zuverlässig sind. Aber im Moment ist es einfach nicht möglich, einen Identifizierungsprozess zu designen, der in allen EU-Staaten funktionieren würde“, merkt Tomas an.

 

3. Netzwerken und offene Diskussionen sind ausschlaggebend, um die Branchen-Spieler und die Regulierungsbehörden auf eine Seite zu bekommen.


Wie dieses Event ganz klar gezeigt hat, sehen sich Anbieter remoter Identitäts-Überprüfungen mit ähnlichen Herausforderungen konfrontiert. Auch erkennen sie ähnliche Tendenzen. Eine offene Unterhaltung darüber zu führen, ist sowohl für das Vorankommen als auch für effektive Problemlösungen ausschlaggebend. Und zwar nicht nur im Hinblick auf regulatorische Abgleichungen, sondern auch für zukünftige Überprüfungen. „Wenn wir uns vor Augen führen, wie schnell diese Branche sich weiterentwickelt, bietet jedes Event eine einmalige Möglichkeit, das große Ganze zu greifen, um dann mit neuen Einsichten und Lektionen zurück an die Arbeit zu gehen“, sagt unser CPO.

Remote Identitäten europaweit zu schützen, ist eine Frage von Beständigkeit und Zusammenarbeit. So haben wir die Chance, solchen Events wie dem ENISA-Workshop die Macht zur Inspiration zu geben. Oder wir können sogar direkten Einfluss auf zukünftige Entwicklungen nehmen. Anknüpfend an die Unterhaltungen, die während des Events stattfanden, werden wir weitere und tiefergehende Eindrücke zum aktuellen Stand der Lage und die Zukunft des Betrugs in unseren Blogs teilen.

 

Mehr Infos: