Konvergenz und Divergenz der sicheren Authentisierung im E-Government und Online-Banking im europäischen Vergleich
Zusammenfassung der Projektergebnisse
Die Sorge um die Sicherheit von Online-Transaktionen im E-Government und im Online-Banking hielt und hält Menschen ab, diese Möglichkeiten zu nutzen. Daher bemühen sich die Verantwortlichen in beiden Bereichen um Verbesserungen. In den 1990er Jahren boten kryptografische Verschlüsselungsverfahren und eine EU-Richtlinie über elektronische Signaturen neue Möglichkeiten, die üblichen Verfahren Benutzername/Password im E-Government und PIN/TAN im Online-Banking durch wesentlich sicherere Verfahren zu ergänzen oder zu ersetzen. Da Schlüssel und Zertifikate für sichere elektronische Unterschriften auf Chipkarten gespeichert werden müssen und für den Einsatz spezielle Kartenleser erforderlich sind, ist die Umstellung auf der Nutzerseite eine radikale Innovation. Außerdem entstehen mit den Zertifizierungsstellen (Trust Centern) zusätzliche Kosten. In einigen EU-Ländern kam die Idee auf, dass dieser Wandel am besten gelingen könnte, wenn im E-Government und im Online-Banking dieselben elektronischen Signaturen, Zertifikate und Chipkarten eingesetzt werden können. In der Praxis wurden bei gleicher Zielsetzung z.B. in Deutschland, Österreich und Schweden ganz unterschiedliche Wege zu dieser Konvergenz beschritten. In Deutschland wurde zwar zwischen mehreren Institutionen der Kreditwirtschaft und den Bundesministerien des Inneren und für Wirtschaft ein Signaturbündnis geschlossen und die wechselseitige Anerkennung von elektronischen Signaturen vereinbart, doch in der Praxis ist es nie dazu gekommen. In Schweden hat die Regierung Dienstleistungen zu elektronischen Signaturen für die gesamte Verwaltung in einem Rahmenvertrag gebündelt und über eine Ausschreibung an mehrere Konsortien mit maßgeblicher Beteiligung von Banken vergeben. Daher kann man dort mit der BankID sowohl seine Bankgeschäfte online erledigen als auch E-Government-Dienste in Anspruch nehmen. In Österreich wurde der umgekehrte Weg verfolgt, die staatlich subventionierte Bürgerkarte auch im Online-Banking nutzbar zu machen und Banken als Registrierungsstellen zu gewinnen. Mit wenigen Ausnahmen ist es dazu jedoch nicht oder nur vorübergehend gekommen. In dem Projekt wurden mit Hilfe von Experteninterviews maßgeblicher Akteure diese Entwicklungen von den ersten Überlegungen bis heute rekonstruiert. In Deutschland und Österreich wurde zu klären versucht, warum die Konvergenzbemühungen gescheitert sind. In Deutschland gelten elektronische Signaturen heute im E-Government offiziell als gescheitert und im Online-Banking werden die signaturbasierten HBCI-Verfahren Privatkunden kaum angeboten. Ein immer wieder angeführter Grund ist die geringere Nutzungsfreundlichkeit. Diese These wurde in einem praktischen Vergleich der Verfahren von drei verschiedenen Banken geprüft und widerlegt. Eine Bank kann PIN/TAN und HBCI-Verfahren einfacher oder umständlicher implementieren. Das überraschende Ergebnis des Vergleichs war, dass der Unterschied in der Anzahl der erforderlichen Schritte bei drei verschiedenen Implementierungen von HBCI-Verfahren größer war als der Unterschied zu manchen PIN/TAN Verfahren. Daher kann man nicht von einem unabänderlichen Zielkonflikt zwischen Sicherheit und Nutzungsfreundlichkeit (Usability) sprechen, wie dies in der wissenschaftlichen Literatur teilweise behauptet wird. Der zweite überraschende Befund betrifft die Entwicklung in Schweden. Während das Konsortium, das die BankID anbietet, von einem enormen Erfolg spricht, weil zwei Drittel der erwachsenen Bevölkerung eine BankID besitzen und monatlich mehr als 6 Mio. Transaktionen zu verzeichnen sind, will die Regierung die Rahmenverträge nicht verlängern und das System umstellen. Einer der Gründe liegt darin, dass der genannte Erfolg fast ausschließlich im Online-Banking stattfindet und die Nutzung von E-Government-Diensten von der Konvergenz nicht profitiert hat. Dies wirft die Frage auf, ob die Konvergenz-Idee nicht vielleicht bestehende Unterschiede zwischen E-Government-Diensten und Online-Banking insbesondere aus der Nutzersucht übersehen hat.
Projektbezogene Publikationen (Auswahl)
-
Sicherheit im Online-Banking PIN/TAN und HBCI im magischen Dreieck aus Sicherheit, Kosten und einfacher Bedienbarkeit. Wiesbaden: Springer Vieweg 2015
Kubicek, Herbert und Diederich, Günther