Amazon Werbebanner

Schlechte Erfahrung mit WebID

Vorsicht bei der Nutzung von WebID

Hintergrund

Am heutigen Tag hatte ich einen web-basierten Verifizierungsprozess vor mir, angestoßen von einer Handelsplattform. Dabei wurde ich auf den Dienst von WebID verlinkt. Soweit so gut. Die Handelsplattformist also in diesem Falle der Auftraggeber von WebID.

WebID hat eigentlich nur die Aufgabe, personenbezogenen Daten von einem Nutzer zu erfassen, diese zu verifizieren und folgend an die Handelsplattform zu übersenden. Die Handelsplattform nutzt diese dann zum Abgleich mit den im Account hinterlegten Daten.

Damit sollte WebID kein Interesse haben die personenbezogenen Daten bei sich zu speichern. Nun zum eigentlichen Verifizierungsvorgang.

Schlechte Erfahrung bei der web basierten Verifikation mit WebID

Direkt beim Start des Verifikationsvorganges gingen die Probleme los – die Ladegrafik kam noch, aber dann nix mehr. Nach ca. 10 min warten, nahm ich mein Smartphone und siehe da, dort funktioniert es. Ein Verifikationsagent war zu sehen und startet das Gespräch. es ging.

Schlechte Erfahrung mit bei der Verifikation mit WebID
Schlechte Erfahrung mit bei der Verifikation mit WebID

Allerdings ging es so weiter, da der für die Verifizierung verantwortliche Agent recht rüde in das Gespräch einstieg. Er kam mir sehr unkonzentriert und gehetzt vor. Nach dem Start des Gespräches ging es so weiter mit kaum verständlichem Deutsch, so dass es extrem schwer war den Anweisungen zu folgen.

Im Rahmen des Gespräches wurden nach Informationen gefragt, die offensichtlich nichts mit dem Erheben von personenbezogenen Daten für eine Verifikation zu tuen haben, wie z. B. die Email-Adresse. Auf die Frage – Warum die Email-Adresse abgefragt wird, konnten nicht beantwortet werden.

Ebenso wird nur sehr verklausuliert darauf hingewiesen, dass es die Möglichkeit gibt, eine Speicherung der für die Verifikation nötigen Daten bei WebID zu verbieten. Dies ist aber eine sehr wichtige Information, da die im Gespräch abgefragten Daten ja ausschließlich für den Auftraggeber gedacht sind.

Am Ende brach das Gespräch ab ohne Verifikation. Bei nochmaligen Versuchen, stellte sich dann heraus, dass der Vorgang abgeschlossen sei… später stelle sich heraus das es kein aktiver Vorgang mehr sei. Kurz um – Die Verifikation ist fehlgeschlagen.

Schlechte Erfahrung mit bei der Verifikation mit WebID
Schlechte Erfahrung mit bei der Verifikation mit WebID

Fazit: Finger weg von WebID. Falls eine andere Möglichkeit besteht die Verifikation zu realisieren, bitte immer jede andere wählen. Besonders stutzig machte mich der sehr verstecktet Hinweis, dass die Möglichkeit besteht, die Speicherung der zur Verifikation personenbezogene Daten bei WebID zu verbieten. Hier steht die Frage – Warum wird dieser Hinweis so versteckt gegeben?

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , , | Ein Kommentar

saferyou.de die Cyberschutz-Versicherungen (Online-Schutz-Versicherungen)

Erfahrung mit der Cyberschutz-Versicherung saferyou.de

saferyou.de ist eine starke Cyber-Versicherung für Privatpersonen und ihre Familien. Sie bietet umfassenden Schutz vor den rechtlichen Risiken, die bei der Nutzung des Internets und digitaler Medien entstehen können. Egal ob es um betrügerische Online-Shops, Identitätsdiebstahl oder Cybermobbing geht, saferyou.de schützt vor möglichen Gefahren. Auch bei Problemen, wie dem angeblichen Verletzen von Urheberrechten beim Herunterladen von Computerspielen, hilft unsere Versicherung zuverlässig.

Onlineschutz-Versicherungen saferyou.de
Onlineschutz-Versicherungen saferyou.de

Die neue Cyber-Versicherungen (Online-Schutz-Versicherungen) saferyou.de für den Schutz aller Internetaktivitäten

Zusätzlich schützt saferyou.de elektronische Geräte wie Laptops, Mobiltelefone und Spielkonsolen.

Ein besonderer Service ist die jederzeit verfügbare Beratungshotline zum Thema Internetrecht. Es gibt auch eine telefonische Rechtsberatung durch unabhängige Anwälte, die rund um die Uhr erreichbar sind. Außerdem bietet saferyou.de Hilfe bei der außergerichtlichen Konfliktlösung durch Vermittlung von Mediationsverfahren.

saferyou.de gibt es in den Varianten Basis, Komfort und Premium, um den unterschiedlichen Bedürfnissen gerecht zu werden. Diese Tarife sind in den Versionen „Familie“ und „Single“ verfügbar. Bei allen Tarifen gibt es keine Wartezeiten und keine Selbstbeteiligung.

Weitere Information zu dieser neuen Onlineschutz-Versicherung kann man hier nachlesen

=> weitere Informationen zu saferyou.de

Veröffentlicht unter Allgemein | Verschlagwortet mit , , | Schreib einen Kommentar

Smartphone-Perso Ökosystem

Smartphone-Perso Ökosystem

Präsentation zum europäischen Ökosystem digitaler Identitäten von Dr. Markus Richter (Bundes CIO)

Am 03.12.2020 fand ein Treffen zwischen Angela Merkel und Vertretern der deutschen Wirtschaft statt. Bei diesem Treffen wurde von Staatssekretär Dr. Markus Richter (Bundes-CIO) folgende Präsentation gehalten. In der er das anvisierte Ökosystem digitaler Identitäten vor dem Hintergrund europäischer Werte näher beleuchtet.

Eckpfeiler des zukünftigen Ökosystems digitaler Identitäten vor dem Hintergrund europäischer Werte

Präsentation von Dr. Markus Richter: 201203-Europaeisches-Oekosystem-digitaler-Identitaeten.pdf

Skalierung

  • Interoperable, gemeinsame Standards
  • Skalierungspotential für Anzahl und Vielfalt der Nachweisdokumente, Ausweisaussteller, Verifizierer und Ausweisnutzer
  • Gesundes Smartphone-Perso Ökosystem, gekennzeichnet durch einen lebendigen Markt inklusive Angebote vieler Service-Provider und deren Endnutzer (Kunden)

Security (Sicherheit)

  • Vollumfängliche Realisierung europäischer und nationaler Richtlinien und Vorgaben bezüglich der Sicherheit von IT-Systemen
  • Schutz und Sicherheit vor Identitätsdiebstahl
  • Fälschungssicherheit der Nachweise und der Verifikation
  • Schutz vor Annexion und Übernahme des Netzwerks

Datenschutz

  • Vollumfängliche Realisierung europäischer und nationaler Richtlinien und Vorgaben bezüglich Datenschutzvorgaben
  • Datensparsamkeit, sprich selektives Weitergeben von Nachweisen inkl. anonymen Nachweisen (“Ü18”)
  • Datenhoheit, Nachweisweitergabe ausschließlich durch den Halter
  • Entkopplung der Verifikationen bei Online-Aktivitäten vom Aussteller (“Blinde Verifikation”)

Zugang

  • Offener und diskriminierungsfreier Zugang zum Identitäts-Smartphone-Perso Ökosystem für alle Ausweisaussteller, Ausweisnutzer und Verifizierer
  • Sinnvoller und gezielter Aufbau von Geschäftsmodellen, Technologieanwendungen sowie eID-Services basierend auf dem Ökosystem digitaler Identitäten

Benutzerfreundlichkeit

Identitäts-Öko System mit

  • Usability – Nutzerfeundliche, einfache und intuitiv verwendbare Technik aus Nutzersicht (user centric)
  • geringen Wartungsaufwänden sowie Einstiegshürden für eID-Service-Anbieter
Veröffentlicht unter Dr. Markus Richter, eID-Service, eID-Service-Providing, eID-Services, eID-System, Europäisches Ökosystem digitaler Identitäten, Identitäts-Smartphone-Perso Ökosystem, nutzerfeundliche eID, Ökosystem digitaler Identitäten, Smartphone-Perso, Smartphone-Perso Ökosystem | Verschlagwortet mit , , , , , , , | Schreib einen Kommentar

Self-Sovereign Identity schlecht umgesetzt

accurate.com – Schlechtes Beispiel für Self-Sovereign Identity

accurate.com – Nicht transparenter Umgang mit Personalausweiskopie

Bei Amazon Flex (https://www.amazon-flex.de/) können Interessierte als Kurier mit Amazon-Auslieferungen eigenständig Geld verdienen. Dadurch ist Amazon Flex für viele Menschen eine interessante Möglichkeit ihre Finanzen aufzubessern. Alles was man benötig ist ein Auto, ein Führerschein, ein Handy mit der Amazon Flex App und Zeit, um sich einfach und schnell anzumelden.

Im Rahmen der Registrierung für dieses Amazon-Angebot leitet Amazon die Interessierten zu dem amerikanischen Unternehmen accurate (https://www.accurate.com/). Accurate.com führt im Rahmen der Registrierung bei Amazon Flex einen Background Check durch.

Voraussetzungen Amazon Flex
Voraussetzungen Amazon Flex

Ohne diesen Background Check –  keine Amazon Flex.

Bei der accurate-Anmeldung wird ein Account erstellt und es werden neben der Eingabe von personenbezogenen Daten auch Kopien von Dokumenten per Upload eingefordert, so auch der Personalausweis. Ohne Personalausweiskopie wäre es schöner, aber OK bis dahin.

Interessiert sich der Nutzer nach einer gewissen Zeit für den accurate.com-Account ist festzustellen, dass man sich nicht mehr einloggen kann bei einem Account den man eine Kopie des Personalausweises übergeben hat.

Dem Nutzer ist es nicht möglich sich ein Bild zu machen, ob noch Daten von ihm bei accurate.com liegen und wenn ja, welche?

Auf Nachfrage bei accurate.com wurde der Vorgang mit dem Löschen des Accounts durch das Unternehmen selbst begründet. Allerdings gibt es zu diesem Vorgang keine Information, z. B. per Email an den Nutzer.

Der Nutzer verliert bei diesem Vorgang die komplette Kontrolle über seine Daten inklusive der Kopie des Ausweises und muss accurrate.com mehr oder weniger glauben. Dadurch hat der Nutzer keine Chance dieses Vorgehen nachzuvollziehen und zu verstehen.

Vor diesem Hintergrund ist dringend davon abzuraten, Kopien des Personalausweises an das Unternehmen accurate.com zu übermitteln, da schlicht nicht zu verstehen ist, was accurate.com mit den personenbezogenen Daten und der Ausweiskopie macht.

Die Transparenz für die Nutzer wäre leicht herzustellen, eine einfache Email als Information würde ausreichen. In dieser müssten die Nutzer lediglich über die Löschung des Accounts informiert werden.

Veröffentlicht unter Abgeleitete Identität, Allgemein, Self Service Identity, Self Sovereign Identity | Verschlagwortet mit , , , , , , , , , | Ein Kommentar

Zukünftige Nutzung der eID-Funktion

Die Nutzung des elektronischen Personalausweises, speziell der Online-Ausweisfunktion, blieb lange hinter den Erwartungen zurück, obwohl diese Funktion dauerhaft den Schutz der personenbezogenen Daten erhöht. Weiterhin wird das Nutzungserlebnis zukünftig deutlich gesteigert, da die Daten direkt per NFC ohne händische Eingabe an den jeweiligen Dienst übertragen werden und diese Weitergabe ad hoc ohne Zeitverlust geschieht.

Ebenso wird es zukünftig möglich sein, den Ausweis direkt in ein mobiles Gerät zu klonen und diesen digitalen Ausweisklon zu nutzen.

Warum wurde der Personalausweis nicht genutzt?

In der Vergangenheit konnten die Daten nur per entsprechenden Kartenleser an einem Rechner ausgelesen werden. Sprich der Einsatz der Online-Ausweisfunktion (eID-Funktion) war auf den Desktop beschränkt. Dadurch wurde der Ausweis in der breiten Masse kaum angenommen.

Eine direkte, einfache und nutzerfreundliche Verwendung des Ausweises an mobilen Geräten war nur sehr begrenzt möglich.

Der mobile Einsatz (mobil identity) war auf bestimmte Geräten begrenzt. Hintergrund war

  • die mangelnde Extended Length-Unterstützung vieler Smartphone bzw.
  • die Sperrung der NFC-Schnittstelle durch Apple.

Die mangelnde Extended Length-Unterstützung verschwindet immer mehr, da die Smartphone-Hersteller nun Extended Length unterstützen. Ebenso hat Apple seine NFC-Schnittstelle für andere Anwendungen freigegeben.

Warum sollten Unternehmen die eID-Technologie nutzen?

Nur nach valide Nutzerdaten – Keine Fehleingaben möglich

Die relevanten Daten werden per NFC direkt aus dem Ausweis ausgelesen. Nutzer müssen keine Daten händisch in Formulare eingegeben. Dadurch die Fehleingabe von relevanten Daten ausgeschlossen, da die Daten direkt aus dem Personalausweis ausgelesen werden. Bis ist ein besonderer Vorteil bei der Nutzung mit mobilen Devices.

Schnelle Kundenidentifizierung per Ad hoc full ident

Dienste für die eine Identifizierung, eine Alters- bzw. Wohnortverifikation nötig ist, können die Daten ad hoc aus dem Ausweis auslesen lassen und direkt in ihre Anwendung (App) übergeben. Aus Nutzersicht bedeutet das kein Zeitversatz wie beim PostIdent oder Video-Identverfahren. Die Abbruchrate zum Beispiel bei einer Kontoeröffnung per Smartphone wird damit deutlich reduziert, wodurch im Umkehrschluss mehr Conversions erreicht werden.

Steigerung der Customer Experience

Durch das direkte Auslesen und die ad hoc Bereitstellung der Daten, wird die Customer Experience deutlich verbessert. Damit können Nutzer per Smartphone (iPhon) innerhalb weniger Minuten ein full ident realisieren und z. B ein Bankkonto eröffnen.

Steigerung der Customer Experience durch integrale Anwendungen

Ein Dienst der zum Beispiel eine Identifizierung oder Verifikation benötigen, kann seinen Kunden eine App anbieten, die zum einen die relevanten Daten aus dem Ausweis ausliest und diese sofort weiter nutzt. Dadurch wird die Akzeptanz der App durch den Nutzer und die Customer Experience deutlich gesteigert.

Warum sollten User die eID-Technologie nutzen?

Schutz der personenbezogenen Daten

Das Auslesen und Nutzen der Personalausweisdaten ist streng reglementiert. Nur Dienste die über eine entsprechende Erlaubnis (Berechtigungszertifikat) verfügen, dürfen (können) die Daten des Personalausweises auslesen. Bei Missbrauch der Ausleseerlaubnis oder der ausgelesenen Daten, droht dem jeweiligen Diensten der Entzug der besagten Erlaubnis.

Datenschutz per self-sovereign Identity

Mit dem Personalausweis kann jeder Nutzer seine Daten selbstbestimmt freigeben und durch Dienste nutzen lassen. Der Dienst kann die Daten jederzeit schnell und einfach erneut aus dem Personalausweis auslesen. Damit muss der Dienst die Daten nicht dauerhaft vorhalten, sondern kann diese direkt nach Nutzung löschen. Damit wird das unkontrollierte Sammeln personenbezogener Daten durch verschiedene Dienste unnötig.

Mehr Sicherheit der eigenen Daten – Keine zentraler ID-Provider

Das zentrale Sammeln von personenbezogenen Daten als Geschäftsmodell ist nicht nötig, wie z. B. durch https://www.verimi.de, da die Daten jederzeit einfach und schnell ausgelesen werden können. Damit setzt sich der Nutzer nicht der Gefahr aus, die durch zentrale Datensammler entstehen. Der Nutzer behält die ganzheitliche Hoheit über seine Daten bzw. verhindert dauerhaft den Weiterverkauf oder den Missbrauch seiner Daten.

Übergeben Nutzer ihre Daten an zentrale Datensammler bzw. zentrale ID-Provider (wie z. B. durch https://www.verimi.de) besteht immer die Gefahr, dass diese gehackt werden und die Nutzerdaten gestohlen und missbraucht werden.

Einfach – Nur noch ein Passwort

Verwendet ein Nutzer konsequent den Personalausweis als Registrierungs- und Login-Tool muss er sich zukünftig nur noch ein Passwort merken. Er benötigt in diesem Fall ausschließlich die PIN für die Online-Ausweisfunktion (eID-Funktion).

Veröffentlicht unter Ad hoc full ident, AusweisApp mobil, Berechtigungszertifikat, eID mobil, eID-Anwendung, eID-Client, eID-Funktion (Online-Ausweisfunktion), eID-Funktion mobil, eID-Service, eID-Service-Provider, ID-Provider, mobil identity, Mobile Identität, NFC (Near Field Communication), Online-Ausweisfunktion, Online-Ausweisfunktion mobil, Personalausweis mobil, PostIdent, Self Sovereign Identity, sichere eID-technologie, Smartphone als Ausweis, verimi | Verschlagwortet mit , , , , , , , , , , , , , , , , , | Schreib einen Kommentar