DE102018133380A1 - Verfahren zum Erstellen einer qualifizierten elektronischen Signatur - Google Patents

Verfahren zum Erstellen einer qualifizierten elektronischen Signatur Download PDF

Info

Publication number
DE102018133380A1
DE102018133380A1 DE102018133380.3A DE102018133380A DE102018133380A1 DE 102018133380 A1 DE102018133380 A1 DE 102018133380A1 DE 102018133380 A DE102018133380 A DE 102018133380A DE 102018133380 A1 DE102018133380 A1 DE 102018133380A1
Authority
DE
Germany
Prior art keywords
user
personal data
data
account
bank
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018133380.3A
Other languages
English (en)
Inventor
Ludwig Schulte
Lukas Eicher
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Klarna Bank AB
Original Assignee
Klarna Bank AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Klarna Bank AB filed Critical Klarna Bank AB
Priority to DE102018133380.3A priority Critical patent/DE102018133380A1/de
Publication of DE102018133380A1 publication Critical patent/DE102018133380A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum Erstellen einer qualifizierten elektronischen Signatur über das Internet, umfassend die Schritte:Aufnehmen von personenbezogenen Daten eines Nutzers zum Erstellen eines nutzerspezifischen Datensatzes, insbesondere durch Eingeben der personenbezogenen Daten in eine Eingabemaske einer Webseite eines Webseitenbetreibers oder einer App, wobei die personenbezogenen Daten vorzugsweise der Vor- und der Nachname sowie die Adresse des Nutzers umfassen,Initialisieren eines online-Banküberweisungsvorgangs des Nutzers auf ein ein vorbestimmtes Konto durch eine Eingabe von Online-Banking-Zugangsdaten und anschließender Zahlungsautorisierung mittels TAN-Verfahren, insbesondere mit Hilfe einer sogenannten „Access-to-Account“-Technologie,Bestätigen der Zugehörigkeit der aufgenommenen personenbezogenen Nutzerdaten zu denen des verwendeten Bankkontos, wenn die Überweisung erfolgreich durchgeführt worden ist und mit den für das Bankkonto des Nutzers hinterlegten personenbezogenen Daten übereinstimmt,Inanspruchnahme eines Vertrauensdiensteanbieters unter Heranziehung der bezüglich ihrer Zugehörigkeit bestätigten Nutzerdaten, vorzugsweise dem Vor- und Nachnamen, der Adresse, einer Mobiltelefonnummer und/oder der Bankverbindung des Nutzers, undSignieren eines Dokuments unter Inanspruchnahme von Diensten, die von dem Vertrauensdiensteanbietersangeboten werden.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Erstellen einer qualifizierten elektronischen Signatur.
  • Inzwischen ist es üblich, eine Vielzahl von Verträgen über das Internet zu schließen. Regulatorische und gesetzgeberische Bestrebungen erfordern dabei jedoch immer öfter eine Legitimationsprüfung bzw. eine Unterschrift eines Käufers und/oder eines Verkäufers. Vorteilhaft hieran ist die Feststellung der tatsächlichen Identität der Vertragsparteien bzw. die Möglichkeit auch solche Verträge über das Internet abschließen zu können, die eine Unterschrift der Parteien benötigen. Beispielhaft gilt dies in der Bundesrepublik Deutschland für einen Ratenzahlungsvertrag, der ein Volumen von mehr als 200€ umfasst. Teilweise werden diese strengen Anforderungen auch damit begründet, um Geldwäsche zu verhindern und Wirtschaftskriminalität im Allgemeinen zu bekämpfen.
  • Aus dem Stand der Technik sind einige Verfahren bekannt, wie man als Vertragspartei ein Dokument mit einer Unterschrift signieren kann. So gibt es seit einigen Jahren neben dem Postident-Verfahren das Videoident-Verfahren, bei dem die Legitimationsprüfung mittels Ausweis vollständig über Video erfolgt. Dabei wird also in einer Videositzung die Identität des Nutzers abgeglichen, indem während der Videositzung die Übereinstimmung des Nutzers mit dem vorgezeigten Ausweis überprüft wird.
  • Darüber hinaus sind einige Länder, bspw. Deutschland, dazu übergegangen, elektronische Personalausweise auszugeben, die mithilfe eines Kartenlesegeräts einen Teilnehmer sicher identifizieren können und eine qualifizierte elektronische Signatur ermöglichen.
  • Dabei ist sowohl für ein Postident- als auch für das Videoident-Verfahren erforderlich, dass eine manuelle Ausweiskontrolle durchgeführt wird. Anders ist dies beim Verwenden des elektronischen Personalausweises, der zur Verwendung in der Regel ein Kartenlesegerät oder eine das Kartenlesegerät ersetzende spezielle App auf einem Smartphone benötigt.
  • Daher ist unter Rückgriff auf die im Stand der Technik verfügbaren Verfahren das elektronische Signieren eines Dokuments über das Internet mit hohen Hürden verbunden, die einen Nutzer oftmals dazu veranlassen, den Vorgang vollständig abzubrechen. Verträge mit Schriftformerfordernis, wie in Deutschland bspw. der oben angesprochene Ratenzahlungsvertrag ab einem Volumen von mehr als 200€, werden daher nur äußerst selten über das Internet abgeschlossen.
  • Es ist das Ziel der vorliegenden Erfindung, eine qualifizierte elektronische Signatur zu ermöglichen, ohne eines der nachteilbehafteten vorstehend kurz eingeführten Identifikationsverfahren verwenden zu müssen. Das Hauptaugenmerk soll dabei insbesondere auf dem die Signatur hostenden Partner liegen, dem durch das erfindungsgemäße Verfahren die Möglichkeit eröffnet wird, auf einfache und unkomplizierte Art und Weise eine qualifizierte elektronische Signatur eines Clients zu erhalten, so dass ein Anbieten von Vertragstypen, die dem Schriftformerfordernis unterliegen, vereinfacht wird. Insgesamt soll dabei ein Verfahren zur qualifizierten elektronischen Signatur möglich sein, das ohne eine für jeden Signaturvorgang separat durchzuführende lästige Ausweisüberprüfung bzw. einen elektronischen Personalausweis samt zugehörigem Kartenlesegerät auskommt und dabei in puncto Sicherheit keine Abstriche macht. So soll der gesamte Signaturvorgang für einen Kunden schneller und angenehmer ausführbar sein, auch um die Abbruchrate zu reduzieren, wenn eine solche qualifizierte elektronische Signatur von einem Nutzer gefordert wird. Dabei ist es das Ziel, dem Unterzeichnenden den Zugang zu entsprechenden Zertifikaten zu ermöglichen, was nach dem Stand der Technik mit signifikantem Aufwand verbunden ist.
  • Dies gelingt mit dem Verfahren, das sämtliche Merkmale des Anspruchs 1 aufweist. Demnach umfasst das erfindungsgemäße Verfahren zum Erstellen einer qualifizierten elektronischen Signatur über das Internet die nachfolgenden Schritte:
    • • Aufnehmen von personenbezogenen Daten eines Nutzers zum Erstellen eines nutzerspezifischen Datensatzes, insbesondere durch Eingeben der personenbezogenen Daten in eine Eingabemaske einer Webseite oder einer App, wobei die personenbezogenen Daten, vorzugsweise der Vor- und der Nachname, sowie die Adresse des Nutzers umfassen,
    • • Initialisieren eines online-Banküberweisungsvorgangs des Nutzers auf ein vorbestimmtes Empfängerkonto durch eine Eingabe von Online-Banking Zugangsdaten und anschließender Zahlungsautorisierung mittels TAN-Verfahren, insbesondere mit Hilfe einer sogenannten „Access-to-Account“-Technologie,
    • • Bestätigen der Zugehörigkeit der aufgenommenen personenbezogenen Nutzerdaten zu denen des verwendeten Bankkontos, wenn die Überweisung erfolgreich durchgeführt worden ist und mit den für das Bankkonto des Nutzers hinterlegten personenbezogenen Daten übereinstimmt,
    • • Inanspruchnahme eines Vertrauensdiensteanbieters unter Heranziehung der bzgl. ihrer Zugehörigkeit bestätigten Nutzerdaten, vorzugsweise den Vor- und Nachnamen, der Adresse und der Mobiltelefonnummer, und
    • • Signieren eines Dokuments unter Inanspruchnahme von Diensten, die von dem Vertrauensdiensteanbieter angeboten werden, wobei nach einem erfolgreichen Signieren des Dokuments dem Nutzer das signierte Dokument zugeleitet wird.
  • Vorteilhaft hieran ist, dass für das elektronische Signieren eines Dokuments lediglich der typischerweise bereits vorhandene Online-Banking-Zugang des Nutzers verwendet wird und eine erneute manuelle Ausweiskontrolle oder das Verwenden eines elektronischen Personalausweises nicht erforderlich ist. Durch das Anweisen einer Banküberweisung von dem Bankkonto des Nutzers auf ein vorbestimmtes Empfängerkonto kann bei einer erfolgreichen Überweisung die Zugehörigkeit der eingegebenen personenbezogenen Daten mit den für das Bankkonto hinterlegten personenbezogenen Daten bestätigt werden. Mit den in ihrer Zugehörigkeit bestätigen personenbezogenen Daten erfolgt dann eine Anmeldung bei einem Vertrauensdiensteanbieter (Englisch auch: certificate authority) mit dessen Hilfe ein zu signierendes Dokument unterzeichnet wird. Abschließend kann vom Vertrauensdiensteanbieter das vom Nutzer unterzeichnete Dokument an die bei Erstellung der qualifizierten elektronischen Signatur beteiligten Parteien weitergereicht werden. Selbstverständlich kann dabei auch die Signatur oder wesentliche Teile davon an einen Dritten weitergegeben werden, bspw. falls dieser das Verfahren zum Erstellen einer qualifizierten elektronischen Signatur angefragt bzw. initiiert hat. So ist denkbar, dass ein im Internet angebotener Dienst, wie ein Webshop oder dergleichen, ein von einem Nutzer mit einer qualifizierten elektronischen Signatur versehenes Dokument benötigt und hierfür einen entsprechenden Dienstleister, bspw. Klarna, anfragt, der die gesamte Abwicklung übernimmt und dabei auch die Kommunikation mit dem Vertrauensdiensteanbieter führt.
  • Als personenbezogene Daten kommen neben dem Vor- und Nachnamen sowie der Adresse des Nutzers auch das Geburtsdatum, etwaige Titel des Nutzers, eine Mobiltelefonnummer und/oder eine Festnetznummer des Nutzers, eine Ausweisnummer oder eine Reisepassnummer oder auch andere auf den Nutzer bezogene Informationen in Frage.
  • Dabei müssen die personenbezogenen Daten nicht notwendigerweise händisch vom Nutzer eingegeben werden, sondern können auch von einem Dritten oder durch eine Applikation, bspw. durch Abfotografieren eines Ausweises oder vergleichbaren Dokuments, und/oder aus einer Datenbank angeliefert werden.
  • Nach einer optionalen Modifikation der vorliegenden Erfindung ist es von Vorteil, wenn nach einem Aufnehmen der personenbezogenen Daten und vor einem Initialisieren des Banküberweisungsvorgangs, das Verfahren ferner eine Endgeräteidentifikation ausführt und vorzugsweise eine Risikobeurteilung durch Analysieren von Endgeräteeigenschaften und -merkmalen eines vom Nutzer zum Ansteuern der Webseite verwendeten Endgeräts durchführt, wobei dies vorzugsweise durch Weitergeben der zu analysierenden Daten an einen Authentifikationsdienst, beispielsweise einen Web-Betrugs-Erkennungsdienst, erfolgen kann. Der nachfolgende Schritt des Initialisierens des Überweisungsvorgangs wird nur dann ausgeführt, wenn die Endgeräteidentifikation und/oder die Risikobeurteilung erfolgreich ist.
  • Als Endgerät eines Nutzers kommt dabei typischerweise ein Mobiltelefon in Betracht, es kann jedoch auch jedes andere Gerät verwendet werden. Vorzugsweise ist dieses Gerät jedoch internetfähig. Der Web-Betrugs-Erkennungsdienst versucht das Endgerät mittels einer Analyse von Cookies und/oder Eigenschaften des Endgerätes zu identifizieren.
  • Im Wesentlichen versucht der Authentifizierungsdienst anhand der Charakteristika (Cookies, Geräteeinstellungen, wie bspw. Verwenden einer bestimmten Bildschirmauflösung, etc.) des vom Nutzer verwendeten Endgeräts eine Identifikation des Endgeräts vorzunehmen (sog. „Fingerprinting“ zur Identifikation eines Endgeräts). Im Optimalfall ist dem Authentifizierungsdienst das identifizierte Gerät bekannt und kann dieses einer Person zuordnen.
  • Alternativ oder zusätzlich dazu kann der Web-Betrugs-Erkennungsdienst eine Risikobeurteilung des vom Nutzer verwendeten Endgeräts durchführen. So verschlechtert bspw. das Vorhandensein von Software, die einen Fernzugriff auf das Endgerät erlaubt, den Wert der Risikobeurteilung. Der Risikowert des Endgeräts wird bspw. unter Heranziehung der verwendeten Softwareversion des Betriebssystems und/oder der auf dem Endgerät installierten Programme erstellt. Liegt der Risikowert dabei innerhalb eines annehmbaren Bereiches, erfolgt der nachfolgende Schritt des Initialisierens des Banküberweisungsvorgangs.
  • Selbstverständlich ist von der Erfindung auch der Fall umfasst, dass die EndgeräteIdentifikation und/oder das Durchführen einer Risikobeurteilung nicht von einem Web-Betrugs-Erkennungsdienst durchgeführt wird, sondern auch von anderen an der Signatur beteiligten Diensten selbst umgesetzt wird.
  • Vorteilhafterweise wird die Risikobeurteilung als erfolgreich angesehen, wenn ein aufgrund der Analyse eines vom Nutzer verwendeten Endgeräts erstellter Punktewert einen vorbestimmten Schwellenwert übersteigt. Erreicht man lediglich einen unterhalb des Schwellenwerts liegenden Punktewert, der einer Mindestwahrscheinlichkeit einer geforderten Übereinstimmung entspricht, wird der Vorgang abgebrochen.
  • Nach einer Fortbildung der Erfindung werden nach einer erfolgreichen Banküberweisung der Vor- und Nachname des Kontoinhabers, die verwendete Bankverbindung sowie die Art des zur Überweisung genutzten TAN-Verfahrens für einen möglichen weiteren Abgleich vom Überweisungsdienst erhalten. Dabei wird vorzugsweise in Abhängigkeit des genutzten TAN-Verfahrens, insbesondere wenn das genutzte TAN-Verfahren eine TAN-Liste umfasst, das vom Nutzer verwendete Endgerät durch ein Analysieren von Cookies und/oder von Endgeräteeigenschaften daraufhin geprüft, ob das Endgerät eindeutig dem Nutzer bzw. den personenbezogenen Daten des Nutzers zuordenbar ist, indem sichergestellt wird, dass das verwendete Endgerät bereits in der Vergangenheit mit den personenbezogenen Daten des Nutzers verwendet worden ist (sog. „device matching“). So kann der Authentifizierungsdienst anhand der Charakteristika (Cookies, Geräteeinstellungen, etc.) des vom Nutzer verwendeten Endgeräts prüfen, ob das identifizierte Endgerät bereits in der Vergangenheit mit den eingegebenen personenbezogenen Daten genutzt worden ist.
  • Kann ein Gerät erfolgreich einer Identität zugewiesen werden und ist diese Identität die, die der zu identifizierende Nutzer vorgibt innezuhaben, so ist ein Besitzfaktor nicht mittels eines initial an eine Identität gekoppelten Geräts verifiziert, sondern eine Identität kann einem Gerät zugeordnet werden.
  • Durch das Ausführen der Banküberweisung erhält man nun die Gewissheit, dass der Nutzer unter Heranziehung der eingegebenen personenbezogenen Daten dazu in der Lage ist, eine Banküberweisung auszuführen. Dies wird als Teil eines erfolgreichen Legitimationsnachweises angesehen und verschafft eine bestimmte Sicherheit in Bezug auf die eingegebenen personenbezogenen Daten des Nutzers. Diese Transaktion stellt den Kern der durch das Verfahren durchzuführenden Identifizierung dar, da eine Erstidentifikation zum Erlangen der Online-Banking-Berechtigung ausgeführt worden ist und starke Authentifizierungsmittel ausgegeben wurden.
  • Vorteilhafterweise kann weiter vorgesehen sein, dass zum Bestätigen der Gültigkeit Teile oder alle der bekannten personenbezogenen Daten des Nutzers zusammen mit dessen IBAN an eine Auskunftei übermittelt werden, die daraufhin die Richtigkeit der übermittelten personenbezogenen Daten mit den ihr bekannten Daten abgleicht. Die Auskunftei informiert dann darüber, ob die übersandten personenbezogenen Daten mit den bei ihr hinterlegten Daten übereinstimmen, also korrekt sind, oder nicht übereinstimmen, also inkorrekt sind. Nur dann, wenn die personenbezogenen Daten von der Auskunftei als korrekt eingestuft werden, wird die Gültigkeit der personenbezogenen Daten bestätigt und der nachfolgende Schritt ausgeführt, bspw. eine Anmeldung bei einem Vertrauensdiensteanbieter. Wird die Korrektheit durch die Auskunftei verneint, kommt es zu einem Abbruch des Vorgangs.
  • Besonders vorteilhaft ist dabei, wenn als personenbezogene Daten des Nutzers der Vor- und Nachname und die Adresse neben der Bankverbindung in Form der IBAN des Nutzers an die Auskunftei übermittelt werden, die dann entweder bestätigt oder verneint, dass der Kontoinhaber der übermittelten Bankverbindung mit der durch die personenbezogenen Daten bezeichneten Person übereinstimmt. Vorzugsweise erfolgt dabei lediglich die Bestätigung der übermittelten Daten oder man erhält den Hinweis, dass diese nicht mit den in der Auskunftei abgelegten Daten übereinstimmen. Ein darüber hinausgehender detaillierter Report, inwiefern Bestandteile des übersandten Datensatzes übereinstimmen erfolgt nicht. Dies beschleunigt das Verfahren und würde vermutlich auch innerhalb der EU datenschutzrechtliche Probleme aufwerfen.
  • Nach einer weiteren vorteilhaften Fortbildung der Erfindung werden zum Durchführen einer Online-Überweisung von dem Bankkonto des Nutzers auf das vorbestimmte Empfängerkonto die Dienste eines Access-to-Account-Dienstes genutzt, wobei vorzugsweise die an den Access-to-Account-Dienst zu übermittelnden Daten vom Nutzer abgefragt werden. Die zu übermittelnden Daten umfassen die Bankverbindung eines Bankkontos des Nutzers sowie das zugehörige Passwort für den Online-Banking-Zugang des Bankkontos des Nutzers.
  • Weiter ist zur Kommunikation mit einem Vertrauensdiensteanbieter vorgesehen, neben den in ihrer Gültigkeit bestätigten personenbezogenen Daten, insbesondere den Vor- und Nachnamen, die Adresse und die Bankverbindung des Nutzers, neben weiteren Daten die Nummer einer in dem mobilen Endgerät befindlichen SIM-Karte des Nutzers an den Vertrauensdiensteanbieter zu übertragen. Ferner wird an das durch die Nummer identifizierbare mobile Endgerät eine einen Signaturcode enthaltende Nachricht, vorzugsweise eine SMS, von dem Vertrauensdiensteanbieter gesendet. Dabei kann selbstverständlich als mobiles Endgerät ein Mobiltelefon vorgesehen sein. So kann auf einfache Art und Weise über einen vom Internet unabhängigen Informationsweg ein Signaturcode an den Nutzer gesendet werden, der diesen zum Signieren eines Dokuments verwenden kann.
  • Weiter kann u.a. vorgesehen sein, dass der Signaturcode ein Einmalpasswort ist, das vorzugsweise nur für einen begrenzten Zeitraum Gültigkeit besitzt, typischerweise von 10 Minuten. Dies erhöht die Sicherheit des beschriebenen Verfahrens weiter und verringert zudem die Wahrscheinlichkeit einer missbräuchlichen Anwendung, im Falle eines ungewollten Abhandenkommens des mobilen Endgeräts.
  • Weiter ist vorteilhaft, wenn zum Signieren eines Dokuments ein von dem Vertrauensdiensteanbieter an die Nummer der SIM-Karte im Endgerät des Nutzers, insbesondere ein Mobiltelefon, gesendeter Signaturcode auf der Webseite des Webseitenbetreibers durch den Nutzer eingegeben wird, so dass nach einem Weiterleiten des eingegebenen Signaturcodes an den Vertrauensdiensteanbieter, bei einer Übereinstimmung von gesendetem und eingegebenem Signaturcode, der Vertrauensdiensteanbieter das Dokument mit einer qualifizierten elektronischen Signatur des Nutzers den am Signaturvorgang beteiligten Personen zukommen lässt. Dabei kann der zum Signieren des Dokuments erforderliche private Schlüssel in einem sogenannten Hardware Security Module (auch: HSM) des Vertrauensdiensteanbieters abgelegt sein. Der private Schlüssel wird bei einem Erhalten des korrekten Signaturcodes, der von dem Nutzer an den Vertrauensdiensteanbieter weitergeleitet worden ist, zum Signieren verwendet.
  • So entsteht beim Vertrauensdiensteanbieter ein vom Nutzer unterzeichnetes Dokument bzw. der signierte pdf-Hashwert, der auf dem zu unterzeichnenden Dokument basiert, der den besonderen rechtlichen Anforderungen einer qualifizierten elektronischen Signatur genügt.
  • Weiter kann vorgesehen sein, dass das zu signierende Dokument an die besuchte Webseite bzw. App übermittelt wird. Vor einem Zurückgeben des signierten Dokuments wird immer auch die Signatur des Nutzers verifiziert.
  • Weitere Merkmale, Einzelheiten und Vorteile der Erfindung werden anhand der nachfolgenden Figurenbeschreibung ersichtlich. Dabei zeigen:
    • 1: eine Übersicht des erfindungsgemäßen Verfahrens aufgeteilt in mehrere Einzelschritte, und
    • 2: ein Ablaufdiagramm des erfindungsgemäßen Verfahrens.
  • 1 zeigt die verschiedenen Verfahrensschritte zusammen mit einer kurzen Verfahrensbeschreibung und dem Dienst, der das Verfahren vorteilhafterweise durchführt. Dabei ist für den Fachmann klar, dass der Dienst der Verfahrensdurchführung nur beispielhaft für das bessere Verständnis der Erfindung angegeben wird und nicht als beschränkend anzusehen ist. Mehrere oder auch alle der dort aufgezeigten Dienste können auch von einem einzigen Anbieter durchgeführt werden ohne dass dies vom Kern der Erfindung abweichen würde.
  • Nachdem das Verfahren angestoßen wird, werden in Verfahrensschritt 1 die personenbezogenen Daten entgegengenommen. Dies geschieht typischerweise auf einer vom Nutzer angesteuerten Webseite oder App, indem der Nutzer die ihn betreffenden personenbezogenen Daten eingibt. Diese können u.a. den Titel, den Vor- und Nachnamen, die Mobiltelefonnummer, das Geburtsdatum sowie die Adresse des Nutzers umfassen. Selbstverständlich ist von der Erfindung auch der Fall umfasst, wonach die personenbezogenen Daten automatisch von einer Datenbank oder dergleichen abgerufen werden, so dass ein manuelles Eintragen der Daten nicht erforderlich ist. Weiter ist auch das Vorhandensein einer Webseite oder einer App nur ein exemplarisches Beispiel zur Umsetzung der Erfindung, da die Daten auch direkt über eine API bereitgestellt werden können.
  • Nachdem die personenbezogenen Daten durch den Nutzer eingegeben worden sind, wird ein Identifikations-/Unterschriftsdienst zum Erstellen einer qualifizierten elektronischen Signatur angefragt, der die ihm übertragenen personenbezogenen Daten an einen Authentifizierungsdienst übergibt. Übertragen wird dabei eine Sitzungskennung (Englisch auch: Session ID), die eine eindeutige Identifizierung der Sitzung ermöglicht.
  • Im Verfahrensschritt 2 führt der Authentifizierungsdienst eine Risikoüberprüfung durch, indem er verschiedene Merkmale des vom Nutzer verwendeten Geräts überprüft und abgleicht. Zudem wird auf Grundlage der Einstellungen des vom Nutzer verwendeten Endgeräts eine gerätespezifische eindeutige Kennung erzeugt, anhand der das Gerät identifizierbar ist.
  • Fällt die im Verfahrensschritt 2 vorgenommene Risikoüberprüfung zufriedenstellend aus, wird das Verfahren fortgesetzt.
  • Anschließend wird dann der Verfahrensschritt 3 initialisiert, der zum Ziel hat, eine online-Banküberweisung durchzuführen. Typischerweise geschieht dies unter Heranziehung eines Access-to-Account-Dienstes, der bspw. eine Banküberweisung mit sofortiger Wertstellung ermöglicht und nicht erfordert, dass der Nutzer eine weitere separate Webseite oder App öffnet, um den Überweisungsvorgang durchzuführen. Der Access-to-Account-Dienst frägt vom Nutzer die Eingabe der Bank an, mit der der Nutzer mittels Online-Banking eine Überweisung in Auftrag geben möchte. Die dabei erforderliche Eingabe ist entweder der BIC, die BLZ oder der Name der Bank. Hat der Nutzer die entsprechenden Eingaben getätigt, geht das Verfahren in den Verfahrensschritt 4 über.
  • In diesem Verfahrensschritt wird der Nutzer dazu aufgefordert, seine Zugangsdaten zu seinem Online-Banking-Account in entsprechende Eingabefelder einzugeben. Die Daten werden verschlüsselt und bspw. mithilfe des Access-to-Account-Dienstes an eine Programmierschnittstelle, eine sogenannte API, der zugehörigen Bank weitergleitet, woraufhin nach einem erfolgreichen Login bei der Bank des Nutzers die IBAN dem Access-to-Account-Dienst bekannt wird. Denkbar ist hier aber auch ein Screen Scraping, bei dem ein Bot den Login vornimmt und die entsprechenden Schritte zum Einloggen in das Online-Banking vornimmt. Die entsprechenden Zugangsdaten werden also nicht zwangsläufig an eine API übergeben.
  • Der nach erfolgreichem Login optionale Verfahrensschritt 5 beschreibt die mögliche Auswahl des Nutzers, von welchem seiner mehreren Konten er eine Überweisung in Auftrag geben möchte. Stehen mehrere Konten zur Auswahl, wählt der Nutzer eines davon aus, um zum nächsten Verfahrensschritt zu gelangen.
  • In anschließenden Verfahrensschritt 6 wird der Nutzer dazu aufgefordert, eine Überweisung mithilfe eines TAN-Codes zu verifizieren, um eine Banküberweisung zu initiieren. Nach erfolgreicher Eingabe der TAN wird von dem Access-to-Account-Dienst das dabei genutzte TAN-Verfahren gespeichert. Anhand des genutzten TAN-Verfahrens lässt sich abschätzen, wie stark der Besitzfaktor ist. So gibt es neben dem relativ unsicheren Listen-TAN-Verfahren, bspw. die in Bezug auf den Besitzfaktor als sicherer geltenden Verfahren SMS-Tan, Photo-Tan oder Chip-Tan.
  • In Verfahrensschritt 7 werden nach einem erfolgreichen Banküberweisungsvorgang von dem Access-to-Account-Dienst die dabei verwendete IBAN, der Überweisungsstatus, das bei der Überweisung verwendete TAN-Verfahren sowie der Betrag an den Identifikations-/Unterschriftsdienst gesendet.
  • Im Verfahrensschritt 8 werden die im Verfahrensschritt 1 gesammelten personenbezogenen Daten zusammen mit der in ihrer Gültigkeit bestätigten IBAN, welche zu dem Konto der erfolgreichen Überweisung gehört, an eine Auskunftei übertragen, um zu überprüfen, ob der übertragene Datensatz konsistent ist, also zu prüfen, ob die personenbezogenen Daten aus dem Verfahrensschritt 1 zu dem Bankkonto der Überweisung gehören.
  • Nach einem erfolgreichen Abgleich wird im Verfahrensschritt 9 der Authentifikationsdienst unter Angabe der eindeutigen Sitzungskennung aus Verfahrensschritt 2 kontaktiert, um eine eindeutige Kennung des Geräts („fingerprinting“) und nach einer optionalen Modifikation des Verfahrens auch mit dem Gerät verknüpfte personenbezogenen Daten zu erhalten („matching“), die dem Authentifikationsdienst bekannt sind und mit dem das Gerät in der Vergangenheit bereits verknüpft worden ist.
  • Weiter wird in Schritt 10 eine eindeutige Kundenkennung zusammen mit einem pdf-Hashwert des zu unterzeichnenden Dokuments an den Vertrauensdiensteanbieter gesendet. Der pdf-Hashwert repräsentiert in eindeutiger Weise dasjenige Dokument, das es zu unterzeichnen gilt. Jede noch so kleine Änderung an dem zu unterzeichnenden Dokument würde einen anderen Hashwert produzieren. Zudem werden dem Vertrauensdiensteanbieter der Name sowie eine Mobiltelefonnummer des Nutzers übermittelt.
  • Im Verfahrensschritt 11 wird von dem Vertrauensdiensteanbieter eine SMS an die Mobiltelefonnummer des Nutzers gesendet, die einen Unterzeichnungscode enthält. Der Nutzer kann diesen Code dann auf der von ihm angesteuerten Webseite eingeben, von wo aus der eingegebene Code an den Vertrauensdiensteanbieter weitergeleitet wird.
  • Im Verfahrensschritt 12 empfängt der Vertrauensdiensteanbieter den vom Nutzer eingegebenen Signaturcode, der ihm zuvor per SMS zugesandt worden ist und gleicht diesen ab. Entspricht der eingegebene Signaturcode dem per SMS versandten Signaturcode, stellt der Vertrauensdiensteanbieter einen signierten pdf-Hashwert zur Verfügung, so dass das zu unterzeichnende Dokument später mit einer qualifizierten elektronischen Signatur versehen werden kann. Denkbar ist dabei, dass der Identifikations-/Unterschriftsdienst die Signatur selbst in das Dokument einfügt.
  • Die 2 zeigt im oberen Bereich die verschiedenen Teilnehmer, die zur Durchführung des Verfahrens vorgesehen sein können, die für die Erfindung aber nicht beschränkend auszulegen sind. Dem Fachmann ist klar, dass die aufgeführten Dienste nur der besseren Übersichtlichkeit von verschiedenen Teilnehmern durchgeführt werden. Von der Erfindung ist auch umfasst, dass mehrere der Dienste oder gar alle der Dienste von nur einem Teilnehmer angeboten werden können.
  • Neben dem Nutzer 1 ist dabei auch die vom Nutzer 1 beispielhaft angesteuerte Webseite 2 sowie der Identifikations-/Unterschriftsdienst 3 dargestellt. Weiter gibt es den Authentifizierungsdienst 4, den Access-to-Account-Dienst 5, die Auskunftei 6 und den Vertrauensdiensteanbieter 7.
  • Zu Beginn gibt der Nutzer 1 die personenbezogenen Daten auf der von ihm angesteuerten Webseite 2 oder der von ihm aufgerufenen Applikation 2 ein (S101). Im Anschluss hieran wird der Identifikations-/Unterschriftsdienst 3 von der Webseite 2 bzw. der Applikation 2 kontaktiert, mit dem Ziel eine qualifizierte elektronische Signatur auf Grundlage der eingegebenen personenbezogenen Daten bereitzustellen (S102). So kann die Webseite oder die App ein Geschäft mit dem Nutzer abschließen wollen, dass dem Schriftformerfordernis unterliegt und daher eine qualifizierte elektronische Signatur benötigt, die dieses Erfordernis erfüllt.
  • Im weiteren Verlauf werden dann die Endgeräteidentifikation und eine Risikobeurteilung durchgeführt, indem ein Authentifizierungsdienst 4, beispielsweise durchgeführt von der Firma „ThreatMetrix“, kontaktiert wird (S103). Ein solcher Web-Betrugs-Erkennungsdienst 4 hilft u.a. bestimmte kriminelle Machenschaften zu verhindern. So werden beispielsweise „Man-in-the-Middle“-Attacken unterbunden und auf dem Endgerät verwendete Plug-Ins auf Auffälligkeiten hin untersucht.
  • Nachdem der Identifikations-/Unterschriftendienst 3 von dem Authentifizierungsdienst 4 eine zufriedenstellende Rückmeldung erhalten hat (S103R), wird nach einem Anfragen der Gerätedaten (S104) von dem Identifikations-/Unterschriftendienst 3 eine Banküberweisung initiiert (S105), indem auf einen Access-to-Account-Dienst 5 zugegriffen wird. Der Access-to-Account-Dienst 5 kann dabei ein entsprechendes Fenster mit den Online-Banking-Verfahren in der Webseite 2 bzw. der App 2 einblenden (S106). Denkbar ist aber auch das Eingeben der Daten auf einem anderen Weg. Der Nutzer 1 führt im Anschluss daran durch Eingabe seiner Online-Banking-Zugangsdaten und der die Überweisung legitimierenden TAN eine Banküberweisung aus (S107). Ist der Banküberweisungsvorgang erfolgreich abgeschlossen worden und wurde Geld von dem vom Nutzer angegebenen Konto auf ein vorbestimmtes Empfängerkonto überwiesen, wird der Identifikations-/Unterschriftendienst 3 über den erfolgreichen Überweisungsvorgang von dem Access-to-Account-Dienst 5 unterrichtet (S108). Dabei werden dem Identifikations-/Unterschriftendienst 3 der Vor- und Zuname des Nutzers, die verwendete IBAN und das verwendete TAN-Verfahren von dem Access-to-Account-Dienst übermittelt.
  • Sollte der Nutzer ein Listen-TAN-Verfahren verwendet haben, kann eine zusätzliche Überprüfung im Schritt S109 vorgenommen werden. Dabei kontaktiert der Identifikation-/Unterschriftendienst 3 erneut den Authentifizierungsdienst 4, um sicherzustellen, dass das Endgerät des Nutzers 1 bereits in der Vergangenheit mit den angegebenen personenbezogenen Nutzerdaten verwendet worden ist (S110). Hierzu wird die Adresse sowie der Vor- und Zuname des Nutzers 1 an den Authentifizierungsdienst 4 gesendet, der bestätigt oder verneint, ob der gesendete Datensatz in Kombination mit dem genutzten Endgerät bereits in der Vergangenheit verwendet worden ist. Bei einer positiven Rückmeldung wird dann die Verwendung des als unsicher angesehen Listen-TAN-Verfahrens akzeptiert und zum regulären Verfahrensablauf übergegangen. Diese Überprüfung wird durch den Authentifizierungsdienst 4, bspw. ThreatMetrix, durchgeführt.
  • Anschließend erfolgt eine Verifikation des gesamten Datensatzes im Schritt S111, indem der Identifikations-/Unterschriftendienst 3 diesen an eine Auskunftei 6 sendet. Infrage kommt hierbei beispielsweise die Schufa, die bestätigen kann, ob ihr der Nutzer 1 mit den angegebenen personenbezogenen Daten zusammen mit der ebenfalls angegebenen IBAN bekannt ist. Ist der übersendete Datensatz konsistent, gehören also IBAN sowie die Adresse und der Vor- und Zuname des Nutzers zusammen, wird dies dem Identifikations-/Unterschriftendienst 3 bestätigt (S103R). Gehört der übersendete Datensatz nicht zusammen, wird dies ebenfalls dem Identifikations-/Unterschriftendienst mitgeteilt (S103R).
  • Somit ist nachfolgend dem Identifikations-/Unterschriftendienst 3 zur Kenntnis gebracht worden, ob die eingegebenen personenbezogenen Daten gültig sind. In der 2 ist dies mit dem dicken Horizontalstrich dargestellt. So ist sowohl der Vor- als auch der Nachname des Nutzers, die Nutzeradresse Geburtsdatum und das Bankkonto einschließlich der Kontoinhaberschaft verifiziert worden. Nur wenn die Daten gültig sind, wird mit das Verfahren fortgeführt.
  • Um in Kommunikation mit dem Vertrauensdiensteanbieter 7 zu treten (S112), werden zumindest die in ihrer Gültigkeit bestätigten, nachfolgenden Daten übersendet. Die Daten können beispielsweise den Vor- und Nachnamen des Nutzers, eine Telefonnummer des Nutzers, eine eindeutige Nutzerkennung und eine Template-ID des zu unterzeichnenden Vertrages umfassen. Dabei ist es selbstverständlich möglich, dass der Identifikations-/Unterschriftendienst 3 die Aufgaben des Vertrauensdiensteanbieters 7 teilweise oder vollständig selbst übernimmt, so dass durch die Verringerung der beteiligten Parteien das Verfahren schneller durchführbar ist.
  • Weiter wird auf der angesteuerten Webseite 2 bzw. in der geöffneten App 2 der zu unterzeichnende Vertrag dargestellt, der mit Hilfe eines von dem Vertrauensdiensteanbieter 7 an die übersandte Telefonnummer gesendeten Signaturcodes (S113) durch den Nutzer 1 unterzeichnet werden kann. Unterzeichnet der Nutzer 1 den Vertrag, in dem der an sein Telefon gesendete Signaturcode korrekterweise auf der Webseite 2 oder in der App 2 eingegeben (S114) und an den Vertrauensdiensteanbieter 7 weitergeleitet wird (S115), erstellt der Vertrauensdiensteanbieter 7 die Signatur (S116) und leitet den generierten signierten pdf-Hashwert an den Identifikations-/Unterschriftendienst 3 weiter (S116).
  • Der Identifikations-/Unterschriftendienst 3 kombiniert dann den erhaltenen signierten pdf-Hashwert mit dem damit zu unterzeichnenden Dokument und erzeugt somit die qualifizierte elektronische Signatur des Dokuments (S117). Alternativ kann dieser Schritt auch beim Vertrauensdiensteanbieter durchgeführt werden.
  • Die Einzelheiten eines Ablaufs der qualifizierten elektronischen Signatur sind bekannt und bedürfen daher keiner expliziten Erläuterung. Da -wie aus Schritt 10 der 1 ersichtlich- der Vertrauensdiensteanbieter 7 wie auch der Identifikations-/Unterschriftendienst 3 den unsignierten pdf-Hashwert des zu unterzeichnenden Dokuments kennen, kann jeder der beiden auch die Signatur des Nutzers verifizieren. Dies geschieht, indem der signierte pdf-Hashwert mit Hilfe des öffentlichen Schlüssels dekodiert und anschließend mit dem unsignierten pdf-Hashwert verglichen wird. Stimmen diese Hashwerte überein, gilt die Signatur als verifiziert.
  • Abschließend wird dann das unterzeichnete Dokument, also das pdf-Dokument zusammen mit dem signierten Hashwert, von dem Identifikations-/Unterschriftendienst 3 an die Webseite 2 bzw. die Applikation 2 gesendet (S118), die nun die von ihr angefragte qualifizierte elektronische Signatur des Nutzers unterhalten hat und so ein die Schriftform erforderndes Rechtsgeschäft mit dem Nutzer abschließen konnte.

Claims (11)

  1. Verfahren zum Erstellen einer qualifizierten elektronischen Signatur über das Internet, umfassend die Schritte: Aufnehmen von personenbezogenen Daten eines Nutzers zum Erstellen eines nutzerspezifischen Datensatzes, insbesondere durch Eingeben der personenbezogenen Daten in eine Eingabemaske einer Webseite eines Webseitenbetreibers oder einer App, wobei die personenbezogenen Daten vorzugsweise der Vor- und der Nachname sowie die Adresse des Nutzers umfassen, Initialisieren eines online-Banküberweisungsvorgangs des Nutzers auf ein ein vorbestimmtes Konto durch eine Eingabe von Online-Banking-Zugangsdaten und anschließender Zahlungsautorisierung mittels TAN-Verfahren, insbesondere mit Hilfe einer sogenannten „Access-to-Account“-Technologie, Bestätigen der Zugehörigkeit der aufgenommenen personenbezogenen Nutzerdaten zu denen des verwendeten Bankkontos, wenn die Überweisung erfolgreich durchgeführt worden ist und mit den für das Bankkonto des Nutzers hinterlegten personenbezogenen Daten übereinstimmt, Inanspruchnahme eines Vertrauensdiensteanbieters unter Heranziehung der bezüglich ihrer Zugehörigkeit bestätigten Nutzerdaten, vorzugsweise dem Vor- und Nachnamen, der Adresse, einer Mobiltelefonnummer und/oder der Bankverbindung des Nutzers, und Signieren eines Dokuments unter Inanspruchnahme von Diensten, die von dem Vertrauensdiensteanbietersangeboten werden.
  2. Verfahren nach Anspruch 1, wobei nach einem Aufnehmen der personenbezogenen Daten und vor einem Initialisieren des Banküberweisungsvorgangs, das Verfahren ferner die Schritte umfasst: Ausführen einer Endgeräteidentifikation des vom Nutzer benutzten Endgeräts und/oder Durchführen einer Risikobeurteilung eines vom Nutzer verwendeten Endgeräts, wobei dies vorzugsweise durch Weitergeben von zu analysierenden Daten an einen Web-Betrugs-Erkennungsdienst erfolgen kann, wobei der nachfolgende Schritt des Initialisierens des Banküberweisungsvorgangs nur dann ausgeführt wird, wenn die Endgeräteidentifikation und/oder die Risikobeurteilung erfolgreich ist.
  3. Verfahren nach Anspruch 2, wobei die Risikobeurteilung erfolgreich ist, wenn ein aufgrund der Analyse verschiedener Merkmale des vom Nutzer verwendeten Endgeräts erstellter Punktewert einen vorbestimmten Schwellenwert übersteigt.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei zum Bestätigen der Zugehörigkeit der eingegebenen personenbezogenen Nutzerdaten der Vor- und Nachname des Kontoinhabers, die verwendete Bankverbindung sowie die Art des zur Überweisung genutzten TAN-Verfahrens nach einer erfolgreichen Banküberweisung erhalten wird, und vorzugsweise in Abhängigkeit des genutzten TAN-Verfahrens, insbesondere wenn das genutzte TAN-Verfahren auf dem Listen-TAN-Verfahren beruht, das vom Nutzer verwendete Endgerät durch ein Analysieren von Cookies und/oder von Endgeräteeigenschaften daraufhin geprüft wird, ob es bereits in der Vergangenheit mit den aufgenommenen personenbezogenen Daten des Nutzers verwendet worden ist.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei zum Bestätigen der Gültigkeit der personenbezogenen Daten des Nutzers, insbesondere der Vor- und Nachname, die Adresse und die Bankverbindung des Nutzers, diese an eine Auskunftei übermittelt werden, die die Richtigkeit der übermittelten personenbezogenen Daten mit den ihr bekannten Daten abgleicht und darüber informiert, ob die personenbezogenen Daten korrekt oder inkorrekt sind, wobei nur dann, wenn die personenbezogenen Daten von der Auskunftei als korrekt eingestuft werden, die Gültigkeit der personenbezogenen Daten bestätigt wird und eine Kommunikation mit einem Vertrauensdiensteanbieter geführt wird.
  6. Verfahren nach Anspruch 5, wobei dann, wenn als personenbezogene Daten des Nutzers der Vor- und Nachname, die Adresse und die Bankverbindung, vorzugsweise eine IBAN, des Nutzers übermittelt werden, die Auskunftei bestätigt oder verneint, dass der Kontoinhaber der übermittelten Bankverbindung mit der durch die personenbezogenen Daten bezeichneten Person übereinstimmt.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei zum Durchführen einer Online-Überweisung von dem Bankkonto des Nutzers auf ein vorbestimmtes Empfängerkonto der Webseitenbetreiber die Dienste eines Access-to-Account-Dienstes genutzt werden, wobei vorzugsweise die an den Access-to-Account-Dienst zu übermittelnden Daten die Bankverbindung eines Bankkontos des Nutzers sowie das zugehörige Passwort für den Online-Banking-Zugang des Bankkontos des Nutzers umfassen.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei zum Ausführen einer Kommunikation mit einem Vertrauensdiensteanbieter neben den in ihrer Gültigkeit bestätigten personenbezogenen Daten, insbesondere den Vor- und Nachnamen, die Adresse und die Bankverbindung des Nutzers, die Nummer einer SIM-Karte eines mobilen Endgeräts des Nutzers an den Vertrauensdiensteanbieterübertragen wird, und an das durch die Nummer identifizierbare mobile Endgerät eine einen Signaturcode enthaltende Nachricht, vorzugsweise eine SMS, von dem Vertrauensdiensteanbietergesendet wird.
  9. Verfahren nach Anspruch 8, wobei der Signaturcode ein Einmalpasswort ist, das vorzugsweise nur für einen begrenzten Zeitraum Gültigkeit besitzt.
  10. Verfahren nach einem der vorhergehenden Ansprüche, wobei zum Signieren eines Dokuments ein von dem Vertrauensdiensteanbieteran ein mobiles Endgerät des Nutzers, insbesondere ein Mobiltelefon, gesendeter Signaturcode durch den Nutzer einzugeben ist, so dass nach einem Weiterleiten des eingegebenen Signaturcodes an den Vertrauensdiensteanbieter, bei einer Übereinstimmung von gesendetem und eingegebenem Signaturcode, der Vertrauensdiensteanbieter einen signierten Hashwert erstellt, der in Verbindung mit dem zu signierenden pdf-Datei eine qualifizierte elektronische Signatur bildet.
  11. Verfahren nach einem der vorhergehenden Ansprüche, wobei das mobile Endgerät des Nutzers, auf das der Signaturcode gesendet wird, dasjenige Endgerät ist, das dazu genutzt wird, die personenbezogenen Daten des Nutzers einzugeben.
DE102018133380.3A 2018-12-21 2018-12-21 Verfahren zum Erstellen einer qualifizierten elektronischen Signatur Pending DE102018133380A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018133380.3A DE102018133380A1 (de) 2018-12-21 2018-12-21 Verfahren zum Erstellen einer qualifizierten elektronischen Signatur

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018133380.3A DE102018133380A1 (de) 2018-12-21 2018-12-21 Verfahren zum Erstellen einer qualifizierten elektronischen Signatur

Publications (1)

Publication Number Publication Date
DE102018133380A1 true DE102018133380A1 (de) 2020-06-25

Family

ID=70969632

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018133380.3A Pending DE102018133380A1 (de) 2018-12-21 2018-12-21 Verfahren zum Erstellen einer qualifizierten elektronischen Signatur

Country Status (1)

Country Link
DE (1) DE102018133380A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1209579A1 (de) * 2000-11-21 2002-05-29 DR. Riccardo Genghini Studio Notarile Genghini System zur automatisierten Abwicklung von Transaktionen durch aktives Identitätsmanagement
WO2016050990A1 (en) * 2014-10-03 2016-04-07 Moqom Limited Identity and/or risk management system and method
US20170132631A1 (en) * 2006-10-31 2017-05-11 Gula Consulting Limited Liability Company System and method for user identity validation for online transactions

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1209579A1 (de) * 2000-11-21 2002-05-29 DR. Riccardo Genghini Studio Notarile Genghini System zur automatisierten Abwicklung von Transaktionen durch aktives Identitätsmanagement
US20170132631A1 (en) * 2006-10-31 2017-05-11 Gula Consulting Limited Liability Company System and method for user identity validation for online transactions
WO2016050990A1 (en) * 2014-10-03 2016-04-07 Moqom Limited Identity and/or risk management system and method

Similar Documents

Publication Publication Date Title
EP2966605B1 (de) Verfahren und System zur Authentifizierung eines Benutzers
DE102007014885B4 (de) Verfahren und Vorrichtung zur Steuerung eines Nutzerzugriffs auf einen in einem Datennetz bereitgestellten Dienst
DE102017000768A1 (de) Verfahren zum Durchführen einer Zweifaktorauthentifizierung
DE102017113529A1 (de) Verfahren und System zur Echtheitsprüfung einer vertrauenswürdigen Benutzeroberfläche
EP2632104B1 (de) Verfahren und Telekommunikationssystem zur Anmeldung eines Nutzers an einem gesicherten personalisierten IPTV-Dienst
EP1964042B1 (de) Verfahren zur vorbereitung einer chipkarte für elektronische signaturdienste
EP4224786A1 (de) Verfahren und vorrichtung zur erstellung elektronischer signaturen
EP1665184A1 (de) Verfahren zur abwicklung einer elektronischen transaktion
WO2013011043A1 (de) Mobiles system für finanztransaktionen
DE102018133380A1 (de) Verfahren zum Erstellen einer qualifizierten elektronischen Signatur
DE102009022381B4 (de) Verfahren zur webbasierten Personenidentifikation
EP3107029B1 (de) Verfahren und vorrichtung zum personalisierten elektronischen signieren eines dokuments und computerprogrammprodukt
DE10138381B4 (de) Computersystem und Verfahren zur Datenzugriffskontrolle
EP2920754B1 (de) Verfahren zur durchführung von transaktionen
WO2018146133A1 (de) Verfahren zum erkennen von unberechtigten kopien digitaler sicherheits-token
EP3435697B1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem diensteanbieter und authentisierungseinrichtung
DE102005001107A1 (de) Verfahren und Vorrichtung zum gesicherten Aufbauen einer Zugangsverbindung zu einem Netz eines Internetservice-Providers
EP2933974B1 (de) Verfahren zur telefonischen authentifizierung von benutzern privater oder öffentlicher netzwerke zum datenaustausch
EP3407234A1 (de) Vorrichtung und verfahren zum verifizieren einer identität einer person
DE102020134933A1 (de) Verfahren zum Erstellen einer qualifizierten elektronischen Signatur
WO2015114160A1 (de) Verfahren zur sicheren übertragung von zeichen
DE102020119512A1 (de) Verfahren zur Speicherung von verifizierten Identitätsdaten eines Endnutzers, Verfahren zur Bereitstellung von verifizierten Identitätsdaten an eine Akzeptanzstelle, Computerprogrammprodukt
EP2068530A1 (de) Verfahren und Kommunikationssystem zum Steuern des Zugangs zu Medieninhalten in Abhängigkeit des Alters eines Nutzers
EP2194499A1 (de) Verfahren zur Transaktionssicherung
EP3416119A1 (de) Verfahren und system zur echtheitsprüfung einer vertrauenswürdigen benutzeroberfläche

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: WBH WACHENHAUSEN PATENTANWAELTE PARTG MBB, DE