Ideen und Verfahren zur sicheren aber moeglichst einfachen Personenidentifizierung bei Online Registrierung gesucht
Wie sichert man sich selbst vor Missbrauch ohne es dem Kunden zu schwer oder umständlich zu machen?
Unser Unternehmen startet zum Jahresende mit einem neuen Internet-Service für den es wichtig sein wird, dass die Person auf die der Zugang angemeldet wird, sicher identifiziert werden kann.
Ursprünglich wollten wir eigentlich gar keine Daten sammeln sondern einzig eine Emailadresse an die wir die Zugangsdaten senden konnten. Doch Diskussionen über mögliche illegale Nutzung haben uns schnell wieder davon abkommen lassen.
Es soll in jedem Fall der Missbrauch durch speichern von Sittenwidrigen, Jugendgefährdenten und Menschenverachtenden (etc.) Inhalten gesichert sein. Um also einen solchen Missbrauch zu verhindern, ist es wichtig einen verantwortlichen greifen und zur Rechenschaft ziehen zu können, denn wirklich verhindern kann man es nicht.
Das ganze soll aber natürlich nicht extrem aufwendig sein, möglichst beiden Seiten keine ("großen") Kosten verursachen und einfach von beiden Seiten abgewickelt werden können. Kurzum, es soll eine Eierlegende Wollmilchsau werden...
Unserem kleinen Team sind dazu folgende Möglichkeiten eingefallen, die ich gerne hier mal mit euch diskutieren möchte.
Das waren bislang so unsere Ideen. Vielleicht hat aber der eine oder andere ja Interesse daran, seine Meinung zu äußern und weitere Möglichkeiten zu diskutieren. Es gibt auch nen Keks
Im besten Fall hat irgendwer sogar eine g*ile Idee auf die bei uns noch keiner gekommen ist und die alles andere in den Schatten stellt. Dann gibt’s auch ne Prin-zen-rol-le ! (Die Namesgleichheit oder Ähnlichkeit mit bekannten Keksprodukten ist reinzufällig).
Freu mich schon auf euch !
Schönes Wochenende allen.
VG, DerBiba
Unser Unternehmen startet zum Jahresende mit einem neuen Internet-Service für den es wichtig sein wird, dass die Person auf die der Zugang angemeldet wird, sicher identifiziert werden kann.
Ursprünglich wollten wir eigentlich gar keine Daten sammeln sondern einzig eine Emailadresse an die wir die Zugangsdaten senden konnten. Doch Diskussionen über mögliche illegale Nutzung haben uns schnell wieder davon abkommen lassen.
Es soll in jedem Fall der Missbrauch durch speichern von Sittenwidrigen, Jugendgefährdenten und Menschenverachtenden (etc.) Inhalten gesichert sein. Um also einen solchen Missbrauch zu verhindern, ist es wichtig einen verantwortlichen greifen und zur Rechenschaft ziehen zu können, denn wirklich verhindern kann man es nicht.
Das ganze soll aber natürlich nicht extrem aufwendig sein, möglichst beiden Seiten keine ("großen") Kosten verursachen und einfach von beiden Seiten abgewickelt werden können. Kurzum, es soll eine Eierlegende Wollmilchsau werden...
Unserem kleinen Team sind dazu folgende Möglichkeiten eingefallen, die ich gerne hier mal mit euch diskutieren möchte.
1. Identifizierung via PostIdent-Verfahren
Bislang noch die wohl sicherste Methode, da diese den Grundlagen der Signaturgesetzkonforme Identifikation entspricht und nur natürliche Personen identifiziert.- Vorteile: Hoher Schutz vor Fakern und Betrügern
- Nachteile: Aufwendig da insbesondere in ländlichen Gegenden nur sehr wenige Poststellen dieses Verfahren durchführen; Relativ teuer (ca. 8,00 Euro); Abhängig von Öffnungszeiten; Zeitaufwendig
2. Identifizierungsbestätigung durch Gemeinde- oder Stadtverwaltungen
Eine Alternative zum PostIdent, aber nicht unbedingt sicher, da die Mitarbeiter der Gemeinden/Stadtverwaltungen oft nicht hinreichend geschult sind.- Vorteile: Teilweise leichter zu erreichen, teilweise sogar kostenlos
- Nachteile: Ebenfalls recht aufwendig in ländlichen Gebieten; Abhängig von Öffnungszeiten; Zeitaufwendig
3. Identifizierungsbestätigung durch die eigene Bank
Angedacht ist das Verfahren soweit, dass die Bank eine schriftliche Anmeldebestätigung hinsichtlich der Angaben zur Person mittels Ausweis kontrolliert und bestätigt, das die o.g. Person in dieser Bank ein Bankkonto führt. Ob dieses Verfahren als sicher eingestuft werden kann, hat selbst der Leiter unserer Hausbank bezweifelt.- Vorteile: Viel leichter zu erreichen, da häufiger vertreten als Poststellen; Überwiegend kostenlos
- Nachteile: Abhängig von Öffnungszeiten; Zeitaufwendig; wird bei einigen Banken generell abgelehnt; relativ unsicher
4. Email-Signatur eines anerkannten Trustcenters
Damit kann leider nur die Emailadresse selbst identifiziert werden. Ein Problem insbesondere bei der überwiegenden Anzahl von Nutzern kostenloser Anbieter bei denen die Anmeldung mit fast jeglich erdachten Adressdaten möglich ist (die uns zur Kontrolle zudem eh nicht zur Verfügung stehen).- Vorteile: Sehr bequem für den Kunden
- Nachteile: Unsicher und nicht Hilfreich bei der Personenidentifizierung
5. Persönlicher Einschreibebrief mit Rückschein
Eine relativ einfache Methode, die allerdings nicht wirklich sicher und zu dem Vergleichsweise auf Menge hochgerechnet recht Kostenintensiv (ca. 6-8 Euro) ist. Zudem auch Arbeitsintensiv, da viel Papierkram bearbeitet werden muss und unsicher, da der Empfänger andere Personen mit dem Empfang beauftragen kann.- Vorteile: Bequem
- Nachteile: Kostenintensiv; Unsicher; Arbeitsaufwendig
6. IP-Logging und Kontrolle
Völlig unsicher, da die IP verändert werden kann (Stichwort TOR) und die Verfolgung somit sehr sehr schwer sein wird. Kann also für uns (oder den Staatsanwalt) nur eine zusätzliche Hilfestellung sein.- Vorteile: keine
- Nachteile: alle?
7. Elektronische Signatur gem. SigG
Die Glanzlösung schlecht hin. Damit lassen Sich die Daten zur Registrierung zB. via sigPDF in einer Email versenden und schnell kontrollieren.- Vorteile: Schnell; Sicher; Komfortabel; Bequem; usw.
- Nachteile: Ist bei den meisten, wohl auch wegen der recht hohen Kosten, so verbreitet wie heutzutage VW Käfer
8. Geldtransfer mit PIN Generierung
Um ein Bankkonto in Deutschland eröffnen zu können, ist die Vorlage eines Personalausweises notwendig. Somit ist die Person als Kontoinhaber eindeutig genug identifiziert. Und um die Verknüpfung vom Bankkonto zu den Daten der Person juristisch greifbar zu machen, würde ein Geldtransfer ausreichen, der ohne Kontrollen aber wirkungslos bleibt. Daher die Idee, einen fixen Betrag von zB. 0,01 Euro von uns auf das Konto einzuzahlen und damit eine PIN im Verwendungszweck zu hinterlassen und anschließend den gleichen Betrag wieder einzuziehen und eine zweite PIN zu generieren. Mit beiden Nummern kann dann die Onlineanmeldung abgeschlossen und die Person als Kontoinhaber identifiziert werden. Wer lässt schon andere an sein Online-Konto oder an seine Kontoauszüge ran? So erscheint uns diese Methode, wie sie glaub ich auch in gleicher oder ähnlicherweise bei PayPal angewendet wird, recht sicher.- Vorteile: Schnell; Bequem; Ziemlich sicher; Kostengünstig (wenige Cent an Gebühren für die Überweisung und Lastschrift)
- Nachteile: Der Kunde muss für die eingeräumte Testphase bereits seine Bankdaten bekannt geben
Das waren bislang so unsere Ideen. Vielleicht hat aber der eine oder andere ja Interesse daran, seine Meinung zu äußern und weitere Möglichkeiten zu diskutieren. Es gibt auch nen Keks
Im besten Fall hat irgendwer sogar eine g*ile Idee auf die bei uns noch keiner gekommen ist und die alles andere in den Schatten stellt. Dann gibt’s auch ne Prin-zen-rol-le ! (Die Namesgleichheit oder Ähnlichkeit mit bekannten Keksprodukten ist reinzufällig).
Freu mich schon auf euch !
Schönes Wochenende allen.
VG, DerBiba
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 89309
Url: https://administrator.de/contentid/89309
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
3 Kommentare
Neuester Kommentar
Ich würde
und dann hoffen, dass die bevorzugten Nutzer sich das auch gefallen lassen.
Eine einfache Alternative wäre, die Beiträge erst dann freizuschalten, wenn sie kontrolliert und als ok empfunden sind.
- Eine Detektei beauftragen
- Irisscan und Fingerabdruck vorlegen lassen, natürlich amtlich beglaubigt
- Amtliches Führungszeugnis verlangen
- lückenlosen Lebenslauf anfordern
und dann hoffen, dass die bevorzugten Nutzer sich das auch gefallen lassen.
Eine einfache Alternative wäre, die Beiträge erst dann freizuschalten, wenn sie kontrolliert und als ok empfunden sind.
Eine einfache Alternative wäre, die Beiträge erst dann freizuschalten, wenn sie
kontrolliert und als ok empfunden sind.
blubbi, du Pragmatiker, das wäre doch viel zu einfach.kontrolliert und als ok empfunden sind.
Viele Unternehmen haben erstmal fürchterliche Angst, wenn sie so einen Dienst aufsetzen. Letztlich gilt aber auch im Internet: Wer nicht wagt, der nicht gewinnt. Als Napster eröffnet wurde war auch klar, dass das irgendwann mal ganz ordentlich krachen wird mit dem Urheberrecht. Die Gründer sind trotzdem Multimillionäre (Milliadäre?). Und im SchülerVZ werden mit Sicherheit pädophile auftauchen. Und auch in diesem Forum hier wird sich irgendwer irgendwas falsches sagen. So ist das nunmal. Also: _Braucht_ ihr wirklich einen so hohen Schutz?
Was soll denn eine "Identifizierungsbestätigung durch Gemeinde- oder Stadtverwaltungen" sein? Der Nutzer geht mit einem Wisch hin, kriegt ein Stempelchen und schickt den Wisch dann an euch? Na super, ich werde kein Kunde. Außer natürlich: ich fälsche den Stempel einfach. Wie wollt ihr das denn feststellen?
Gruß
Filipp
Ich hab jetzt keine Ahnung wobei es bei dem Service den ihr anbietet konkret geht.
Wenn es nur eine Art Forum oder sowas ist ist alles was über eine einfache Registrierung und Bestätigung z. B. per e-mail Aktivierungslink hinausgeht zu aufwendig.
Wenn die eindeutige Identität des Users unbedingt authentisch sein muss könnte man dennoch diesen Weg gehen, jedoch keine mail-adressen von web.de, yahoo, gmx usw akzeptieren sondern z.B. nur mail adressen die eindeutig (`?) einer Person zuordenbar sind, z. b. max. mayer@firma.de
Ansonsten wären noch Zertifikate denkbar die zur Authentisierung des Users beim Zugriff nutzbar wären.
Damit der User sein Zertifikat bekommt muss er sich mit Personalausweis ausweisen.
Oder aber One-Time Passwords wie RSA SecurID oder auch Smartcard, das kostet aber wieder Unsummen.
Wenn es nur eine Art Forum oder sowas ist ist alles was über eine einfache Registrierung und Bestätigung z. B. per e-mail Aktivierungslink hinausgeht zu aufwendig.
Wenn die eindeutige Identität des Users unbedingt authentisch sein muss könnte man dennoch diesen Weg gehen, jedoch keine mail-adressen von web.de, yahoo, gmx usw akzeptieren sondern z.B. nur mail adressen die eindeutig (`?) einer Person zuordenbar sind, z. b. max. mayer@firma.de
Ansonsten wären noch Zertifikate denkbar die zur Authentisierung des Users beim Zugriff nutzbar wären.
Damit der User sein Zertifikat bekommt muss er sich mit Personalausweis ausweisen.
Oder aber One-Time Passwords wie RSA SecurID oder auch Smartcard, das kostet aber wieder Unsummen.