Seit dem 1. Januar 2016 ist die überarbeitete Geldwäschereiverordnung (GwV) in Kraft. Diese erlaubt es der FINMA, neue Technologien, die die geforderte Sicherheit für die Umsetzung der Sorgfaltspflichten sicherstellen, zu berücksichtigen. Die FINMA muss diese Praxis öffentlich bekannt machen. In der Folge hat sie am 17. März 2016 das FINMA-Rundschreiben 2016/7 «Video- und OnlineIdentifizierung» veröffentlicht. Dieses beschreibt die Sorgfaltspflichten bei der Aufnahme von Geschäftsbeziehungen ohne Medienbruch über digitale Kanäle. Damit erhält die Schweizer Finanzindustrie die Chance, die Digitalisierung der Geschäftsprozesse in die Realität umzusetzen. Wir zeigen auf, wo Risiken liegen, und geben Empfehlungen für den Umgang damit ab.

Das Rundschreiben 2016/7 sieht vor, dass Finanzintermediäre Massnahmen und Kontrollmechanismen definieren, die den gesamten Vorgang der Identifizierung und die entsprechenden Daten sicher und vertraulich gestalten. Aus einer Risikoüberlegung finden sich weitere Aspekte innerhalb dieses Prozesses, die von der umsetzenden Partei beachtet werden sollten. Nachfolgend eine Auswahl von Herausforderungen, die bei der Definition und Ausgestaltung von Organisation, Prozessen und Systemen berücksichtigt werden sollen.

Compliance

Der Antragsteller bei der Video- und Online-Identifizierung muss nach detaillierter Aufklärung über den Prozess und die daraus gesammelten Informationen explizit seine Einwilligung zur Durchführung der Video- und Online-Identifizierung geben. Dennoch bestehen im Prozess Compliancerisiken, die über die Anforderungen des GwG (FINMAGwV) und VSB hinausgehen. So muss das Datenschutzgesetz in der Schweiz wie auch im Domizilland des Antragstellers eingehalten werden.1

Zusätzlich sollten sämtliche Informationen und Ergebnisse der Video- und OnlineIdentifizierung nach den Grundsätzen der kaufmännischen Buchführung und elektronischen Datenverarbeitung (Obligationenrecht und Geschäftsbücherverordnung) verwaltet und aufbewahrt werden. Bei Nichteinhaltung drohen empfindliche finanzielle und Reputationsrisiken.2

Unsere Empfehlung: Die Finanzintermediäre sollten sich vor der Implementierung eines Verfahrens zur Video- und Online-Identifizierung überlegen, in welchen Ländern sie die digitale Identifizierung anbieten wollen. Für diese Länder sollten sie die gesetzlichen und regulatorischen Anforderungen prüfen und bei der Definition und Implementierung der Verfahren berücksichtigen. Gleichzeitig müssen sie für die Digitalisierung fit sein – also über die organisatorischen Grundvoraussetzungen verfügen. Dazu gehören beispielsweise ein Informationsverwaltungssystem und ein elektronisches Archivsystem, um die notwendigen Nachweise der durchgeführten Identifizierung über die gesamte gesetzlich geforderte Frist vorlegen zu können.

Cyberkriminalität

Neben den bekannten Szenarien wie etwa aus dem E-Banking eröffnet die Video- und Online-Identifizierung neue Angriffsmöglichkeiten. So könnten Hacker beispielsweise bei einem manipulierten Computer eines Neukunden die Video-Identifizierung mitschneiden und diese bei anderen Instituten wieder abspielen. So versuchen sie, unter falscher Identität eine Geschäftsbeziehung aufzubauen. Interessant in diesem Zusammenhang ist, dass beispielsweise bei «Sextortion»3 bereits erste Video- oder Toolkits im Darkweb aufgetaucht sind, die es ermöglichen, eine spezifische Videosequenz auf eine Frage oder Aktion des Gegenübers direkt einzuspielen. Denkbar ist ebenfalls eine «Man-in-the-Middle-Attacke». Diese lässt das Opfer im Glauben, an einer OnlineVideobefragung oder an einem Wettbewerb teilzunehmen, wobei es sich jedoch als Neukunde bei einer Bank anmeldet. Auch die Unabhängigkeit des Antragstellers bei der Wahl der mobilen Endgeräte ist risikobehaftet. Im Gegensatz zur Korrespondenz kann die Adresse nicht eindeutig identifiziert und ausgetauscht werden und es könnte sich um ein gestohlenes Endgerät handeln.

Unsere Empfehlung: Der Fragenkatalog soll nicht statisch ausgestaltet sein. Die Reihenfolge der Fragen muss veränderbar sein. Als zusätzliche Massnahme lassen sich allgemeine Kontrollfragen einbauen. Dadurch kann das organisatorische Risiko von abspielbaren Videosequenzen minimiert werden. Aufgrund verhaltenspsychologischer Beobachtungen kann die befragende Person die Reaktionen der Person oder sogar unterschiedliche Videosequenzen (allenfalls ruckelnde Übergänge) erkennen. Ein besonderes Augenmerk gehört den Gefahren über den gesamten Prozess, von der Identifizierung bis hin zur Auslieferung der Zugangsdaten (z. B. für das E-Banking). Ebenfalls zu überprüfen ist die Möglichkeit der zusätzlichen Verifizierung mit Hilfe weiterer unabhängiger Datenbanken oder Informations-quellen.

Urkundenfälschung

Die Prüfung der Echtheit des Ausweisdokuments erfordert sowohl ein geschultes Auge als auch detailliertes Spezialwissen über die unterschiedlichen Sicherheitsmerkmale. Bei der persönlichen Vorsprache lassen sich die Eigenschaften eines Ausweisdokuments sowohl auf visuelle als auch auf haptische Reize prüfen. Im Rahmen der Onlineund Video-Identifizierung reduziert sich diese Prüfung auf den visuellen Reiz. Aufgrund dieser Kanalreduktion besteht das Risiko, dass offensichtliche Eigenschaften bei der Identifizierung über einen Online-Kanal nicht erkannt werden.

Unsere Empfehlung: Die befragende Person soll zur visuellen Kontrolle über technische Hilfsmittel verfügen, die den Abgleich mit den gängigen Sicherheitsmerkmalen automatisch ausführen. Sie erfassen beispielsweise nicht nur Sicherheitsmerkmale, sondern gleichen die sich identifizierende Person auch mit dem Foto technisch ab. Gleichzeitig sollten die Mitarbeiter die offiziellen Ausweisdokumente der entsprechenden Länder sowie deren Eigenheiten kennen. Also muss der Finanzintermediär vor der Implementierung eine Strategie definieren, in welchen Ländern er die Video- und Online-Identifizierung anbieten will.

Irreführung

Bei der Video- und Online-Identifizierung bestehen unterschiedliche Risiken der bewussten Irreführung. So kann der Antragsteller die Reduktion auf den Onlinekanal, schlechte Lichtverhältnisse, ungenügende Übertragungsrate (z. B. durch mobile Übertragung), starke Nebengeräusche, verdecktes Sichtfeld (Reduzierung einer Person auf das Gesicht) oder ungenügende Auflösung der Kamera für eine Täuschung ausnutzen. Zudem können gezielt abgedeckte Informationen oder spezielle Handhabung des Identifikationsdokuments (zu schnelle Durchführung des Kipp- oder Schwenkvorganges) weitere Indizien für eine versuchte Irreführung liefern.

Unsere Empfehlung: Der Finanzintermediär soll den Antragsteller vor Beginn der Videoidentifizierung auf deren Bedingungen aufmerksam machen: geeignete Lichtverhältnisse, ruhige Umgebung, minimale technische Anforderungen an die Frontkamera. Zudem müssen die befragenden Personen sowohl offensichtliche als auch niederschwellige Irreführungen erkennen und den Identifizierungsvorgang abbrechen. Der Finanzintermediär muss klären, welche Vorfälle meldungspflichtig sind (GwG sieht entsprechende Meldungen vor) und die abgebrochenen Identifizierungsvorgänge dokumentieren. Diese Erfahrungen kann er nutzen, um mögliche zukünftige Irreführungen frühzeitig zu erkennen.

Externer Dienstleister

Da im Rahmen der Video- und Online-Identifizierung häufig eine Spezialtechnologie zum Einsatz kommt (Software zur Prüfung holografischer Elemente oder Signatur), werden externe Software-Lieferanten beigezogen. Die Video-Identifizierung führen externe Dienstleister mit geschultem Personal und Call-Center-Strukturen für die Kundengespräche durch. Diese Auslagerung von Wissen, Kompetenzen und Prozessteilen birgt das Risiko, dass der Finanzintermediär die Kontrolle verliert und seine Verantwortung nicht wahrnehmen oder durchsetzen kann. Weiter besteht die Gefahr, dass der externe Dienstleister nicht über das gleiche Schutzniveau und die gleiche Kultur für Schutz von Kundendaten verfügt oder bei der Abwicklung der Video- und OnlineIdentifizierung nicht den gleichen Sorgfaltsmassstab anwendet, wie es der Finanzintermediär vorsehen würde.

Unsere Empfehlung: Gerade bei einer vollen Auslagerung von Prozessen, Technologien und Systemen sollten Finanzintermediäre geeignete Strukturen für die Definition, Überwachung und Berichterstattung von Kontrollen, Qualitätsstandards und Prozessstatistiken bei externen Dienstleistern verfügen. Dies kann über Kontrollberichterstattungen (ISAE 3402 oder ISAE 3000), Zertifizierungen von externen Dienstleistern oder Software-Lösungen und über «Service-Level-Agreements» erfolgen. Solche Verträge sollten den Schutzbedarf und weiterführende Konzepte sowie das Schutzniveau festhalten. Wichtig ist zudem der regelmässige Austausch zwischen den Parteien; nur so lassen sich Risiken und Gefahren regelmässig auswerten und geeignete Massnahmen und Kontrollen definieren. Ausserdem sollten Banken beachten, dass es sich bei einer Auslagerung des Prozesses um ein Outsourcing im Sinne des FINMA-RS 08/7 «Outsourcing Banken» handeln kann und entsprechende weitergehende vertragliche Massnahmen nötig sind.

Fazit

Je nach Fokus (z. B. Ländern) und Ausgestaltung des Prozesses und der technischen Systeme bestehen weitere Schlüsselrisiken. Auch Wirtschaftlichkeitsüberlegungen sollten mit in die Chancen und Gefahrenüberlegungen einbezogen werden. Einige der Risiken sind bereits aus dem herkömmlichen Identifizierungsverfahren bekannt; diese werden teilweise aufgrund der Kanalreduktion akzentuiert. Der Onlinekanal birgt aber auch neue Risiken. Ein Risiko-Management-Framework kann technologische Veränderungen und Gefahren rechtzeitig erkennen. Finanzintermediäre sollten deshalb über ein solches verfügen und so sicherstellen, dass die Prozesse, Verfahren und Kontrollen und das Schutzniveau der Gefahrensituation in angemessener Frist angepasst werden. Sie brauchen eine Mischung aus organisatorischen, prozessualen und IT-Sicherheitskontrollen, um Risiken zu vermeiden oder auf ein akzeptables Mass zu bringen.