Frank Arretz (Hrsg.): Digitale Authentifizierung. Finanz Colloquium Heidelberg, Heidelberg, 2022. 84 S., 59 €.
Das Buch „Digitale Authentifizierung“ ist in sechs eigenständige Themenbereiche unterteilt und stellt auf 84 Seiten zentrale Aspekte der digitalen Authentifizierung vor. Die sieben Autoren betrachten das Thema aus unterschiedlichen Blickwickeln und gehen auf konkrete Herausforderungen und Lösungsansätze für die Einsatzbereiche der digitalen Authentifizierung ein.
Im ersten Artikel befasst sich der Herausgeber mit den gesetzlichen Anforderungen an die digitale Authentifizierung. Dabei geht er in leicht verständlicher Form über die Kundenauthentifizierung, die Regulierungsstandards bis hin zu konkreten Sicherheitsanforderungen auf die vielfältigen Aspekte der digitalen Authentifizierung ein. Nicht zuletzt wird auch Bezug genommen auf aktuelle Konsultationen der BaFin und einschlägige technische Regulierungsstandards wie der PSD II, das Zahlungsverkehrsrecht (ZAG) und den „Regulatory Technical Standards“ (RTS) der EU. Der Leser findet in diesem Kapitel sowohl konkrete Hinweise zur Umsetzung der gesetzlichen Anforderungen als auch die erforderlichen technischen und gesetzlichen Hintergrundinformationen. Die wesentlichen Themen werden mit Querverweisen zu Gerichtsurteilen und Quellverweisen unterlegt. So wird dem Leser auf wenigen Seiten nicht nur eine umfassende Darstellung des Themenkomplexes geboten, sondern auch die Möglichkeit sich anhand der Querverweise tiefer in die Materie einzulesen.
Im Folgenden befasst sich der Autor mit den datenschutzrechtlichen Aspekten der digitalen Authentifizierung im Spannungsfeld des ZAG, der PSD II und der DSGVO.
Im dritten Kapitel behandelt der Autor Michael R. Kissler die Aspekte der „digitalen Identität“ und deren Bedeutung für die digitale Wirtschaft. Insbesondere werden die Prozesse zur Erstidentifizierung eines Kunden thematisiert. Die gängigen Verfahren Postident, Video-Ident, eID und die qualifizierte elektronische Signatur werden ausführlich besprochen. Wobei auch die Nutzbarkeit der gespeicherten elektronischen Identitäten thematisiert wird. Hier vertritt der Autor die interessante These, dass die Informationen der digitalen Identitäten durchaus mit den Informationen, die im Rahmen der KYC-Prozesse erhoben wurden, verknüpft werden dürfen. Damit könnten institutsübergreifende Plattformen geschaffen werden, sodass aus „Know Your Customer“ ein „Share Your Customer“ auf der Basis der digitalen Identitäten werden könnte. Der Autor verbindet damit die theoretischen Aspekte des Themas zu sehr interessanten und praxisbezogenen Anwendungsbeispielen. Im Ausblick geht der Autor auf neue Entwicklungen wie das „Open Banking“ und technischen Umsetzungen wie das „Single Sign on“ ein. Dies stets unter dem Aspekt der wirtschaftlichen und prozessualen Vorteile für die Institute.
Im vierten Kapitel stellen die Autoren Markus Hertlein und Alexander Stöhr die Entwicklungsdynamik, die Zukunft und moderne Lösungsansätze der digitalen Authentifizierung vor. Nach einer gut verständlichen Definition der für das Verständnis der Thematik erforderlichen Grundbegriffe beschreiben die Autoren die Klassen der Authentisierungsmittel – Wissen, Besitz und Inhärenz/Sein – anhand praktischer Anwendungsbeispiele. Mit diesen Grundkenntnissen der Authentisierung ausgestattet, wird dem Leser die Evolution der Authentifizierung dargelegt. Wobei es den Autoren stets gelingt, dieses sehr komplexe Thema in leicht verständlicher Form zu vermitteln. Die Autoren gehen aber nicht nur auf die theoretischen Grundlagen ein, sondern beschreiben auch die vielfältigen praktischen Einsatzgebiete der digitalen Authentifizierung. Dabei gehen sie auf die technischen und organisatorischen Anforderungen im Hinblick auf die Sicherheit und Praktikabilität der eingesetzten Verfahren ein. Insbesondere die umfassende Darstellung des Nutzens der digitalen Authentifizierung zur Reduzierung von Informationssicherheits-Risiken bringt einen hohen Mehrwert für den Leser. Die Autoren beschreiben die jeweiligen Risiken und auch die von Cyber-Kriminellen genutzten Angriffsvektoren in einer gut verständlichen Form. Auch das Spannungsfeld regulatorischer und hoher Security-Anforderungen vs. Benutzerfreundlichkeit, Teilhabe und Barrierefreiheit wird behandelt. Im Folgenden stellen die Autoren die Verordnung der EU über „elektronische Identifizierungsdienste für elektronische Transaktionen im Binnenmarkt“ mit praktischen Anwendungsfällen vor. Das Kapitel bietet einen umfassenden und wegen des hohen Praxisbezugs, durchaus spannenden Überblick über das Thema.
Im fünften Kapitel stellt die Autorin Petra Waldmüller-Schantz die existierenden Infrastrukturen zur Nutzung der digitalen Authentifizierung vor. Gängige Verfahren wie der „Online-Ausweis“ und die „Smart-eID“ werden vorgestellt. Wobei die Autorin auch den Nutzen für öffentliche Verwaltungen und den Finanzsektor thematisiert. Im Folgenden behandelt der Autor Hartje Bruns die mobile Authentisierung und deren Aufbau.
Im sechsten Kapitel beschreibt der Autor Tobias Eiss die Automatisierung von KYC-Prozessen für den B2B-Sektor unter Einhaltung des Geldwäschegesetzes. Der Autor stellt dabei die Chancen einer Automatisierung von Prozessen dar, die bei der Nutzung der digitalen Authentifizierung entstehen. Dabei werden digitale Antragsstrecken und deren Automatisierungsmöglichkeiten beschrieben. Dem Leser gibt der Autor einen weitreichenden praxisbezogenen Einblick in die Chancen der digitalen Transformation und der damit möglichen Automatisierung von KYC-Prozessen.
Insgesamt gibt das Buch einen umfassenden, sehr konkreten und praxisbezogenen Einblick in die Thematik der digitalen Authentifizierung. Es versetzt den Leser in sehr kompakter Form in die Lage, sich mit dem Themengebiet und den Anforderungen in seinem beruflichen Umfeld konkret auseinanderzusetzen. Damit kann der Leser dieses Buch nicht nur als kompaktes Nachschlagewerk nutzen, sondern auch ganz konkrete Arbeitsschritte bei der Umsetzung von Digitalisierungsprojekten ableiten. Das Buch stellt hochkomplexe theoretische Sachverhalte in gut verständlicher Form und mit einem hohen Praxisbezug dar. Damit ist das Buch auch ein gelungenes Werk für jeden Einsteiger in das Thema.
Andreas Hessel, CISO und Leiter Informationssicherheitsmanagement, SaarLB Saarbrücken. Inhaber Hessel Consulting
Beitragsnummer: 19583