Ideen und Verfahren zur sicheren aber moeglichst einfachen Personenidentifizierung bei Online Registrierung gesucht

Unser Unternehmen startet zum Jahresende mit einem neuen Internet-Service für den es wichtig sein wird, dass die Person auf die der Zugang angemeldet wird, sicher identifiziert werden kann.

Ursprünglich wollten wir eigentlich gar keine Daten sammeln sondern einzig eine Emailadresse an die wir die Zugangsdaten senden konnten. Doch Diskussionen über mögliche illegale Nutzung haben uns schnell wieder davon abkommen lassen.

Es soll in jedem Fall der Missbrauch durch speichern von Sittenwidrigen, Jugendgefährdenten und Menschenverachtenden (etc.) Inhalten gesichert sein. Um also einen solchen Missbrauch zu verhindern, ist es wichtig einen verantwortlichen greifen und zur Rechenschaft ziehen zu können, denn wirklich verhindern kann man es nicht.

Das ganze soll aber natürlich nicht extrem aufwendig sein, möglichst beiden Seiten keine ("großen") Kosten verursachen und einfach von beiden Seiten abgewickelt werden können. Kurzum, es soll eine Eierlegende Wollmilchsau werden...

Unserem kleinen Team sind dazu folgende Möglichkeiten eingefallen, die ich gerne hier mal mit euch diskutieren möchte.

1. Identifizierung via PostIdent-Verfahren

Bislang noch die wohl sicherste Methode, da diese den Grundlagen der Signaturgesetzkonforme Identifikation entspricht und nur natürliche Personen identifiziert.

• Vorteile: Hoher Schutz vor Fakern und Betrügern
• Nachteile: Aufwendig da insbesondere in ländlichen Gegenden nur sehr wenige Poststellen dieses Verfahren durchführen; Relativ teuer (ca. 8,00 Euro); Abhängig von Öffnungszeiten; Zeitaufwendig

2. Identifizierungsbestätigung durch Gemeinde- oder Stadtverwaltungen

Eine Alternative zum PostIdent, aber nicht unbedingt sicher, da die Mitarbeiter der Gemeinden/Stadtverwaltungen oft nicht hinreichend geschult sind.

• Vorteile: Teilweise leichter zu erreichen, teilweise sogar kostenlos
• Nachteile: Ebenfalls recht aufwendig in ländlichen Gebieten; Abhängig von Öffnungszeiten; Zeitaufwendig

3. Identifizierungsbestätigung durch die eigene Bank

Angedacht ist das Verfahren soweit, dass die Bank eine schriftliche Anmeldebestätigung hinsichtlich der Angaben zur Person mittels Ausweis kontrolliert und bestätigt, das die o.g. Person in dieser Bank ein Bankkonto führt. Ob dieses Verfahren als sicher eingestuft werden kann, hat selbst der Leiter unserer Hausbank bezweifelt.

• Vorteile: Viel leichter zu erreichen, da häufiger vertreten als Poststellen; Überwiegend kostenlos
• Nachteile: Abhängig von Öffnungszeiten; Zeitaufwendig; wird bei einigen Banken generell abgelehnt; relativ unsicher

4. Email-Signatur eines anerkannten Trustcenters

Damit kann leider nur die Emailadresse selbst identifiziert werden. Ein Problem insbesondere bei der überwiegenden Anzahl von Nutzern kostenloser Anbieter bei denen die Anmeldung mit fast jeglich erdachten Adressdaten möglich ist (die uns zur Kontrolle zudem eh nicht zur Verfügung stehen).

• Vorteile: Sehr bequem für den Kunden
• Nachteile: Unsicher und nicht Hilfreich bei der Personenidentifizierung

5. Persönlicher Einschreibebrief mit Rückschein

Eine relativ einfache Methode, die allerdings nicht wirklich sicher und zu dem Vergleichsweise auf Menge hochgerechnet recht Kostenintensiv (ca. 6-8 Euro) ist. Zudem auch Arbeitsintensiv, da viel Papierkram bearbeitet werden muss und unsicher, da der Empfänger andere Personen mit dem Empfang beauftragen kann.

• Vorteile: Bequem
• Nachteile: Kostenintensiv; Unsicher; Arbeitsaufwendig

6. IP-Logging und Kontrolle

Völlig unsicher, da die IP verändert werden kann (Stichwort TOR) und die Verfolgung somit sehr sehr schwer sein wird. Kann also für uns (oder den Staatsanwalt) nur eine zusätzliche Hilfestellung sein.

• Vorteile: keine
• Nachteile: alle?

7. Elektronische Signatur gem. SigG

Die Glanzlösung schlecht hin. Damit lassen Sich die Daten zur Registrierung zB. via sigPDF in einer Email versenden und schnell kontrollieren.

• Vorteile: Schnell; Sicher; Komfortabel; Bequem; usw.
• Nachteile: Ist bei den meisten, wohl auch wegen der recht hohen Kosten, so verbreitet wie heutzutage VW Käfer

8. Geldtransfer mit PIN Generierung

Um ein Bankkonto in Deutschland eröffnen zu können, ist die Vorlage eines Personalausweises notwendig. Somit ist die Person als Kontoinhaber eindeutig genug identifiziert. Und um die Verknüpfung vom Bankkonto zu den Daten der Person juristisch greifbar zu machen, würde ein Geldtransfer ausreichen, der ohne Kontrollen aber wirkungslos bleibt. Daher die Idee, einen fixen Betrag von zB. 0,01 Euro von uns auf das Konto einzuzahlen und damit eine PIN im Verwendungszweck zu hinterlassen und anschließend den gleichen Betrag wieder einzuziehen und eine zweite PIN zu generieren. Mit beiden Nummern kann dann die Onlineanmeldung abgeschlossen und die Person als Kontoinhaber identifiziert werden. Wer lässt schon andere an sein Online-Konto oder an seine Kontoauszüge ran? So erscheint uns diese Methode, wie sie glaub ich auch in gleicher oder ähnlicherweise bei PayPal angewendet wird, recht sicher.

• Vorteile: Schnell; Bequem; Ziemlich sicher; Kostengünstig (wenige Cent an Gebühren für die Überweisung und Lastschrift)
• Nachteile: Der Kunde muss für die eingeräumte Testphase bereits seine Bankdaten bekannt geben

Das waren bislang so unsere Ideen. Vielleicht hat aber der eine oder andere ja Interesse daran, seine Meinung zu äußern und weitere Möglichkeiten zu diskutieren. Es gibt auch nen Keks
Im besten Fall hat irgendwer sogar eine g*ile Idee auf die bei uns noch keiner gekommen ist und die alles andere in den Schatten stellt. Dann gibt’s auch ne Prin-zen-rol-le ! (Die Namesgleichheit oder Ähnlichkeit mit bekannten Keksprodukten ist reinzufällig).

Freu mich schon auf euch !

Schönes Wochenende allen.

VG, DerBiba