derbiba
Goto Top

Ideen und Verfahren zur sicheren aber moeglichst einfachen Personenidentifizierung bei Online Registrierung gesucht

Wie sichert man sich selbst vor Missbrauch ohne es dem Kunden zu schwer oder umständlich zu machen?

Unser Unternehmen startet zum Jahresende mit einem neuen Internet-Service für den es wichtig sein wird, dass die Person auf die der Zugang angemeldet wird, sicher identifiziert werden kann.

Ursprünglich wollten wir eigentlich gar keine Daten sammeln sondern einzig eine Emailadresse an die wir die Zugangsdaten senden konnten. Doch Diskussionen über mögliche illegale Nutzung haben uns schnell wieder davon abkommen lassen.

Es soll in jedem Fall der Missbrauch durch speichern von Sittenwidrigen, Jugendgefährdenten und Menschenverachtenden (etc.) Inhalten gesichert sein. Um also einen solchen Missbrauch zu verhindern, ist es wichtig einen verantwortlichen greifen und zur Rechenschaft ziehen zu können, denn wirklich verhindern kann man es nicht.

Das ganze soll aber natürlich nicht extrem aufwendig sein, möglichst beiden Seiten keine ("großen") Kosten verursachen und einfach von beiden Seiten abgewickelt werden können. Kurzum, es soll eine Eierlegende Wollmilchsau werden...

Unserem kleinen Team sind dazu folgende Möglichkeiten eingefallen, die ich gerne hier mal mit euch diskutieren möchte.


back-to-top1. Identifizierung via PostIdent-Verfahren
Bislang noch die wohl sicherste Methode, da diese den Grundlagen der Signaturgesetzkonforme Identifikation entspricht und nur natürliche Personen identifiziert.
  • Vorteile: Hoher Schutz vor Fakern und Betrügern
  • Nachteile: Aufwendig da insbesondere in ländlichen Gegenden nur sehr wenige Poststellen dieses Verfahren durchführen; Relativ teuer (ca. 8,00 Euro); Abhängig von Öffnungszeiten; Zeitaufwendig


back-to-top2. Identifizierungsbestätigung durch Gemeinde- oder Stadtverwaltungen
Eine Alternative zum PostIdent, aber nicht unbedingt sicher, da die Mitarbeiter der Gemeinden/Stadtverwaltungen oft nicht hinreichend geschult sind.
  • Vorteile: Teilweise leichter zu erreichen, teilweise sogar kostenlos
  • Nachteile: Ebenfalls recht aufwendig in ländlichen Gebieten; Abhängig von Öffnungszeiten; Zeitaufwendig


back-to-top3. Identifizierungsbestätigung durch die eigene Bank
Angedacht ist das Verfahren soweit, dass die Bank eine schriftliche Anmeldebestätigung hinsichtlich der Angaben zur Person mittels Ausweis kontrolliert und bestätigt, das die o.g. Person in dieser Bank ein Bankkonto führt. Ob dieses Verfahren als sicher eingestuft werden kann, hat selbst der Leiter unserer Hausbank bezweifelt.
  • Vorteile: Viel leichter zu erreichen, da häufiger vertreten als Poststellen; Überwiegend kostenlos
  • Nachteile: Abhängig von Öffnungszeiten; Zeitaufwendig; wird bei einigen Banken generell abgelehnt; relativ unsicher


back-to-top4. Email-Signatur eines anerkannten Trustcenters
Damit kann leider nur die Emailadresse selbst identifiziert werden. Ein Problem insbesondere bei der überwiegenden Anzahl von Nutzern kostenloser Anbieter bei denen die Anmeldung mit fast jeglich erdachten Adressdaten möglich ist (die uns zur Kontrolle zudem eh nicht zur Verfügung stehen).
  • Vorteile: Sehr bequem für den Kunden
  • Nachteile: Unsicher und nicht Hilfreich bei der Personenidentifizierung


back-to-top5. Persönlicher Einschreibebrief mit Rückschein
Eine relativ einfache Methode, die allerdings nicht wirklich sicher und zu dem Vergleichsweise auf Menge hochgerechnet recht Kostenintensiv (ca. 6-8 Euro) ist. Zudem auch Arbeitsintensiv, da viel Papierkram bearbeitet werden muss und unsicher, da der Empfänger andere Personen mit dem Empfang beauftragen kann.
  • Vorteile: Bequem
  • Nachteile: Kostenintensiv; Unsicher; Arbeitsaufwendig


back-to-top6. IP-Logging und Kontrolle
Völlig unsicher, da die IP verändert werden kann (Stichwort TOR) und die Verfolgung somit sehr sehr schwer sein wird. Kann also für uns (oder den Staatsanwalt) nur eine zusätzliche Hilfestellung sein.
  • Vorteile: keine
  • Nachteile: alle?


back-to-top7. Elektronische Signatur gem. SigG
Die Glanzlösung schlecht hin. Damit lassen Sich die Daten zur Registrierung zB. via sigPDF in einer Email versenden und schnell kontrollieren.
  • Vorteile: Schnell; Sicher; Komfortabel; Bequem; usw.
  • Nachteile: Ist bei den meisten, wohl auch wegen der recht hohen Kosten, so verbreitet wie heutzutage VW Käfer


back-to-top8. Geldtransfer mit PIN Generierung
Um ein Bankkonto in Deutschland eröffnen zu können, ist die Vorlage eines Personalausweises notwendig. Somit ist die Person als Kontoinhaber eindeutig genug identifiziert. Und um die Verknüpfung vom Bankkonto zu den Daten der Person juristisch greifbar zu machen, würde ein Geldtransfer ausreichen, der ohne Kontrollen aber wirkungslos bleibt. Daher die Idee, einen fixen Betrag von zB. 0,01 Euro von uns auf das Konto einzuzahlen und damit eine PIN im Verwendungszweck zu hinterlassen und anschließend den gleichen Betrag wieder einzuziehen und eine zweite PIN zu generieren. Mit beiden Nummern kann dann die Onlineanmeldung abgeschlossen und die Person als Kontoinhaber identifiziert werden. Wer lässt schon andere an sein Online-Konto oder an seine Kontoauszüge ran? So erscheint uns diese Methode, wie sie glaub ich auch in gleicher oder ähnlicherweise bei PayPal angewendet wird, recht sicher.
  • Vorteile: Schnell; Bequem; Ziemlich sicher; Kostengünstig (wenige Cent an Gebühren für die Überweisung und Lastschrift)
  • Nachteile: Der Kunde muss für die eingeräumte Testphase bereits seine Bankdaten bekannt geben


Das waren bislang so unsere Ideen. Vielleicht hat aber der eine oder andere ja Interesse daran, seine Meinung zu äußern und weitere Möglichkeiten zu diskutieren. Es gibt auch nen Keks face-smile
Im besten Fall hat irgendwer sogar eine g*ile Idee auf die bei uns noch keiner gekommen ist und die alles andere in den Schatten stellt. Dann gibt’s auch ne Prin-zen-rol-le ! (Die Namesgleichheit oder Ähnlichkeit mit bekannten Keksprodukten ist reinzufällig).

Freu mich schon auf euch !

Schönes Wochenende allen.

VG, DerBiba

Content-ID: 89309

Url: https://administrator.de/contentid/89309

Ausgedruckt am: 25.11.2024 um 16:11 Uhr

65627
65627 06.06.2008 um 15:55:35 Uhr
Goto Top
Ich würde

  • Eine Detektei beauftragen
  • Irisscan und Fingerabdruck vorlegen lassen, natürlich amtlich beglaubigt
  • Amtliches Führungszeugnis verlangen
  • lückenlosen Lebenslauf anfordern

und dann hoffen, dass die bevorzugten Nutzer sich das auch gefallen lassen. face-smile

Eine einfache Alternative wäre, die Beiträge erst dann freizuschalten, wenn sie kontrolliert und als ok empfunden sind.
filippg
filippg 06.06.2008 um 20:12:04 Uhr
Goto Top
Eine einfache Alternative wäre, die Beiträge erst dann freizuschalten, wenn sie
kontrolliert und als ok empfunden sind.
blubbi, du Pragmatiker, das wäre doch viel zu einfach.

Viele Unternehmen haben erstmal fürchterliche Angst, wenn sie so einen Dienst aufsetzen. Letztlich gilt aber auch im Internet: Wer nicht wagt, der nicht gewinnt. Als Napster eröffnet wurde war auch klar, dass das irgendwann mal ganz ordentlich krachen wird mit dem Urheberrecht. Die Gründer sind trotzdem Multimillionäre (Milliadäre?). Und im SchülerVZ werden mit Sicherheit pädophile auftauchen. Und auch in diesem Forum hier wird sich irgendwer irgendwas falsches sagen. So ist das nunmal. Also: _Braucht_ ihr wirklich einen so hohen Schutz?
Was soll denn eine "Identifizierungsbestätigung durch Gemeinde- oder Stadtverwaltungen" sein? Der Nutzer geht mit einem Wisch hin, kriegt ein Stempelchen und schickt den Wisch dann an euch? Na super, ich werde kein Kunde. Außer natürlich: ich fälsche den Stempel einfach. Wie wollt ihr das denn feststellen?

Gruß

Filipp
spacyfreak
spacyfreak 06.06.2008 um 22:40:13 Uhr
Goto Top
Ich hab jetzt keine Ahnung wobei es bei dem Service den ihr anbietet konkret geht.

Wenn es nur eine Art Forum oder sowas ist ist alles was über eine einfache Registrierung und Bestätigung z. B. per e-mail Aktivierungslink hinausgeht zu aufwendig.

Wenn die eindeutige Identität des Users unbedingt authentisch sein muss könnte man dennoch diesen Weg gehen, jedoch keine mail-adressen von web.de, yahoo, gmx usw akzeptieren sondern z.B. nur mail adressen die eindeutig (`?) einer Person zuordenbar sind, z. b. max. mayer@firma.de

Ansonsten wären noch Zertifikate denkbar die zur Authentisierung des Users beim Zugriff nutzbar wären.
Damit der User sein Zertifikat bekommt muss er sich mit Personalausweis ausweisen.

Oder aber One-Time Passwords wie RSA SecurID oder auch Smartcard, das kostet aber wieder Unsummen.