-
Technisches Gebiet
-
Die
Erfindung betrifft ein Verfahren zur webbasierten Identifikation
von Personen mit den folgenden Verfahrensschritten:
- a. Webbasierte Erhebung personenbezogener Daten der zu identifizierenden
Person.
- b. Elektronischer Abgleich der personenbezogenen Daten mit Referenzdatenbanken.
- c. Sichere Übermittlung
von Zugangsdaten an die identifizierte Person.
- d. Elektronische Plausibilisierung der von der zu identifizierenden
Person übermittelten
Personalausweisdaten.
- e. Feststellung dass zu identifizierende und handelnde Person
identisch sind, durch Zustellung eines Autorisierungscodes an die
zu identifizierende Person, der nur von dieser zur Authentifizierung
verwendet werden kann.
- f. Elektronischer Abgleich der übermittelten Personalausweisdaten
mit den Daten einer vorliegenden Personalausweiskopie.
-
Stand der Technik
-
Aufgrund
gesetzlicher Vorgaben haben verschiedene Dienstleister ihre Vertragspartner
vor Begründung
der Geschäftsbeziehung
oder Durchführung
einer Transaktion zu identifizieren. Die Überprüfung der Identität des Vertragspartners
ist dabei anhand eines gültigen
amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit
dem die Pass- und Ausweispflicht im Inland erfüllt wird vorzunehmen, wobei
die Identifikation auch durch Dritte erfolgen kann. Die Identifizierung
erfolgt durch Einsichtnahme in das Ausweisdokument des Vertragspartners
durch Mitarbeiter des Dienstleisters unter Anfertigung einer Kopie,
wobei die persönliche
Anwesenheit der zu identifizierenden Person beim Dienstleister vorausgesetzt
ist.
-
Verfügen Dienstleister
nicht über
ausreichende Filialnetze, um zu identifizierenden Personen einen
leicht zugänglichen
persönlichen
Kontakt zu ermöglichen,
bedienen sie sich der Dienstleistung Dritter, um ihren Identifizierungspflichten
nachzukommen. Die Identifikation durch Dritte erfolgt dabei auf
der Grundlage des so genannten PostIdent-Verfahrens, bei dem die Einsichtnahme
in das Ausweisdokument der zu identifizierenden Person durch einen
Mitarbeiter der Deutschen Post AG erfolgt. Dieser protokolliert
die Identifizierung und übermittelt
die Daten an den Auftraggeber.
-
Problembeschreibung
-
Dem
im Patentanspruch 1 bezeichneten erfindungsgemäßen Verfahrens liegt das Problem
zugrunde, dass die Auslagerung gesetzlicher Identifizierungspflichten
an Dritte aufgrund fehlender Filialnetze einen für den Erfolg der Dienstleister
kritischen Faktor darstellt und bisher kein technisches Verfahren
zur sicheren Identifizierung existiert. Einziges nicht technisches
Verfahren für
eine sichere persönliche
Identifizierung durch Dritte ist derzeit das PostIdent-Verfahren,
bei dem jedoch lediglich unter 50% aller angestoßenen Identifikationen erfolgreich durchgeführt werden.
Diese schlechte Erfolgsquote beruht auf dem bei der Durchführung des
Postident-Verfahren notwendigen persönlichen und zeitlichen Aufwand
für die
zu identifizierende Person, der für diese häufig eine zu große Hürde darstellt,
um das Identifizierungsverfahren bis zum Schluss zu durchlaufen.
Darüber
hinaus wird von Dienstleistern bei der Nutzung des Postident-Verfahrens
zunehmend schlechte Qualität
der übermittelten
Daten bemängelt,
so dass diese als Grundlage einer sicheren Identifizierung unbrauchbar
sind.
-
Problemlösung
-
Das
Problem der Nichtverfügbarkeit
eines technischen Verfahrens zur sicheren Identifikation, wird durch
das im Patentanspruch 1 aufgeführte
webbasierte Identifikationsverfahren gelöst.
-
Die
mit dem erfindungsgemäßen Verfahren erzielten
Vorteile bestehen in der Kombination zwischen elektronischer Identifikation
der zu identifizierenden Person mit der elektronisch vermittelten
Authentifizierung dieser Person als derjenigen, die gegenüber dem
Dienstleister handelt. Hierdurch wird die persönliche Einsichtnahme in das
originale Ausweisdokument bei physischer Anwesenheit des zu Identifizierenden
auf elektronische Weise bei gleicher Sicherheit der Identifikation
substituiert.
-
Erfindungsgemäß erfolgt
dies durch eine webbasierte Erhebung personenbezogener Daten, die
elektronisch mit Referenzdatenbanken abgeglichen werden. Diese Referenzdatenbanken
enthalten erfindungsgemäß für Datensätze, die
auf der Grundlage einer ausweisbasierten persönlichen Face-to-Face Identifizierung
aufgenommen wurden, sodass mit einem positiven Abgleich der erhobenen personenbezogenen
Daten mit den Daten der Referenzdatenbanken die tatsächliche
Existenz einer Person sichergestellt ist, der die erhobenen personenbezogenen
Daten zugeordnet werden können.
-
In
einem weiteren Schritt des erfindungsgemäßen Verfahrens erfolgt eine
elektronische Plausibilitätsprüfung der
erhobenen Personalausweisdaten, welche sicherstellt, dass es sich
um Daten handelt, die einem gültigen
deutschen Personalausweis entstammen und identisch sind mit den
personenbezogenen Daten der zu identifizierenden Person.
-
Erfindungsgemäß erfolgt
sodann eine sichere Übermittlung
von Zugangsdaten an die identifizierte Person, welche von selbiger
auf einer Web-Maske eingegeben werden müssen, um sich als diejenige Person
zu authentifizieren, die gegenüber
dem Dienstleister bei der Erhebung der personenbezogenen Daten gehandelt
hat.
-
In
einem letzten Schritt des erfindungsgemäßen Verfahrens erfolgt ein
elektronischer Abgleich zwischen den erhobenen Personalausweisdaten
und den von dem Dienstleister aus einer von der zu identifizierenden
Person übermittelten
Kopie des Personalausweises ausgelesenen Daten.
-
Eine
bevorzugte Ausbildung des erfindungsgemäßen Verfahrens besteht in der
Erhebung von Geburtsdatum, Email-Adresse, Mobilfunk-Nummer sowie
eines selbst gewählten
Passworts der zu identifizierenden Person durch Eingabe auf einer Web-Maske
sowie der Übermittlung
dieser Daten aus der Web-Maske, da auf diese Weise zwei voneinander
unabhängige
Kommunikationswege für
die Übermittlung
von Zugangsdaten genutzt werden und die Kenntnis der Inhaberschaft
dieser Kommunikationszugänge
in Missbrauchsfällen
ermittlungsunterstützend
wirken kann.
-
Eine
vorteilhafte Ausgestaltung des erfindungsgemäßen Verfahrens besteht in der
webbasierten Erhebung von Geburtsort, Geburtsdatum, der neunstelligen
Nummer des Personalausweises, des Ausstellungsdatums des Personalausweises
sowie der Prüfziffer
des Personalausweises der zu identifizierenden Person als Grundlage
für die
Durchführung
einer elektronischen Plausibilitätsprüfung dieser Daten
bei der überprüft wird,
ob die übermittelten
Daten auf ein deutsches Personalausweisdokument schließen lassen
und in einem Zusammenhang mit der zu identifizierenden Person stehen.
-
Eine
weitere vorteilhafte Ausgestaltung des erfindungsgemäßen Verfahrens
besteht darin, dass aus den erhobenen Personalausweisdaten ein Hash-Wert
elektronisch generiert und gespeichert wird, womit eine Speicherung
der Personalausweisnummer vermieden wird, ohne dass damit die sich aus
der Datenkombination ergebenden Informationen für einen späteren Abgleich innerhalb des
erfindungsgemäßen Verfahrens
verloren wären.
-
Eine
weitere bevorzugte Ausbildung des erfindungsgemäßen Verfahrens besteht darin,
dass der zu identifizierenden Person zwei Teile eines Autorisierungscode übermittelt
werden, wobei der erste Teil des Codes in der Betreffzeile einer
elektronisch durchgeführten
Gutschrift auf ein persönliches
Online-Konto der zu identifizierenden Person und der zweite Teil
des Codes in der Betreffzeile der ebenfalls elektronisch über dasselbe
Online-Konto durchgeführten
Lastschrift erscheint. Durch diese bevorzugte Ausbildung wird sichergestellt,
dass die für
die weiter Durchführung
des erfindungsgemäßen Verfahrens notwendigen
Daten nur für
die bereits identifizierte Person einsehbar ist, ohne es dazu einer
postalischen Zustellung bedarf.
-
Darüber hinaus
findet das erfindungsgemäße Verfahren
dadurch eine vorteilhafte Ausgestaltung, dass der zu identifizierenden
Person auf eine von ihr benannte Email-Adresse ein personalisierter Push-Link übersendet
wird, über
den die zu identifizierende Person auf eine Website gelangt, um
das erfindungsgemäße Verfahren
weiter durchlaufen zu können.
Diese Ausgestaltung erhöht
die Sicherheit des Identifizierungsverfahrens, indem durch die Übersendung
des für
das weitere Verfahren notwendigen Push-Link verifiziert wird, ob
der Nutzer tatsächlich über die
angegebene Email-Adresse verfügt.
-
Eine
weitere bevorzugte Ausbildung des erfindungsgemäßen Verfahrens besteht darin,
dass der zu identifizierenden Person auf ihre Mobilfunknummer eine
One-Time-Pin (OTP) per Short-Message übersandt wird, der notwendig
ist, um das weitere erfindungsgemäße Verfahren durchlaufen zu
können. Diese
Ausbildung erhöht
die Sicherheit des Identifizierungsverfahrens, indem durch die Übersendung der
für das
weitere Verfahren notwendigen OTP verifiziert wird, ob der Nutzer
tatsächlich über die
angegebene Mobilfunknummer verfügt.
-
Eine
weitere vorteilhafte Ausgestaltung des erfindungsgemäßen Verfahrens
besteht darin, dass die zu identifizierende Person sich auf der
Website, die sie über
den ihr übermittelten
personalisierten Push-Link erreicht, nur nach Eingabe ihres selbst
gewählten
Passwortes, und der über
den elektronischen Banklauf zugestellten Autorisierungscodes selbst
autorisieren kann. Durch diese Ausgestaltung des erfindungsgemäßen Verfahrens
wird sichergestellt, dass die zu identifizierende Person, deren
personenbezogenen Daten erhoben und verifiziert wurden diejenige
Person ist, die gegenüber
dem Dienstleister handelt.
-
Eine
weitere bevorzugte Ausbildung des erfindungsgemäßen Verfahrens besteht darin,
dass durch Eingabe der von einer durch die zu identifizierende Person übermittelten
Personalausweiskopie ausgelesenen Personalausweisnummer auf einer Web-Maske
ein elektronischer Abgleich mit dem aus dem erhobenen Personalausweisdaten
elektronisch generierten und gespeicherten Hash-Wert erfolgt und dem
die Personalausweisnummer Eingebendem nur dann eine Übereinstimmung
mitgeteilt wird, wenn die zu identifizierende Person sich durch
Eingabe der Autorisierungscodes auf der nur über den übermittelten push-link zu erreichenden
Website, vorab authentifiziert hat.
-
Eine
weitere bevorzugte Ausbildung des erfindungsgemäßen Verfahrens besteht darin,
dass die Webmaske, über
die die Übereinstimmung
der angegebenen Personalausweisnummer mit der einer vorliegenden
Kopie des Personalausweises mitgeteilt wird, des weiteren die durch
die zu identifizierende Person übermittelten
Personalausweisdaten Geburtsort und ausstellende Behörde, angezeigt
werden.
-
Eine
weitere bevorzugte Ausbildung des erfindungsgemäßen Verfahrens besteht darin,
dass bei jedem Aufruf der über
den push-link zu erreichenden Website-Adresse die IP-Adresse der zu identifizierende
Person ermittelt und gespeichert wird. Durch diese Ausbildung des
erfindungsgemäßen Verfahrens
kann bei Bedarf sichergestellt werden, dass die zu identifizierende
Person nur aus dem deutschen IP-Adressraum heraus handelt. Darüber hinaus
kann hierdurch sichergestellt werden, dass nur eine begrenzte Anzahl
von Identifikationen über
die ermittelte IP-Adresse innerhalb eines bestimmten Zeitraums erfolgen
kann. Letztlich kann bei festgestelltem Missbrauch die Identifikation
unter Verwendung der ermittelten IP-Adresse vollständig verhindert
werden.
-
Anwendungsbeispiel
-
Eröffnung
eines Bankkontos
-
Ein
Kunde besucht das Onlineangebot einer Bank. Hier wird ihm mitgeteilt,
dass er ein Online-Bankkonto erst nutzen kann, nachdem seine Person
eindeutig identifiziert wurde. Der Interessent gibt auf einer Webmaske
des Onlineangebotes der Bank zur Aufnahme der Geschäftsbeziehung
folgende Daten an: Geschlecht, Vorname, Nachname, Adresse und Geburtsdatum.
Die auf diese Weise erhobenen Daten werden dem Dritten, der die
Identifikationsdienstleistung erbringt (Identifikationsdienstleister) übermittelt.
-
Die
personenbezogenen Daten, die der Interessent eingegeben hat, werden
von dem Identifikationsdienstleister anhand von Datenbanken verifiziert,
die ausschließlich
bereits erfolgte ausweisgeprüfte
Identifizierungen dokumentieren, die nach Maßgabe des deutschen Geldwäschegesetzes
erhoben wurden. Das heißt,
dass die Datenbanken nur Daten von Personen enthalten, die in der
Vergangenheit bereits durch Vorlage eines amtlichen Ausweispapiers
und persönliche
Einsichtnahme in das Originaldokument identifiziert wurden.
-
In
einem weiteren Prozessschritt übermittelt der
Interessent Daten aus seinem Personalausweis an den Identifikationsdienstleister.
Bei diesen Daten handelt es sich um den Geburtsort, die neunstellige Personalausweisnummer,
das Ausstellungsdatum sowie eine Prüfziffer.
-
Es
folgt eine elektronische Plausibilitätsprüfung durch den Identifikationsdienstleister,
bei der festgestellt wird, ob die Personalausweisnummer, das Ausstellungsdatum,
das Gültigkeitsdatum
und das Geburtsdatum des Kunden auf ein zulässiges deutsches Personalausweisdokuments
schließen lassen.
Wenn dies der Fall ist, wird eine Prüfziffer erzeugt, mit der die
Bank später
feststellen kann, ob die Personalausweisnummer auf der Ausweiskopie
mit der im Prozess vom Kunden angegebenen, identisch ist.
-
Nach
erfolgreicher Verifikation der Personalien und des verwendeten Ausweisdokuments
erhält der
Kunde seine Autorisierungscodes über
einen elektronischen Banklauf auf ein persönliches Konto übermittelt.
Das heißt
es wird eine Lastschrift und eine Gutschrift auf das vom Kunden
angegebene Konto durchgeführt,
das zwingend auf den Namen des Kunden lautet. In der zweiten Betreffzeile
werden dem Kunden der Teil 1 und 2 eines Autorisierungscodes übermittelt.
-
Ist
die sichere, persönliche
Zustellung des Autorisierungscodes erfolgt, kann der Kunde über den
personalisierten Push-Link, der ihm per E-Mail zugestellt wurde,
auf eine Webseite gelangen, wo er zunächst das Passwort, welches
er sich im ersten Verfahrensschritt selbst zugeordnet hat, eingeben muss,
bevor er darauf folgend die zwei Teile des Autorisierungscodes eingeben
kann, sodass sichergestellt ist, dass die handelnden Person mit
der Person, deren Personalien und Ausweisdokument vorab elektronisch
verifiziert wurden, identisch ist.
-
Für einen
erfolgreichen Abschluss der Identifizierung sind also die E-Mail
mit dem personalisierten Push-Link, die Zugangsdaten mit dem sich
selbst vergebenen Passwort sowie die Eingabe des Autorisierungscodes,
der sicher und persönlich
zugestellt wurde, notwendig. Erst dann ist der Vorgang der Personenidentifikation
abgeschlossen und der Identifikationsdienstleister übergibt
die Daten der verifizierten Person digital an die Bank für die abschließende Kontrolle
der Personalausweiskopie.
-
Die
Bank erhält
von dem neuen Kontoinhaber Vertragsunterlagen, denen eine Kopie
des Personalausweises beigefügt
worden ist. Der Mitarbeiter des Instituts gibt die 9-stellige Personalausweisnummer
in eine Onlinemaske ein. Diese wird elektronisch in eine Kennziffer
umgewandelt, welche elektronisch mit der Kennziffer abgeglichen
wird, die während
des Identifikationsprozesses ermittelt worden ist. Außerdem überprüft der Mitarbeiter
die Angaben zu Geburtsort und ausstellender Behörde, die ihm die Onlinemaske
anzeigt, mit den Daten von der Kopie des Personalausweises.