Für diesen Schurkenstreich muß Wells Fargo tief in die Tasche greifen: Umgerechnet gut 2,8 Milliarden Euro erklärte sich die zweitgrößte Bank der Welt Mitte Februar als Strafe zu zahlen bereit, um eine seit Jahren schwelende Untersuchung der US-Finanzbehörde zum vorläufigen Abschluß zu bringen. Allein 500 Millionen US-Dollar seien davon für geschädigte Kunden der Bank vorgesehen. Der Rest würde als Strafzahlung an die Regierung der Vereinigten Staaten gehen. Zeitgleich wurde John Stumpf, der von 2005 bis 2016 den Vorsitz über die Bank führte, zu einer Zahlung von 17,5 Millionen US-Dollar verurteilt sowie mit lebenslangem Berufsverbot im Finanzsektor belegt.
Daß Finanzhäuser ihre Bilanzen beschönigen, um den Aktienkurs zu stabilisieren, war die weniger überraschende Nachricht dieser Tage. Als eigentlichen Skandal werten Prozeßbeobachter den massenhaften Identitätsdiebstahl ihrer Klienten durch eine Großbank, die von der US-Regierung jüngst noch für „systemrelevant“ erklärt wurde. Mehr als 3,5 Millionen Kunden sollen schätzungsweise vom illegalen Vorgehen Wells Fargos betroffen worden sein.
Dabei sind es gerade die Banken, denen auch von deutschen Experten das große Vertrauen einer Vorreiterrolle in der Einrichtung und Bereitstellung sogenannter „digitaler Identitäten“ geschenkt wird.
Immer mehr Lebensbereiche werden anonymisiert
Denn letztere werden in der zunehmenden Verflechtung von Globalisierung und Digitalisierung nicht nur auf dem großen Finanzparkett, sondern gerade im Alltag des einzelnen Bürgers immer mehr an Bedeutung gewinnen: als Legitimation in der virtuellen Welt, daß man auch ist, wen man vorzugeben behauptet. Was auf den ersten Blick wie eine Spielerei klingen mag, hat einen sehr ernsten Hintergrund und soll gerade vor Betrug und Diebstahl wie jenem schützen, den Wells Fargo seit der Jahrtausendwende massiv begangen hat.
Im realen Leben begleitet seine Identität den Bürger auf Schritt und Tritt: als Chipkarte oder Reisepaß, als Führerschein, Daumenabdruck oder Geburtsurkunde. Hier lassen sich Identitäten oftmals rasch und bequem feststellen: Zumeist genügt ein Abgleich des Fotos mit dem Gesicht, der Wohnadresse und des Geburtsdatums mit den persönlichen Angaben oder auch eine behördlich ausgestellte Bestätigung der eigenen Person. Der Identitätsnachweis in der realen Welt unterliegt den Faktoren der Glaubhaftigkeit und der Sinneseindrücke.
Uns von unserem Gegenüber als ident bestätigen zu lassen, benötigt von daher meist nur wenige Sekunden Zeit und ist mittlerweile integraler Bestandteil unserer Alltagshandlungen geworden; ob im Supermarkt an der Kasse, wo wir mit der Unterschrift zu unserer Bankkarte unsere Einkäufe bezahlen, oder beim Pendeln mit der Bahn, wo dem Schaffner ein Blick auf den Personalausweis genügt, um die Monatskarte zuzuordnen.
Was im analogen Leben zumindest auf den ersten Blick recht simpel erscheint, kommt in der Welt der Bits und Bytes einer gefährlichen Gratwanderung gleich: „Ein Abgrenzungsmerkmal zwischen realen und digitalen Identitäten ist, daß bei digitalen Identitäten wesentlich größere externe Einfluß- und Manipulationsmöglichkeiten bestehen“, warnt der IT-Journalist Stefan Luber auf dem Fachblog Security Insider vor einer Vielfalt möglicher Straftaten, die mit der unzureichenden Absicherung einer digitalen Identität einhergehen können. „Zudem können sich Personen oft problemlos mehrere digitale Identitäten gleichzeitig zulegen.“ Und nicht nur die Personen selbst, wie der jüngste Vorfall um die Großbank Wells Fargo eindrucksvoll unter Beweis gestellt hatte – die multiple Wechselwirkung von Sicherheitslücken und Transparenzmangel öffnet Kriminellen die Scheunentore für Betrug und Identitätsdiebstahl.
Doch auch im Zeitalter der gesellschaftlichen Transformation vom stationären zum digitalen Handel haben Kunden wie Händler ein nachvollziehbares Bedürfnis nach Sicherheit; nach Absicherung der realen Identität ihrer Klienten und Handelspartner. Immerhin betrug das Volumen der im Internet geschlossenen Kaufverträge vom Lebensmittel bis hin zu Schmuck und Pflegeprodukten bereits 2016 allein für Deutschland über 44 Milliarden Euro. Ein Trend, der noch immer mit prozentualen Wachstumsraten in zweistelliger Höhe anhält. Der Umsatz herkömmlicher Geschäfte sank hingegen kontinuierlich auf unter 493 Milliarden Euro für den gleichen Zeitraum, wie der Handelsverband Deutschland mitteilte. Überdurchschnittlich oft erwerben Kunden dabei in Onlineversandhäusern Kleidungsstücke und Elektronik, aber auch Bücher und Freizeitartikel.
„Der Need nach Identitäten – oder die Nutzung der selbigen – nimmt wohl nicht wirklich zu“, erklärt der Finanztechnikexperte André M. Bajorat auf dem Branchenblog Payment & Banking den wachsenden Drang digitaler Händler nach Handlungssicherheit. „Nur verlagern sich immer mehr Lebensbereiche von der haptischen – sogenannten realen Welt – in die virtuelle oder digitale und vermeintlich anonyme Welt.“
Tatsächlich mangelt es derzeit bereits auch für deutsche Verbraucher nur bedingt an Anbietern der digitalen Verifizierung von Personen und Unternehmen: Für viele Onlineshops bieten Bezahldienste wie PayPal den Nutzern die Möglichkeit, die Rechnung ihrer Einkäufe rasch und unkompliziert an den Händler zu überweisen.
Ebenso genügt mitunter bereits ein einzelner Mausklick, um sich bei Händlern mit seinem Facebook-Nutzerkonto anzumelden, mit seinem Firefox-Browser auch räumlich entfernte Hardware zu synchronisieren oder sich mit dem Google-Konto Zugriff auf Anbieterseiten für Musik und Unterhaltung zu verschaffen. Mit Smartphone oder Smartwatch die Rechnung bezahlen? Kein Problem.
„Was bei der subjektiven Liste schnell auffällt: Ausschließlich USA!“, konstatiert Bajorat die derzeitige Marktsituation für Verifikationen digitaler Identitäten. „Kein relevanter deutscher oder europäischer Anbieter, der echte Relevanz für mich in der digitalen Welt hat.“ Mit seinem hochentwickelten Banken- und Telekommunikationssektor sowie dem elektronischen Personalausweis stünde deutschen Unternehmen, speziell den sektoransässigen Firmen und Organisationen, jedoch bereits ein lukrativer Standortvorteil zur Verfügung – der lediglich noch klug genutzt werden müsse.
Deutsches Unternehmen will durchstarten
„Sowohl Mobilfunkanbieter als auch Banken sind für diesen Geschäftsbereich prädestiniert“, pflichtet seine Kollegin, die Startup-Gründerin und Kolumnistin Miriam Wohlfarth, Bajorat in einem Welt-Beitrag vom April vergangenen Jahres bei, „da ihre Kunden sich zu Beginn der Geschäftsbeziehung über Post- oder VideoIdent zweifelsfrei identifizieren müssen, schöpfen dieses Potential aber bislang nicht aus.“
Tatsächlich schien der Zug für deutsche Finanztechunternehmen nur langsam ins Rollen zu kommen. Zwar hatten sich im Mai 2017 unter der Bezeichnung Verimi gleich eine ganze Reihe groß aufgestellter Unternehmen zum Joint Venture zusammengeschlossen; darunter der Axel Springer-Verlag sowie Konzerne wie die Deutsche Bank, die Deutsche Bahn, die Telekom, die Allianz, Daimler, VW und selbst die Bundesdruckerei. Nur elf Monate später titelte das Digitalmagazin t3n jedoch bereits: „Login-Dienst Verimi: Ein typisch deutscher Fehlstart.“ „Das klingt erst einmal alles überzeugend: Endlich kommt ein ambitionierter Anbieter, der einige namhafte Unternehmen der deutschen Wirtschaft hinter sich versammelt, und bietet den dominanten US-Anbietern die Stirn”, resümierte t3n-Redakteur Jochen Fuchs. „Die Zweifel beginnen aber mit einem Blick auf das Anbieterportfolio der App. Dort offenbart sich, was Verimi heute kann: nicht viel.“ Nach gut einem Jahr gründlich vorbereiteter Laufzeit hatte sich Verimi gerade einmal mit einem einzigen namhaften Konzern, der Deutschen Bank, verknüpfen können. Mittlerweile können sich Kunden dank ihres Verimi-Kontos auch bei der Allianz, bei Welt oder Bild einloggen – letztere allerdings bieten als Alternative ebenso noch die Anmeldung über Facebook an. Beim Axel Springer-Verlag macht man sich über die Marktanteile der eigenen Identitätsplattform keinerlei Illusionen.
Nach dem Brexit sieht die Lage für die EU düsterer aus
Und noch ein gravierendes Problem betrifft insbesondere europäische Internetnutzer: jenes der Hoheit über die eigenen Daten. Denn nicht nur die vier globalen Spieler der Onlinebranche, Google, Amazon, Facebook und Apple – das sogenannte GAFA-Konsortium, benannt nach ihren Anfangsbuchstaben – residieren fernab Europas in der Neuen Welt.
Auch ihre Serverparks, auf denen die unzähligen, für eine ausreichende Identifikation benötigten Daten gelagert werden, sind vorrangig in den Vereinigten Staaten untergebracht und unterliegen als Einrichtungen nicht der Rechtshoheit der Europäischen Union, sondern ihres Mutterstaats. So finden sich gleich sieben der zehn größten Rechenzentren der Welt in den Vereinigten Staaten, je ein weiteres in Indien und in China, sowie eines, das einzige europäische, in Newport (Wales) – und somit seit dem Brexit außerhalb der legislativen Reichweite der rechtlichen EU-Mitglieder.
Um gegen den wachsenden Konkurrenzdruck des GAFA-Konsortiums zumindest eine eigene Option für ihre Nutzer zu etablieren, sich auf dem heimischen Markt digital zu identifizieren, werden die deutschen Großunternehmen zusammen mit relevanten staatlichen Organisationen wie der Bundesbank daher bereits in den kommenden Jahren Investitionen in Milliardenhöhe tätigen müssen. „Ansonsten“, prognostiziert Miriam Wohlfarth in düsterer Voraussicht, werden „wir Europäer den großen US-Konzernen auch beim Thema digitale Identität den Vortritt lassen müssen.“
Diesen Anschluß zu verpassen, würde nicht nur deutsche wie europäische Verbraucher in ihrem Wunsch nach Onlinesicherheit die persönliche Datenhoheit kosten. Den Marktbereich der digitalen Identität den Konzernen aus Übersee zu überlassen liefert hiesige Unternehmen gar der Gefahr aus, die Kontrolle über den eigenen Wirtschafts-, Produktions- und Handelsstandort zu verlieren.
Handy und Smartwatch als Geldersatz
Mit Smartphone oder Smartwatch bezahlen liegt im Trend. Doch ist das Shoppen per App auch sicher? Was passiert mit Kundendaten? Vor diesem Hintergrund haben Experten von Finanztest (Stiftung Warentest; Heft 12/2019) untersucht, was passiert, wenn Kunden mit dem Handy bezahlen. Fazit von Finanztest: „In Sachen Allgemeine Geschäftsbedingungen, Datensendeverhalten und Datenschutzbestimmungen liegt noch einiges im argen. So senden einige Apps unnötige Daten wie Informationen über die Position des Nutzers. Die Dienstleister erfahren auf diese Weise, in welcher Filiale eingekauft oder in welchem Restaurant gegessen wurde.“
Grundsätzlich können zudem viele der am Zahlungsvorgang Beteiligten – etwa Kreditkarten-Lizenzgeber oder Finanzdienstleister wie Vimpay – Transaktionen einsehen. Schutz vor Betrügern bieten demnach alle Bezahl-Apps. „Kreditkarten- oder Kontonummer der Kunden bleiben beim Zahlen mit Handy oder Smartwatch stets geheim“, heißt es. Die Zahlungsdaten würden durch die sogenannte Tokenization abgesichert. Dabei handele es sich um ein Verfahren, das aus der Kartennummer des Nutzers eine Stellvertreternummer ableite. Für Betrüger sei es „nahezu unmöglich, an die Kundendaten zu kommen“, bilanziert letztlich Finanztest. (ctw)