Die eID-Funktion als Vertrauensanker
Transcription
Die eID-Funktion als Vertrauensanker
O. Keitzel*, Dr. W. Zimmer*, E. de Vries*, Prof. Dr. H. Kubicek**, Dr. M. Wind** * CSC Deutschland Solutions GmbH ** Institut fu r Informationsmanagement Bremen (ifib) GmbH Mittelstandsoffensive Neuer Personalausweis Expertise und Handlungsempfehlungen für die Etablierung zentraler eID-Infrastrukturen für den Mittelstand Die eID-Funktion als Vertrauensanker im E-Commerce Berlin 2012 1 Eine Expertise der CSC Deutschland Solutions GmbH und des Instituts für Informationsmanagement Bremen Im Auftrag und mit Unterstützung des BMI Berlin, 29.10.2012 2 Zusammenfassung Das Internet verändert die Welt für die Unternehmen wie für die Verbraucher. Das World Wide Web wird in einem atemberaubenden Tempo zum Knotenpunkt sozialer und wirtschaftlicher Aktivitäten. Vor allem Einkaufen über das Internet wird von den Verbrauchern zunehmend als Verbesserung der Lebensqualität empfunden, es spart Zeit und in vielen Fällen auch Geld. Trotz aller Begeisterung aber, herrscht bei den Verbrauchern wie auch den Unternehmen nach wie vor eine große Verunsicherung. Verbraucher wie Unternehmen fürchten den Missbrauch ihrer Daten und den daraus entstehenden wirtschaftlichen Schaden. Neben modernen physischen Infrastrukturen wie Cloud Computing ist daher Sicherheit eine wesentliche Voraussetzung für die Akzeptanz und damit auch für die weitere Entwicklung von E-Commerce. Der neue Personalausweis eröffnet mit der eID-Funktion die Möglichkeit, sich auch im Internet verlässlich auszuweisen und die gegenseitige Vertrauensbasis beim Online-Einkauf zu stärken sowie den Missbrauch von Daten bei der Kommunikation über das Internet zu verhindern. Darüber hinaus ist die Nutzung der eID-Funktion des neuen Personalausweises imstande, den Unternehmen eine hohe und zuverlässige Datenqualität zu verschaffen, und auf dieser Basis eigene Geschäftsprozesse zu verschlanken und effizienter zu gestalten. Die Ergebnisse einer Online-Umfrage unter 54 Schlüsselanwendern von Verbänden, eID-Serviceanbietern, Produktentwicklern und Forschungseinrichtungen bestätigen, dass Identitätsdiebstahl und Identitätsmissbrauch im Internet den Wunsch der Verbraucher wie der Händler nach verlässlichen und sicheren Instrumenten und Prozeduren zur zuverlässigen Feststellung elektronischer Identitäten im Netz verstärken. Neben dem Datenschutz und der Datensicherheit wird vertrauenswürdigen elektronischen Identitäten im E-Commerce eine besondere Bedeutung zugerechnet. Jeder zweite der Teilnehmer an der Umfrage hält bspw. die bestehenden Sicherheitsmechanismen für die Registrierung/Anmeldung von Kunden auf E-Commerce-Plattformen für nicht ausreichend. Das unterstreicht die Relevanz des Themas und des Engagements des BMI. Im E-Commerce kommt der Nutzung der eID-Funktion damit vor allem die Rolle einer präventiven Innovation zu. Sie erhöht die Sicherheit der Transaktion über das Internet, indem sie die Authentizität der Transaktionsteilnehmer wie auch der Transaktion selbst stärkt, auf Seiten der Händler bspw. durch die Erfassung fälschungssicherer und fehlerfreier Kundendaten. Der mit dem Einsatz der eID-Funktion in Aussicht gestellte Sicherheitsgewinn durch die Bereitstellung zuverlässiger und geschützter elektronischen Identitäten kann jedoch nur eingelöst werden, wenn ausreichend Leistungen und Produkte zur Verfügung stehen, die die Nutzung unterstützen bzw. eine Unterstützung erwarten lassen. Ohne eine breite Allianz der Stakeholder über die 3 gesamte Wertschöpfungskette im Kontext von E-Commerce ist deshalb ein nachhaltiger Erfolg im Einsatz und der Nutzung der eID-Funktion kaum zu erwarten. EGovernment alleine ist kein ausreichender Treiber für den Einsatz der eID-Funktion. Gleichwohl, ohne anspruchsvolle E-Government Anwendungen, die die eID-Funktion nutzen, ist eine überzeugende Nachfrage nicht gegeben. Darüber hinaus unterstreichen die Umfrageergebnisse, dass im Zusammenhang mit der Zusicherung einer Erhöhung des Datenschutzes und der Datensicherheit eine mobile Nutzungsmöglichkeit der eID-Funktion derzeit die aus Sicht der Verbraucher, und hier vor allem im Kundensegment der internetaffinen Verbraucher, die attraktivste Lösung darstellt. Das entscheidende Argument ist hier vor allem Komfort, der sichere Einkauf „anywhere“ and „anytime“. Insgesamt legen die von Autoren ausgewerteten Quellen und die Online-Umfrage die folgenden Schlussfolgerungen nahe: 4 Bürger wie Wirtschaft gehen berechtigterweise davon aus, dass der mit dem Einsatz der eID-Funktion zugesicherte relative Nutzengewinn (Sicherheit und Komfort bei Online-Transaktionen für Unternehmen wie Nutzer) vornehmlich auch in attraktiven Anwendungsszenarien von eGovernment seinen Niederschlag finden sollte. Bund, Länder und Kommunen sollten daher mit attraktiven Angeboten für die Nutzung der eID-Funktion vorangehen. Die Nutzung der eID-Funktion im Handel mit Waren und Dienstleistungen über das Internet ist ohne die Etablierung eines Akzeptanznetzwerkes und Anreizen über die gesamte Wertschöpfungskette hinweg wenig erfolgversprechend. Die Etablierung eines solchen Akzeptanznetzwerkes von E-Commerce Stakeholdern sollte durch das BMI politisch initiiert und moderiert werden. Es ist naheliegend, sich in einem solch vertieften politischen Dialog vor allem der aktiven und öffentlichkeitswirksamen Unterstützung der Unternehmens- und Branchenverbände zu versichern. Eine konzertierte oder zumindest abgestimmte Aktion mit dem BMWi (Stichwort: Mittelstandpolitik) und dem BMF (Stichwort: SEPA) sowie der deutschen Kreditwirtschaft (Stichwort: SEPA Begleitgesetz ab 2014) wäre dabei sicher hilfreich und könnte einem solchen Dialog eine angemessene Bedeutung und in der Folge auch ein angemessenes Interesse auf Seiten der Unternehmens- und Branchenverbände verleihen. Der Einsatz der eID-Funktion beim Kauf von Waren oder Dienstleistungen über das Internet erlaubt eine sichere Altersverifikation der Konsumenten. Damit ist nicht nur eine Prüfung der Geschäftsfähigkeit beim Verkauf hochpreisiger Waren oder Dienstleistungen (i. S. von § 110 BGB – „Taschengeldparagraph“) möglich, sondern kann zudem der Verkauf altersbeschränkter Medien, Waren und Dienstleistungen zuverlässig verhindert und hieraus folgend auch ein wirksamer Beitrag zur Suchtprävention (Stichworte: Genussmittel und Spielsucht) geleistet werden. Davon ausgehend sollten durch das BMI Gespräche zwischen den betroffenen Internetdienstleistern, eID-ServiceProvidern, den zuständigen Aufsichtsbehörden und Ressorts in Gang gebracht und ggf. auch moderiert werden, die dazu beitragen, die Bereitschaft der Online-Dienstleister wie auch der Offline-Dienstleister zur Nutzung der eID- Funktion für eine sichere und zuverlässige Altersverifikation nachhaltig zu befördern. Die Expansion internetfähiger Mobilgeräte in allen gesellschaftlichen Bereichen ist nicht zu übersehen. Nahezu jeder nutzt heute ein Smartphone oder ein Tablet, um mobil ins Internet zu gehen. Die Umfrageergebnisse bestätigen, dass mobile Nutzungsmöglichkeiten der eID-Funktion des neuen Personalausweises die Akzeptanz bei den Verbrauchern deutlich erhöhen würde. Das BMI sollte daher Entwicklungen fördern und unterstützen, mit denen es möglich wird die Sicherheit der elektronischen Identität des neuen Personalausweises auf mobilen Endgeräten zu nutzen oder gar zu übertragen. Der Einsatz der eID-Funktion als Authentifikationsinstrument an POSTerminals ist technisch an eine ganze Reihe sehr voraussetzungsvoller Annahmen geknüpft, deren Umsetzung einen deutlichen Aufwand auf Seiten der Händler nach sich ziehen würde. In diesem Zusammenhang sollte das BMI daher auch die Möglichkeit prüfen, die eID-Funktion des neuen Personalausweises auch offline, d. h. ohne augenblicklichen Anschluss an einen eID-Service Provider, an Automaten, Terminals und Zugangssystemen einsetzen zu können. Das würde dem Handel neue Handlungsoptionen für kundenfreundliche und zugleich sichere Lösungen eröffnen. Das BMI könnte für eine solche Prüfung das BSI mit der Durchführung technischer Machbarkeitsstudien beauftragen Die Bewerbung der eID-Funktion als sicheres und zuverlässiges Instrument zur wechselseitigen Authentifikation im Internet findet bis heute überwiegend über „Nischen“medien, wie dedizierte Ausweisportale oder auf Webseiten der in diesem Umfeld tätigen IT-Unternehmen statt. Jeder Schokoriegel wird heute aggressiver beworben, als neue und vor allem sichere Geschäftsmodelle rund um den neuen Personalausweis. Nötig wäre daher die Wiederaufnahme einer aktiven und öffentlichkeitswirksamen (und darum auch nicht vorrangig technisch getriebenen) Kommunikationsstrategie, die bewusst auch auf die Einbeziehung traditioneller Print- und elektronischer Medien setzt, und vor allem die Sicherheitseigenschaften der eID-Funktion zielgruppengerecht erläutert. 5 6 Inhaltsverzeichnis 1. Einführung ................................................................................................................................................. 9 2. Retail is detail & goes mobile .......................................................................................................... 11 2.1. Trends und Entwicklungen von E-Commerce im Mittelstand ......................................... 11 2.2. Optionen für den stationären Handel.......................................................................................... 17 2.3. E-Payment............................................................................................................................................... 18 3. E-Commerce – aber sicher? ............................................................................................................. 24 3.1. Sichere elektronische Identitäten ................................................................................................. 25 3.2. Schutz personenbezogener Daten im Netz ............................................................................... 29 3.3. Schadensbegrenzung für die Händler? ....................................................................................... 41 3.4. Sichere Altersverifikation ................................................................................................................ 43 3.5. Der Ausweis als „Vertrauensanker“ ............................................................................................. 46 4. IT Roadmap im E-Commerce .......................................................................................................... 47 5. Ein erstes Fazit...................................................................................................................................... 55 6. Explorative Umfrage........................................................................................................................... 61 7. Schlussfolgerungen ............................................................................................................................. 71 8. Empfehlungen ....................................................................................................................................... 74 8.1. Nachhaltige Verankerung der eID-Funktion in attraktiven E-Government Anwendungen ........................................................................................................................................ 74 8.2. Aktionsbündnisse und Anreize entlang der gesamten Wertschöpfungskette des E-Commerce schaffen ......................................................................................................................... 74 8.3. eID für den Jugendschutz und die Suchtprävention einsetzen ......................................... 75 8.4. Mobile elektronische Identitäten unterstützen ...................................................................... 76 8.5. Die eID-Funktion an POS-Terminals?.......................................................................................... 77 8.6. Die Kommunikation spürbar verbessern .................................................................................. 78 9. Quellen ..................................................................................................................................................... 79 9.1. Bücher ...................................................................................................................................................... 79 9.2. Studien ..................................................................................................................................................... 79 10. Anlagen .................................................................................................................................................... 81 7 8 1. Einführung Das Internet verändert die Welt für die Unternehmen wie für die Verbraucher. Der Anschluss in das World Wide Web wird in einem atemberaubenden Tempo zum Knotenpunkt sozialer und wirtschaftlicher Aktivitäten. Der digitale Lifestyle ist längst kein Randphänomen mehr. Einkaufen über das Internet wird von den Verbrauchern zunehmend als Verbesserung der Lebensqualität empfunden, es spart Zeit und in vielen Fällen auch Geld. Immer mehr auch traditionelle Offline-Händler nutzen daher das Internet als zusätzlichen Kommunikations- und Vertriebskanal für ihre Kunden. Die Verbraucher ihrerseits schätzen komfortable und reibungslose Prozesse beim Einkauf auf Distanz: Breite des Angebots, Lieferbedingungen und Zahlungsmodalitäten beeinflussen dabei in erheblichem Maße die Gesamtbeurteilung des Einkaufs im Internet. Durch den enormen Erfolg von Smartphones und Tablet-Computern gewinnt diese Entwicklung noch einmal zusätzlich an Dynamik und Relevanz. Gleichzeitig aber herrscht, trotz aller Begeisterung, sowohl bei den Verbrauchern als auch den Unternehmen nach wie vor eine große Verunsicherung. Verbraucher wie Unternehmen fürchten den Missbrauch ihrer Daten und den daraus entstehenden wirtschaftlichen Schaden. Neben modernen physischen Infrastrukturen wie Cloud Computing ist daher Sicherheit eine wesentliche Voraussetzung für die Akzeptanz und damit auch für die weitere Entwicklung von E-Commerce. Der neue Personalausweis eröffnet mit der eID-Funktion die Möglichkeit, sich auch im Internet verlässlich auszuweisen und die gegenseitige Vertrauensbasis beim Online-Einkauf zu stärken sowie den Missbrauch von Daten bei der Kommunikation über das Internet zu verhindern. Darüber hinaus ist die Nutzung der eID-Funktion des neuen Personalausweises imstande, den Unternehmen eine hohe und zuverlässige Datenqualität zu verschaffen, und auf dieser Basis eigene Geschäftsprozesse zu verschlanken und effizienter zu gestalten. Vor diesem Hintergrund beschäftigt sich die vorliegende Expertise mit der Frage, welche Hemmnisse zu überwinden, resp. Voraussetzungen zu schaffen sind, um Online-Händlern wie Verbrauchern einen verstärkte Nutzung der eID-Funktion nahelegen zu können. In Kapitel 2 versuchen die Autoren absehbare Trends im E-Commerce darzustellen, um daraus schlussfolgernd im Kapitel 3 vor allem sicherheitsrelevante Themen im Kontext des Online-Handels zu würdigen. Kapitel 4 widmet sich aktuell absehbaren Entwicklungen im IT-Dienstleistungssektor. In Kapitel 5 unternehmen die Autoren den Versuch, ausgehend von den in den vorangegangenen Kapiteln beschriebenen Trends und Entwicklungen in einem vorläufigen Fazit (Thesen) Chancen und Anreize für die Etablierung einer eID-basierten Infrastruktur im E-Commerce zusammenzufassen. Ziel der Expertise sind Handlungsempfehlungen zum Vorgehen bei der Gewinnung von Stakeholdern für die Erweiterung eines Aktionsbündnisses des BMI zur Förderung des Einsatzes des neuen Personalausweises im E-Commerce, hier insbesondere im Mittelstand. Die in Kapitel 5 formulierten Thesen sind daher Ausgangspunkt und Grundlage für die Planung und Durchführung explorativer Interviews mit ausgewählten Stakeholdern, insbesondere Vertretern von Handelsorganisationen, Finanzinstitu- 9 ten und E-Payment-Plattformen sowie IT-Dienstleistern. Ziel dieser Expertengespräche ist die Prüfung der in Kapitel 5 formulierten Thesen. Den Expertengesprächen liegt ein gemeinsamer mit dem BMI ausgearbeiteter Fragenkatalog zugrunde (Kapitel 6), die Ergebnisse der Gespräche werden in Kapitel 7 dargestellt und bewertet. Kapitel 8 schließlich beschreibt Handlungsempfehlungen, gruppiert nach möglichen Zielgruppen (Ansprechpartnern wie Verbraucher, Online-Händler und IT-Dienstleister) und denkbaren Konstellationen (Szenarien), mit denen das Aktionsbündnis zur Förderung des neuen Personalausweises im E-Commerce verbreitert werden kann. 10 2. Retail is detail & goes mobile 2.1. Trends und Entwicklungen von E-Commerce1 im Mittelstand Einkaufen über das Internet ist eine Entwicklung, die alle Demographien in Deutschland durchdringt. Selbst bei den 55- bis 65-jährigen haben neun von zehn bereits online eingekauft.2 Auch so genannte „Traditionalisten“, bei denen der traditionelle Offline-Einkauf, nicht zuletzt wegen des besonderen haptischen Erlebnisses und persönlicher Beratung, immer noch hoch im Kurs steht, nutzen zunehmend das Internet als Quelle für Informationen über Produkte und Dienstleistungen. So ist es heute selbstverständlich, dass Übernachtungsangebote von Hotels oder Pensionen die Möglichkeit bieten, sich vorab über das Internet über die Zimmerausstattung und jahreszeitlich gestaffelte Preisangebote zu informieren. Das bedeutet, nicht nur die InternetBestellung, sondern auch der Web-induzierte Kauf, stationär oder online, spielt im interaktiven Handel mit Produkten und Dienstleistungen eine wichtige Rolle. Grundlage hierfür sind die Internetpenetration im Allgemeinen sowie die zunehmende Breitbandversorgung im Besonderen. Unübersehbar ist dabei auch, dass die überdurchschnittlich wachsende Verbreitung mobiler Geräte, wie Tabletcomputer und immer leistungsfähigerer Smartphones, die Affinität zur Online-Information und zum OnlineEinkauf von Produkten wie auch Dienstleistungen weiter verstärkt.3 Dabei stellt sich gar nicht die Frage, ob der eine Kanal den anderen verdrängt, sondern Internetpräsenz ist ein Service den Unternehmen ihren Kunden anbieten, indem sie sich informieren und kaufen können wann sie wollen und von wo aus sie wollen. Die Gründe für die unübersehbare auch emotional positive Aufladung des OnlineEinkaufs sind vor allem 1 2 3 E-Commerce (auch Electronic Commerce, elektronischer Geschäftsverkehr, elektronischer Handel) bezeichnet alle Formen von Handel und Dienstleistungen sowie die dazugehörigen Geschäftsprozesse (z. B. die Zahlungsabwicklung) im Internet (Quelle: E-CommerceLeitfaden, Universitätsverlag Regensburg 2009, S. 291) Nach dem Gabler Wirtschaftslexikon (siehe unter: http://wirtschaftslexikon.gabler.de/Definition/e-commerce.html) ist ECommerce Teil des E-Business und umfasst jede Art von geschäftlichen Transaktionen bei denen die Beteiligten auf elektronischem Wege (z. B. über das Internet oder Netzwerke von Mobilfunkanbietern) miteinander verkehren und nicht durch physischen Austausch in indirektem physischen Kontakt stehen. Steffens, D. (TNS Infratest): Digitalisierung meets Commerce meets neue Konsumtrends in: Einkaufen 4.0. Der Einfluss von E-Commerce auf Lebensqualität und Einkaufsverhalten, Deutsche Post-DHL und tns infratest 2012, S. 22 ff., abgerufen am 17.05.2012 unter: www.dp-dhl.com Eine aktuelle, gemeinsame Studie von Otto und Google kommt zu dem Ergebnis, das die Grenzen zwischen E-Commerce und M-Commerce (also der elektronischen Interaktion zwischen Unternehmen und ihren Kunden mithilfe mobiler elektronischer Endgeräte) in den nächsten Jahren zunehmend verschwinden werden (Quelle: Go smart 2012. Always in Touch, Studie zur Smartphone Nutzung 2012, abgerufen am 26.05. 2012 unter: http://www.ottogroup.com/media/docs/de/studien/go_smart.pdf 11 die Vielfalt des Angebots und damit einhergehend die Möglichkeit der auf die jeweilige Lebenssituation zugeschnittenen individuellen Auswahl, die selbstbestimmte und flexible Informations- bzw. Kaufsituation sowie ein wachsendes Kompetenzgefühl durch Preistransparenz und Käuferbewertungen: der so genannte „empowered user“ kann selbstbestimmt und sicherer in dem Universum der Möglichkeiten agieren. Das Internet ist für die Deutschen zum ebenso beliebten wie geschätzten Einkaufsmarkt geworden und aus Sicht der Dienstleister ein bedeutsamer Marketing – und Vertriebskanal mit den höchsten Wachstumsraten. Auf Internetpräsenz zu verzichten, erweist sich immer mehr als Wachstumsbremse. Und, längst ist Produktinformation bis hin zum Kauf auf Distanz auch ein Thema für Dienstleister die ihre Heimat bislang vor allem im stationären, eher regional-orientierten Angebot von Produkten und Dienstleistungen bzw. im traditionellen, Katalog-basierten Versandhandel hatten und wohl auch weiterhin haben werden. Der Kauf von Produkten „vor Ort“ oder aus dem Katalog wird in absehbarer Zeit – nicht zuletzt vor dem Hintergrund der demographischen Entwicklung – kaum vollständig vom Online-Handel abgelöst werden. Der E-Commerce-Markt wächst nach einer Studie der KPMG und des EHI Retail Institutes in Deutschland seit Jahren und hat im Jahr 2009 erstmalig einen größeren Umsatz als der Katalogversandhandel aufgewiesen (siehe Abbildung 1).4 Entwicklung im deutschen Versandhandel (in Mrd. Euro, *Prognose) 40 35 30 25 20 Katalogversand 15 E-Commerce 10 5 0 2006 2007 2008 2009 2010 2011 2012* Abbildung 1: Gesamtentwicklung im deutschen Versandhandel (Quelle: KPMG)5 Eine vom EHI Retail Institute durchgeführte Marktstudie der 1.000 größten Onlineshops für physische und digitale Güter macht dabei deutlich, dass der größte Umsatzanteil durch solche Shops erwirtschaftet wird, die in mehreren Produktsegmenten 4 5 12 Quelle: www.kpmg.de/docs/20120418-Trends-Handel-2020.pdf Fn. 4, ebenda S. 20 vertreten sind. Diese so genannten Generalisten bzw. „All-Arounder“ erwirtschafteten in 2010 mit 8,3 Milliarden Euro rund 36,6% des gesamten deutschen E-CommerceUmsatzes.6 Online-Vertrieb (inkl. Logistik), -Banking, -Kundenservice und –Werbung fristen natürlich auch im Mittelstand kein Nischendasein mehr, sondern werden längst als zusätzlicher und ergänzender Vertriebskanal zur Vorteilsgewinnung im Wettbewerb eingesetzt, wie eine Studie des Bundesministeriums für Wirtschaft und Technologie zum elektronischen Geschäftsverkehr in Mittelstand und Handwerk für das Jahr 2011 ausweist.7 Danach sehen Mittelstandunternehmen die Nutzung des Internet in der Zukunft für Marketing und Vertrieb nicht zuletzt in innovativen Webangebote und die stärkere Einbettung von Web 2.0 Elementen in ihre Internetauftritte. Während 2011 die durchschnittlichen Werte dieser E-Commerce-Anwendungen in der Bewertung bei circa zwei Skalenpunkten liegen, steigen sie in der Einschätzung für 2013 allesamt auf gut drei von fünf Skalenpunkten an. 0 0,5 1 1,5 2 2,5 Online Werbung 2,12 Innovative Technologien 2,09 Elektronische Rechnungslegung 2,09 Innovative Web-Angebote 2,07 3 3,5 3,28 3,16 Nutzung heute Web 2.0-Elemente auf der Webseite 3,11 Nutzung in 2 Jahren 3,09 1,85 3,04 Abbildung 2: Top-Aufsteiger der E-Business Anwendungen (Quelle: BMWi, Fn. 7) Die erwartete und wohl auch geplante stärkere Einbettung von Web 2.0 Elementen in die E-Commerce-Plattformen ist vor allem der Tatsache geschuldet, dass sich mit der Nutzung des Internet ein Wandel vom Verkäufer- über den Käufermarkt hin zum Marktplatz des individuellen Kunden vollzieht. Die persönlichen Konsumwünsche werden vor dem Hintergrund kurzlebiger Lifestyle-Zyklen immer differenzierter. Hinzu kommt, dass die Konsumenten dank des Internet die digitale Selbstbestimmung 6 7 EHI Retail Institute, E-Commerce Markt Deutschland 2011, unter: http://www.ehi.org/geschaeftsbereiche/forschung/e-commerce/marktstudie.html. http://www.bmwi.de/BMWi/Navigation/Service/publikationen,did=459830.html. Etwa 36% der E-Commerce-Anbieter ihre Wurzeln im reinen Online-Geschäft, ca. 33% haben ihre Heimat im Versandhandel und 21% im stationären Handel (siehe Fn. 6) 13 und –findung nutzen, um sich untereinander zu beraten und auf diese Weise ungefragt zu freien Mitarbeitern der Unternehmen aufsteigen, die mit einem einfachen „Gefällt-mir“-Button imstande sind, die Wertschöpfungsketten maßgeblich beeinflussen. Die Konsumenten werden zum Impulsgeber für Dienstleistung, Handel und Produktion, denn Kunden informieren Kunden über die Qualität von Produkten und Dienstleistungen (bis hin zum Lieferservice) im Millisekundentakt und das weltweit. Soziale Medien gehören deshalb unter dem Begriff des „Social Commerce“ bei vielen OnlineHändlern und -dienstleistern immer häufiger zum Portfolio der Kommunikation mit Kunden. Über die Hälfte der E-Shops hat inzwischen ein Facebook-Profil, fast ein Drittel verfügt über einen Twitter-Account, und elf Prozent nutzen einen eigenen Kanal bei Youtube. Rund 34 Prozent der Händler bieten Shop- und/oder Produktbewertungen an.8 Die von Management- und Marketingstrategen auch unter dem Stichwort „Consumer Centricity“ zusammengefasste Entwicklung verschiebt die Wertschöpfung zusehends von der industriellen Massenfertigung hin zum individualisierten Produkt“erlebnis“ und gelebten Kundenbeziehungen, die in Empfehlungen wie „das könnte ihnen auch gefallen“ münden.9 Aus einer reinen produktorientierten Dienstleistungsökonomie wird so immer mehr eine Netzwerkökonomie, die imstande ist, die Bedürfnisse und Wünsche der Konsumenten über die gesamte Wertschöpfungskette hinweg, d. h. von der Idee über die Herstellung, die Präsentation bis hin zum Vertrieb zu erfüllen.10 Voraussetzung dafür ist natürlich die Bereitschaft und die Fähigkeit der Hersteller und Dienstleister zur horizontalen und vertikalen Kooperation. Das Stichwort ist Coopetition, Zusammenarbeit auf Augenhöhe bei gleichzeitigem Wettbewerb. Mit dieser, ausschließlich auf den Kundennutzen fixierten, Organisationsstrategie ist es bspw. für Amazon oder Otto überhaupt kein Problem neben den traditionellen 8 9 10 14 E-Commerce Markt Deutschland 2011, Fn. 6, ebenda. Kundengezielte Ansprache in sozialen Netzwerken unterliegt natürlich naturgemäß anderen Regularien als die bei üblichen Content-Portalen der Fall ist. Denn hier geht es nicht nur um die Animation zum direkten Konsum, sondern auch darum die persönlichen Netzwerke einzubeziehen. Auch als „Cross-Selling bezeichnet, d. h. das gezielte Angebot zusätzlicher Waren oder Dienstleistungen als Ergänzung zu einer vom Kunden nachgefragten Leistung. Up-Selling auf der anderen Seite dagegen bezeichnet das Angebot eines höherwertigen Produktes als Substitutionsgut zu der nachgefragten Leistung. Die Ziele von Cross-Selling und Up-Selling stimmen mit denen im stationären Handel überein. Während aber im stationären Handel der Verkäufer in der persönlichen Interaktion die für ihn relevanten Informationen über die Wünsche und Vorlieben des Kunden einfach einholen kann, fehlt dem Online-Händler diese Option und wird durch eine verhaltensbasierte, d. h. in der Regel auf der Analyse des bisherigen Kaufverhaltens fußende, Zielgruppenansprache ersetzt. Unternehmen, die ihre E-Commerce-Strategie erfolgreich umsetzen wollen, müssen ihr Geschäftsmodell auf einem integrierten Service aufbauen. E-Commerce, das bedeutet vor allem Logistik und einen außergewöhnlichen Kundenservice. Die entscheidende Serviceleistung beginnt mit der Bestellung, die der Kunde aufgibt, die Bestätigung der Bestellung, über den Versand bis zur Auslieferung und natürlich die Möglichkeit einer Retoure, all diese Prozesse werden bestmöglich von einem reaktionsschnellen Kundenservice begleitet. In der kommunikativen Unterstützung dieser Prozesse liegt der Erfolg eines exzellenten Kundenservices, der Nähe zum Kunden, Zufriedenheit und Vertrauen in das Unternehmen schafft. E-Commerce stellt deshalb auch besondere Anforderungen an die Logistik. Marken auch andere Produkte und verschiedene Hersteller oder Lieferanten auf der eigenen Homepage zu vermarkten.11 Auf diese Weise ist es nicht nur gelungen, Online-Marktplätze zu etablieren, die für die beteiligten Hersteller und Vertriebspartner auch die Kundenbeziehungen professionalisieren, sondern mit der Erreichung bestimmter Umsatzschwellen kommen natürlich die üblichen Skaleneffekte hinzu. Die Fixkosten im Vergleich zum Umsatz sinken, was solche branchen-übergreifenden oder auch branchenspezifischen (wie bspw. das Portal für Herrenmarkenbekleidung http://www.herrenausstatter.de oder der Hotelreservierungsservice http://www.hrs.de) E-Commerce-Plattformen noch wettbewerbsfähiger macht. Im deutschen Internethandel gewinnen daher die großen OnlineHändler immer mehr an Boden. Der Marktanteil der zehn größten E-CommerceAnbieter stieg in den allein in den Jahren 2010 und 2011 von 27 auf 31,5 Prozent. Das geht aus der von dem auf Handelsthemen spezialisierten Forschungsinstitut EHI und Statista veröffentlichten Untersuchung "E-Commerce-Markt Deutschland 2011" hervor.12 Ein Ende dieses Konzentrationsprozesses ist nicht abzusehen, nicht zuletzt auch vor dem Hintergrund, dass viele, vor allem kleine mittelständische Unternehmen kaum auf Dauer imstande sind, die bei einem Kauf einer E-Shop-Software für die Errichtung und den professionellen Betrieb von E-Commerce-Plattformen notwendige Kapitalbindung, mit Blick auf die wachsenden Anforderungen hinsichtlich Usability, Integration von Online-Bezahlsystemen, Logistik, Customer-RelationshipManagement oder auch Datenschutz und Datensicherheit, einzugehen. Und so drängt sich natürlich die Frage auf, mit welchen Strategien („kaufen“ und den Online-Shop im Eigenbetrieb zu vermarkten oder „mieten“) mittelständische Wettbewerber im ECommerce-Umfeld dem noch Paroli bieten könnten. Der aus betriebswirtschaftlicher Perspektive langfristig attraktivste und von vielen Herstellern und Dienstleistern gewählte Weg ist, sich auf den großen branchenübergreifenden oder auch branchenspezifischen E-Commerce Plattformen „einzumieten“ und so an der deren weiteren Professionalisierung vermittels eines „FullServices“ unmittelbar teilzuhaben.13 Die stationären „Vorbilder“ sind unter Namen wie bspw. Kauf- oder Versandhaus oder auch Baumarkt geläufig. Sie bilden auch die 11 12 13 Viele, auch klassische Versandhändler, praktizieren online seit langem den so genannten Long-Tail-Ansatz und binden Vertriebspartner ein, um ihr Sortiment konsequent zu erweitern und Nischensortimente nicht selber beschaffen zu müssen. Amazon bspw. arbeitet mittlerweile mit 1,2 Millionen kleineren Händlern zusammen, die fast ein Drittel des Amazon-Umsatzes auf sich vereinen (Heinemann, G.: Aktuelle Situation und zukünftige Herausforderungen im E-Commerce, in: Heinemann, G., Haug, A.: Web-Excellence im E-Commerce, Gabler Verlag Wiesbaden 2010, S. 9). E-Commerce Markt Deutschland 2011, Fn. 6, ebenda. Neben den beiden Spitzenreitern amazon.de und otto.de gehören zu den Top zehn des deutschen Online-Handels der Studie zufolge: neckermann.de, telekom.de, der Elektronikhändler conrad.de, der Textilhändler bonprix.de, der Buchhändler weltbild.de, das Musikhaus thomann.de, der Computerhändler notebooksbilliger.de und der Versandhändler baur.de. Immerhin 33% der Online-Händler sind auf eBay und 30% auf dem Amazon-Marktplatz präsent. 15 große Gruppe des so genannten Hybrid-Handels, der in beiden Welten, online wie stationär, zu Hause ist. 14 Eine zweite Möglichkeit bietet die wachsende Rolle von Social Media wie bspw. Facebook zu nutzen, um sich vor allem durch eine intensivere Kundenbeziehung oder in so genannten Community-Shops, ggf. kombiniert mit stationären „Erlebniswelten“ gegenüber den Branchenriesen zu profilieren.15 Stationäre „Vorbilder“ liefern bspw. Biomärkte oder auch spezialisierte Handelsketten. Tabelle 1: Kauf- und Mietshop Vertreiber16 Name Internetadresse Art absofort Erfolg im Internet GmbH & Co.KG Data Becker web to date Da Vinci Technology GmbH Gambio GmbH Mondo Shop Smartstore Intershop 1&1 Shop Strato T-Online Rakuten Deutschland GmbH Yagato Shopping Magento osCommerce Oxid xt:Commerce www.absofort.de Kaufshop www.databecker.de www.davinci-tec.de www.gambio.de www.mondo-media.de www.smart-store.de www.intershop.de www.1und1.de www.strato.de www. t-online.de www.rakuten.de www.yatego.com www.magentocommerce.com/de www.oscommerce.de www.oxid-esales.com www.xt-commerce.com Kaufshop Kaufshop Kaufshop Kaufshop Kaufshop Kauf-/Mietshop Mietshop Mietshop Mietshop Mietshop Mietshop Open Source Shop Open Source Shop Open Source Shop Open Source Shop Eine dritte und ebenfalls zunehmend genutzte Möglichkeit ist der Zusammenschluss mittelständischer Unternehmen zu einer eher regional orientierten E-Commerce14 15 16 16 Nach einer aktuellen Studie des ECommerce Center – Handel aus dem Jahre 2010 betreibt fast jeder der befragten Händler einen eigenen Online-Shop, ca. ein Drittel sind auf Internet-Marktplätzen, wie Ebay oder Amazon präsent, selbständige Kleinsthändler bevorzugen so genannte zShops (Quelle: www.ecc-handel.de/) In einem Umfeld, in dem der Wettbewerb nur einen Klick entfernt ist, müssen vor allem hochpreissegmentige Marken darauf setzen, mehr als nur ein Katalog im Internet zu sein. Hier ist eine Differenzierung zum Wettbewerb nur durch eine kreative und qualitativ hochwertige Darstellung von Produkten und außergewöhnlichen Service möglich. Käufer hochwertiger Marken bevorzugen es, online zu shoppen, mehr als die Hälfte besuchen die Website einer Marke, bevor sie einen Kauf tätigen. Webshops, die vor allem Premium- und Luxus-Marken anbieten, stellen daher nicht den reinen Abverkauf in den Mittelpunkt ihrer Strategie für eine Online-Präsenz, sondern versuchen einen „Ort“ zu schaffen, an dem die Marke mit all ihren Facetten erlebt werden kann und die Identifikation mit einem bestimmten Lifestyle erlaubt. Quellen: http://www.esales4u.de/2010/e-commerce-markt-analyse-ehi-statista.php, http://www.netzwelt.de/news/82010_2-erfolgreich-verkaufen-netz-bestenwebshops.html, http://www.2bguide.com/business/20110709/onlineshop-systeme.html Plattform, die mit der Vermarktung vor allem regionaler Produkte eine besondere Kundennähe herzustellen imstande ist. Klassisches stationäres „Vorbild“ ist der regionale Wochenmarkt. 2.2. Optionen für den stationären Handel17 Lange Zeit galt das Internet als Bedrohung des stationären Einzelhandels. Der Anteil des E-Commerce steigt unaufhörlich und in großen Teilen zu Lasten der Marktanteile der Offline-Händler. Trotzdem werden nach wie vor über 90% des Handelsumsatzes offline erwirtschaftet.18 Zugleich aber finden „immer mehr mittelständische Facheinzelhändler den Weg ins Internet und kombinieren ihr stationäres Ladengeschäft mit einem Online-Shop“, so der Hauptgeschäftsführer des Handelsverbands HDE. „Damit folgen sie den Verbrauchern, die heute ganz selbstverständlich mehrere Einkaufskanäle neben einander nutzen“19. Gerade die Online-Produktrecherche über Suchmaschinen oder Preisvergleichs- bzw. Produktinformationsportalen gehört für große Teile der Verbraucher mittlerweile zum Alltag. Über zwei Drittel der Online-Händler möchten deshalb in 2012 ihr Suchmaschinen-Ranking verbessern.20 Obwohl dabei lokale Angebote für den Verbraucher u. U. wichtige Informationen darstellen, sind diese online immer noch unterrepräsentiert. Im Jahre 2011 betrieben nach Angaben des Handelsverbandes HDE gerade mal 15% der deutschen Einzelhändler sowohl ein Ladengeschäft wie auch einen Online-Shop.21 Dabei stellt das Internet auch für den stationären Handel ein durchaus relevantes Kommunikationsund Transaktionsmedium dar und im Online-Marketing gelten die gleichen Spielregeln wie im traditionellen Offline-Marketing Eine gute Lage (Sichtbarkeit) ist von großer Bedeutung Das Kaufinteresse (Relevanz) des potenziellen Kunden muss geweckt werden Der Kunde muss die Ware umstandslos erwerben können (Komfort) Der Kunde muss zurückkommen und nicht die Ware (Zufriedenheit) Dank der Lokalisierung von Diensten und Inhalten im Netz ist vor allem der Faktor „Standort“ zu neuem Leben erweckt worden. Die klassische Homepage spielt dabei nach wie vor eine große Rolle muss jedoch als relevante Ergebnisseite in Suchmaschinen um eine Reihe von Zusatzinformationen ergänzt werden, die bspw. die Verbindung von Angeboten mit physischen Orten (Länder, Regionen, Städte) unterstützen.22 17 18 19 20 21 22 Da der stationäre Handel nicht im Fokus der Expertise stand, werden die Optionen an dieser Stelle ohne Anspruch auf Vollständigkeit nur kurz gestreift. Quelle: Mittelstand goes Internet, abgerufen am 26.95.2012 unter http://www.einzelhandel.de/pb/site/hde/node/1368975/Lde/index.html Siehe Fn. 18, ebenda E-Payment Barometer 4-2011 der ibi Research an der Universität Regensburg GmbH, abgerufen am 26.05.2012 unter: http://www.ibi.de/e-payment-barometer.html Siehe Fn. 18, ebenda In der Regel erfolgt dies mit so genanntem „Geotagging“, bei dem Dokumente oder ganze Webseiten mittels „Metatags“ oder „Microformats“ mit Geokoordinaten versehen werden, oder durch einfache Ortsangaben. Auf diese Weise ist es vor allem dem mobilen Nutzer rasch möglich das für ihn nächstgelegene, lokale Angebot zu finden. 17 Neben der eigenen Homepage kommen für Adressierung (Verlinkung) von Online-Angebote natürlich auch zahlreiche lokale oder auch regionale Portale in Betracht, die häufig eine Mischung aus den klassischen „Vorbildern“ Branchenverzeichnis und Reiseführer darstellen. Einige dieser Portale haben auch schon mit Erfolg eine mobile Version bzw. Apps für mobile Endgeräte etabliert. Die eigene Homepage des stationären Einzelhändlers hat vor allem den Vorteil gegenüber den reinen Online-Händlern, dass sie dem Verbraucher auch gewohnte und direkte Kommunikationskanäle wie Telefon oder Fax bereithalten halten kann. Eine weitere Form der Vermarktung lokaler, stationärer Angebote stellen digitale Anzeigen von Prospekten und Beilegern dar, die in lokalen Internetseiten – bspw. Auftritten von Regionalzeitungen im Netz – eingebracht werden können. Prominente Beispiele hierfür sind das Start-up kaufda.de oder allesnebenan.de Portal der Deutschen Post. Der klare Vorteil: derartige Angebote können nahtlos auf bestehende Kampagnen oder Formate aufsetzen, die dem Verbraucher schon aus dem Offline-Alltag hinlänglich vertraut sind. Kombiniert mit dem klassischen Format der Coupons und Gutscheine lässt sich nicht nur der Anreiz das Ladengeschäft zu besuchen, erhöhen sondern zudem dank Barcode eine lückenlose Nachverfolgung des Coupons vom Ursprung bis zur Ladentheke bewerkstelligen und so der Erfolg von OnlineMarketingkanälen messen. 2.3. E-Payment Das fehlende Angebot des aus der Perspektive des Kunden bevorzugten Zahlungsverfahrens ist nach dem E-Commerce-Leitfaden23 eine der häufigsten Ursachen für den Abbruch von Online-Käufen. Etwa 80% der Kunden brechen den Kauf ab, wenn nur die Zahlung per Vorkasse angeboten wird. Sichere und zuverlässige, effiziente, kostengünstige und vor allem bequem zu bedienende elektronische Zahlungssysteme und –verfahren sind also eine wesentliche Voraussetzung für die weitere Entwicklung des elektronischen Handels. Zu den „Klassikern“ – offline wie online – zählen Rechnung, Vorkasse und Nachnahme. Der Kauf auf Rechnung hat in Deutschland eine ebenso lange Tradition wie Akzeptanz bei den Kunden, weil er aus ihrer Sicht die Risiken eines Kaufs (hier insbesondere Liefer- und Gewährleistungssicherheit) minimiert und asymmetrisch dem Händler aufbürdet. Umgekehrt verhält es sich beim Kauf auf Vorkasse, hier ist das Risiko einer verspäteten, unvollständigen oder fehlerhaften Lieferung eindeutig auf der Seite des Kunden, der Händler dagegen ist gegen Zahlungsausfälle oder auch nur verspätete Zahlungen besser geschützt. Kauf auf Nachnahme ist für beide Seiten misslich, denn sie bindet die Zahlung stringent an den Lieferzeitpunkt. Ähnlich lassen sich nach Dannenberg/Ulrich24 auch elektronische Zahlungsverfahren unterscheiden: Bei den als „Pay-Before“ (oder auch „Pre-Paid) bezeichneten Modellen erfolgt eine Belastung des Kunden vor der eigentlichen Zahlung, indem er sein Zahlungsmedi23 24 18 E-Commerce-Leitfaden der ibi Research an der Universität Regensburg GmbH, Universitätsverlag Regensburg 2009, S. 108 Dannenberg, M., Ulrich, A.: E-Payment und E-Billing. Elektronische Bezahlsysteme für Mobilfunk und Internet, Gabler Verlag Wiesbaden 2004 um (Hard- oder Software) mit Bar- oder Buchgeld auflädt. Prominente Beispiele sind die elektronische Geldbörse oder ein virtuelles Kundenkonto wie bspw. im Falle PayPal, einem der, gemessen an der Nutzerzahl, bislang erfolgreichsten Zahlungssysteme im Internet. „Pay-Now“ Modelle sind dadurch bestimmt, dass der Kunde zu dem Zeitpunkt belastet wird, zu dem der Einkauf im Netz erfolgt. Beispiele hierfür sind Zahlungen per Online-Überweisung (wie bspw. bei dem von zahlreichen Banken und Sparkassen unterstützten Verfahren giropay bzw. PayPal via Bankkonto) oder elektronische Lastschriftverfahren. „Pay-Later“ Modelle legen den Belastungszeitpunkt nach dem der Zahlung. Beispielhaft hierfür sind „Inkassosysteme“ (wie Firstgate, T-Pay oder im weiteren Sinne auch Kreditkarten-basierte Zahlungsverfahren wie bspw. American Express gehören), die auf der Basis eines vereinbarten Kreditrahmens die Zahlung an den Lieferanten vorab übernehmen, und dann die über einen gewissen Zeitraum (in der Regel über einen Monat) angesammelten Beträge per Lastschrift vom Referenzkonto des Kunden abbuchen. Umsatz unter 500.000 € Umsatz über 500.000 € Vorkasse (Zahlung per Überweisung vor Lieferung) PayPal 55% 52%58% 46% Rechnung Kreditkarte Sofortüberweisung Lastschrift Moneybookers 11% 13% 7% 0% 7% 8% 3% 3% ClickandBuy tradoria Checkout mpass Google Checkout Bezahlen über Amazon DHL Checkout Debitkarte (z. B. Maestro E-Commerce) Sonstiges 83% 41% 43% 40% 53% 39% 58% Nachnahme giropay 88% 83% 77% 1% 3% 1% 0% 0% 3% 0% 0% 0% 8% 2% 5% Abbildung 3: Zahlungsverfahren im Online-Shop (Quelle: E-Payment Barometer ibi Research25) 25 E-Payment Barometer ibi Research, Fn.20 , ebenda 19 Aus Sicht des Händlers sind sowohl Pay-Before als auch Pay-Now gewissermaßen „Vorkasse“, denn die Zahlung erfolgt sofort, und darum auch in hohem Maße akzeptiert. Selbst Pay-Later, das aus Sicht des Verbrauchers am ehesten noch dem Kauf auf Rechnung gleichkommt, ist aus der Perspektive des Händlers auch „Vorkasse“, weil das Risiko des Zahlungsausfalls durch das „Inkassounternehmen“ getragen wird. Nach dem E-Payment Barometer der ibi Research26 bevorzugen kleine Händler vor allem Vorkasse, große auch die Kreditkarte. Die Entscheidung für ein oder mehrere der angebotenen Zahlungsverfahren ist für Online-Händler keine leichte Aufgabe, insgesamt stehen allein in Deutschland 40 Zahlungsverfahren mit je spezifischen Vor- und Nachtteilen zur Auswahl. Die wesentlichen Bewertungskriterien aus Sicht der Händler sind vor allem Zahlungssicherheit, Kosten für die Integration und Kundenfreundlichkeit. Zu den Erfolg versprechenden Zahlungsmitteln gehören nach Ansicht des Arbeitskreises E-Payment des Bundesverbandes der Dienstleister für Online-Anbieter (BDOA) e. V. neben den klassischen Zahlungsmitteln, wie Kauf auf Rechnung oder Vorkasse, die Kreditkarte, das elektronische Lastschriftverfahren und das OnlineBanking giropay.27 Die Kreditkarte ist das weltweit am meisten genutzte Zahlungsmittel, Lastschrift und Zahlung auf Rechnung zählt zu den bevorzugten OnlineZahlungsmitteln deutscher „Netzbürger. Sowohl für die Zahlung mit Kreditkarte wie auch per Lastschrift oder auf Rechnung ist das Zahlungsrisiko freilich nicht zu übersehen. Nicht zuletzt, weil überraschenderweise nach wie vor mehr als die Hälfte der Online-Händler Lastschriften immer noch manuell – ohne Abfragen von Sperrdateien oder die Nutzung von Adress- und Bonitätsprüfsystemen.28 Im Durchschnitt bieten deutsche Online-Händler 4,4 Zahlungsverfahren an. Die Ergebnisse der aktuellen Studie des E-Commerce-Center – Handel über die Bewertung von Internet-Zahlungsverfahren aus Sicht der Händler aus dem Jahre 201029 zeigen, dass zwar weiterhin die traditionellen Zahlungsverfahren wie Überweisung und Lastschrift dominieren, doch zeigt der Vergleich mit Ergebnissen der letzten Befragungswellen in 2005 und 2007 ein deutliches Plus bei alternativen Verfahren. Vor allem PayPal hat in den letzten Jahren an Bedeutung gewonnen. Ebenfalls zu den Gewinnern zählen die Kreditkarte, Sofortüberweisung.de, Giropay und ClickandBuy. Wie nicht anders zu erwarten, wird in Bezug auf Kundenfreundlichkeit die Bezahlung auf Rechnung am besten bewertet, gefolgt von der Kreditkarte. Als wenig kundenfreundlich dagegen gelten Nachnahme, T-Pay und die Vorauskasse. E-Payment Barometer 4/12, Fn. 20, ebenda E-Commerce-Leitfaden 2009, Fn. 23, ebenda S. 110. Ob sich das Angebot der B.I.T. Soft GmbH & Co KG aus Bückeburg künftig auch mit dem neuen Personalausweis bezahlen zu können (persopay.de), im Internet-Zahlungsverkehr oder am Point-of-Sales etablieren kann, bleibt abzuwarten. Nicht zuletzt, weil sich das Verfahren hinsichtlich des Bezahlvorgangs durch Hinterlegung eines Referenzkontos wenig von den eingeführten InternetZahlungssystemen unterscheidet. Ein Besuch der Webseite (www.persopay.de) lässt derzeit auch weder Anbieter noch Partner für dieses Vorhaben erkennen. 28 E-Commerce-Leitfaden 2009, Fn. 23, ebenda 29 Quelle: Internet-Zahlungssysteme aus Sicht der Händler, E-Commerce-Center (ECC)-Handel, www.ecc-handle.de/ 26 27 20 0 0,5 1 1,5 2 2,5 3 3,5 Rechnung Kreditkarte Finanz-/Ratenkauf Lastschrift PayPal Giropay Sofortüberweisung.de Treuhandverfahren Amazon Flexible PS Geldkarte Mobiles Bezahlen ClickandBuy PaySafecard Nachnahme T-Pay Micro Money Vorauskasse Abbildung 4: Bewertung der Kundenfreundlichkeit. Skala von 1 = "Sehr kundenfreundlich" bis 5 = "Überhaupt nicht kundenfreundlich"30 Mit Blick auf Zahlungssicherheit wird natürlich Vorauskasse am besten bewertet. Das gilt auch hinsichtlich der Kosten, hier gefolgt von der Lastschrift, Sofortüberwüberweisung.de und der Zahlung nach Rechnung. Bemerkenswert ist dabei, dass sich Lastschrift und Zahlung nach Rechnung trotz des Ausfallrisikos unter den Top 4 befinden. Eine deutliche Verbesserung in der Kostenwahrnehmung haben in den letzten Jahren PayPal und giropay erfahren.31 Am E-Payment-Geschäft sind in der Regel mehrere „Akteure“ beteiligt, wie die nachfolgende Abbildung für das Kreditkarten-basierte Transaktionen veranschaulicht. 30 31 32 Der Acquirer (Kartenakzeptanzunternehmen ist ein Unternehmen, das mit Händlern (Ladengeschäfte, Online-Shops) einen Kreditkartenakzeptanzvertrag für Zahlungsgeschäfte abschließt. Er benötigt hierfür die Autorisierung (Lizenz) der entsprechenden Kartenorganisation (MasterCard, Visa, American Express). Der Händler erhält eine Vertragsunternehmernummer für jede Kreditkarte, die dazu dient, den Händler gegenüber den Kreditkarteninstituten zu identifizieren.32 Quelle: Internet-Zahlungssysteme aus Sicht der Händler, Fn. 29, ebenda Quelle: Internet-Zahlungssysteme aus der Sicht der Händler, Fn. 29, ebenda Ein nicht ganz unumstrittenes Urteil des BGH vom 16. April 2002 hat allerdings dazu geführt, dass Kartenakzeptanzunternehmen keine Verträge mehr mit Online-Händlern abschließen oder bestehende kündigen, resp. sich wie bspw. Eurokartensysteme ganz aus dem Markt zurückziehen. Nach diesem Urteil gilt ein solcher Vertrag als allgemeines Schuldanerkenntnis, das bedeutet ein Akzeptanzhändler muss den Händlern für sämtliche Kreditkartenumsätze eine Zahlungsgarantie einräumen (siehe dazu http://www.netlaw.de/urteile/bgh_19.htm). 21 Der Issuer ist ein Unternehmen, i. d. R. die Bank bei der die Kreditkarte beantragt wird, dass mit dem Kunden einen Kreditkartenvertrag abschließt und ihm eine Kreditkarte des Unternehmens aushändigt. Der Payment Service Provider (PSP) ist ein Unternehmen (in der Regel ein ITDienstleister), das Zahlungsdienstleistungen anbietet, wie etwa die Übermittlung von Kreditkarten- und sonstigen Zahlungsdaten, und die technische Anbindung von Online-Shops (oder auch stationären Ladengeschäften) zur elektronischen Abwicklung von Zahlungstransaktionen ermöglicht. Abbildung 5: Beteiligte an Kreditkartenzahlungen (nach E-Commerce-Leitfaden, Fn. 23, S. 138 ) Den Markt für Kreditkarten teilen sich in Deutschland im Wesentlichen vier Unternehmen: Euro/Master-Card, Visa, American Express und Diners Club. Dabei sind die Kreditkarten am Gesamtumsatz des deutschen Einzelhandles nur mit 5% beteiligt, die Deutschen zahlen am liebsten bar.33 Die Einschaltung eines Payment Service Providers hat den Vorteil, dass er die Transaktionen im Netz abwickelt und auch Plausibilitäts- und Gültigkeitsprüfungen durchführt. Der Händler erhält lediglich einen Report über die vorgenommenen Transaktionen und die Gutschriften auf sein Konto. 33 22 http://de.statista.com/themen/108/kreditkarten/ Tabelle 2: Payment Service Provider für Kreditkartenabrechnung (Quelle: E-Payment und EBilling, Fn. 24, S. 106) Anbieter Zahlarten Pago eTransaction Services www.pago.de Kreditabrechnung (SSL, Verified by Visa-VbV ) Elektronisches Lastschriftverfahren Online Überweisung Paybox Rechnung, Nachnahme, Vorauskasse Kreditabrechnung (SSL, Verified by Visa, MasterCard Secure Code) Elektronisches Lastschriftverfahren Geldkarte Kreditkartenabrechnung (SSL, SET, VbV) Elektronisches Lastschriftverfahren Mobile Payment (Street Cash) Prepaid (paysafecard) Kreditkartenabrechnung (SSL) Kreditkartenakzeptanz-Vermittlung Elektronisches Lastschriftverfahren Globale Abrechnung Micropaymentsysteme Kreditkarten Clearing (SSL und SET) Elektronisches Lastschriftverfahren Internationales Lastschriftverfahren Paysafecard, Paybox Innovative Verfahren, wie z. B. D2 Vodafone Pay (Mobile) Computop Wirtschaftsinformatik GmbH www.computop.de Inatec GmbH www.powercash21.de WebTRADE.NET GmbH www.webtrade.net Wire Card AG www.wirecard.com Am Point of Sale werden die meisten Umsätze, neben der klassischen Barzahlung mit den von Kreditinstituten ausgegebenen Debitkarten (ec-Karten oder Maestro-Karten) getätigt (73%), gefolgt von den klassischen Kreditkarten Visa, MasterCard, American Express und Diners Club (20%) sowie Tank- und Handelskundenkarten (7%).34 Etwa die Hälfte des Kreditkartenumsatzes stammt dabei nach Godschalk aus dem genannten Travel & Entertainment Bereich: Hotels, Restaurants, Tankstellen, Bahn- und Fluggesellschaften. Der Umsatz mit Handelskundenkarten stagniert nach seiner Einschätzung. Bei einigen Kartenportfolios wird die Zahlungsfunktion durch ein Co-Branding mit Visa oder MasterCard ersetzt. Belastbare Aussagen über mögliche substituierende Wirkungen von Kartenzahlungen gegenüber dem Bargeld sind aber auch nach Godschalk mangels fundierten Datenmaterials kaum möglich. 35 34 35 Godschalk, H.: Zahlungsverhalten am Point of Sales in Deutschland –aktuelle Entwicklungen, in: Lammer, T. (Hrsg.): Handbuch E-Money, E-Payment & M-Payment, Physica Verlag Heidelberg 2006, S. 35. Godschalk, H. (2006), Fn. 34, ebenda, S. 41 23 3. E-Commerce – aber sicher? Entscheidende Erfolgsfaktoren für die Akzeptanz elektronischer Bezahlsysteme und – verfahren sind für den Verbraucher wie für den Händler Sicherheit (Schutz vor Zahlungsausfällen sowie Sicherheit und Vertrauen für den Konsumenten), geringe Transaktionskosten, einfache Handhabung und flexible Einsatzfähigkeiten. Nicht zuletzt auch vor diesem Hintergrund ist erklärlich, warum offline initiierte Bezahlverfahren wie Rechnung, Nachnahme oder Vorauskasse ungeachtet zahlreicher elektronischer Alternativen die Bezahlung im Internet immer noch dominieren.36 Im elektronischen Zahlungsverkehr wird Sicherheit – von den Verbrauchern wie den Händlern - vor allem mit den Begriffen Authentizität, Integrität und Vertraulichkeit (Abhörsicherheit) assoziiert. Authentizität im elektronischen Zahlungsverkehr bestimmt sich aus der Fähigkeit, die an der Transaktion Beteiligten eindeutig identifizieren zu können. Eine Anforderung, die Verbraucher ebenso haben wie Händler, denn Risiken bestehen diesbezüglich für beide. Die einfachsten Verfahren begnügen sich mit der Abfrage von speziellem Wissen, wie bspw. Benutzername (resp. E-Mail-Adresse) und Passwort. Passwortsysteme sind nicht sehr sicher, da sie bei systematischen Angriffsversuchen oder gar Schadprogrammen auf dem netzverbundenen Endgerät des Benutzers leicht zu entschlüsseln oder abzugreifen sind. Die Kombination aus Persönlicher Identifikationsnummer (PIN) und Transaktionsnummer (TAN) verspricht zwar ein Mehr an Sicherheit, allerdings ist auch sie vor Schadprogrammen nicht gefeit, es sei denn der Kommunikationskanal zur Übermittlung der TAN ist – wie beim mTAN Verfahren – strikt physikalisch separiert. Im stationären Handel hat sich eine Kombination aus Besitz (der Karte) und Wissen (PIN) durchgesetzt. Eine zuverlässige (vollständige) Identifikation ist aber auch hier nicht zu erreichen, wie Betrugsfälle mit gestohlenen Kreditkarten belegen. Für den Internet-Handel scheitert eine solche Kombination schon an der Tatsache, dass geeignete Kartenlesegräte bei den Verbrauchern, zumindest nicht in der Fläche, vorausgesetzt werden können. Einen deutlich sicheren Authentifizierungsmechanismus bieten elektronische Signaturen und Zertifikate, sie sind aber in der Regel zu umständlich und kostspielig für alle Parteien. Vertraulichkeit und Abhörsicherheit beschreiben die Anforderung, dass vor allem Transaktions- und Zahlungsinformationen, wie Kreditkartennummern und Zahlbetrag eines gekauften Produktes, jederzeit vor unbefugter Kenntnisnahme geschützt sind. Das größte Interesse an einem solchen Schutz haben naturgemäß die Kunden, aber auch Händler sind im Besitz von Informationen, die geschützt werden wollen. Folglich geht es nicht nur um den Schutz bei der Übertragung, sondern auch um den Schutz gespeicherter Daten, um zu verhindern, dass bei einem „Einbruch“ in eine Händlerdatenbank Kreditkarteninformationen in unbefugte Hände gelangen und so einen Schaden zu Lasten des Verbrauchers ermöglichen. Abhörsicherheit bei der Übertragung lässt sich erreichen, wenn für die Übertragung der Zahlungsinformationen isolierte Netzwerke installiert werden oder die Zahlungsinformationen grund36 24 Dannenberg, M., Ulrich, A., Fn. 24, ebenda S. 67 ff. sätzlich verschlüsselt werden. Bei der letzteren Lösung bestimmt sich das erreichbare Sicherheitsniveau vor allem aus den eingesetzten Verschlüsselungsalgorithmen und den verwendeten Schlüssellängen. Integrität im elektronischen Zahlungsverkehr meint, dass Zahlungsinformationen unverändert zum Empfänger gelangen, d. h. sowohl vor beabsichtigten wie unbeabsichtigten Manipulationen geschützt werden. Geschützt werden muss dabei der Zahlbetrag wie auch die Angabe des Zahlungsempfängers. Auch hier eignen sich kryptographische Maßnahmen zur Kontrolle der Integrität wie bspw. die Berechnung und Übermittlung von Hashwerten über die zu schützenden Daten. Eine besonders wünschenswerte Anforderung aus Sicht des Verbrauchers ist die Möglichkeit anonymer Zahlungsvorgänge, die sich vollständig jedoch nur bei Barzahlung, im Internet dagegen kaum realisieren lässt. Aus der Perspektive des Verbrauchers ist ein solcher Wunsch verständlich, um vor allem Profilbildungen über sein Kaufverhalten zu entgehen. Der Händler dagegen hat ein natürliches Interesse an zuverlässigen Kundeninformationen, wie Name und Adresse, nicht nur um die gekauften Leistungen auch liefern zu können, sondern darüber hinaus auch, um Zahlungsausfälle rückverfolgen zu können. Im Zusammenhang mit dem elektronischen Zahlungsverkehr wäre ein daraus entstehender Interessenkonflikt möglicherweise zu vermeiden, wenn man Anonymität im weiteren Sinne als die Fähigkeit versteht, Kundeninformationen soweit vertraulich zu behandeln, dass die Erstellung von Kundenprofilen, wenn schon nicht verhindert, so doch wenigsten erschwert werden könnte. 3.1. Sichere elektronische Identitäten Immer neue Formen des Identitätsdiebstahls und des Identitätsmissbrauchs im Umfeld des E-Commerce verunsichern Händler wie Verbraucher gleichermaßen. Vertrauenswürdige elektronische Identitäten als Grundlage einer korrekten und verlässlichen Authentifikation einer (natürlichen oder juristischen) Person sind daher für die Akzeptanz und die Nutzung transaktionaler Dienste aus dem Netz unverzichtbar. Aus struktureller Perspektive ist die elektronische Identität einer Person eine Abbildung (Repräsentation) der charakteristischen Eigenschaften auf eine Menge von Attributen, die dazu dienen, die Person hinreichend und zuverlässig zu beschreiben. Aus Prozessperspektive dient eine elektronische Identität der Identifikation einer Person durch die Auskunft (Offenlegung) der für die Ausführung einer oder mehrerer Operationen erforderlichen Informationen (i. d. R. eine Untermenge der strukturellen Perspektive). Vertrauen ist die subjektive Überzeugung von der Wahrhaftigkeit bzw. Redlichkeit der Handlungen oder Aussagen zwischen einem Vertrauensgeber (engl. trustor) und einem Vertrauensnehmer (engl. trustee) in einem grundsätzlich unsicheren Beziehungskontext. Sie gründet in den meisten Fällen auf eine erfahrene oder wahrgenommene Vertrauenswürdigkeit (eigenschaftsbasiertes Vertrauen) oder auf gemeinsam geteilte Normen (identifikationsbasiertes Vertrauen). Aufgabe der Authentifikation ist, die Korrektheit (und damit Wahrhaftigkeit) einer behaupteten Identität zu kontrollieren. In der Anonymität des Internet braucht es beides. Denn, so Carlos Solari, früher Computerspezialist beim Federal Bureau of Investigation (FBI), danach CIO der US- 25 Regierung und heute Vice President Cyber Technology and Services bei CSC warnt: “Cloud Computing, Mobility, Apps und Big Data hinterlassen große Löcher in der gesamten IT-Infrastruktur, die wir aufgrund der vernetzten Abhängigkeit zwischen den Applikationen immer weniger schließen können”.37 In einer aktuellen Untersuchung des Fraunhofer Instituts für Sicherheit in der Informationstechnik von mehreren Cloud-Speicherdiensten fanden die Experten erhebliche Sicherheitslücken.38 Davon betroffen waren u. a. die Registrierung, d. h. die unzureichende Authentifikation, die Transportsicherheit, sowie fehlende Verschlüsselungsfunktionen für den Schutz vertraulicher Daten. Für die Überprüfung der behaupteten Identität werden i. d. R. so genannte „Credentials“ benutzt, die eine Person zum Nachweis ihrer Identität vorzulegen hat. Derartige „Credentials“ sind in den einfachsten Fällen Benutzerkennung und zugehöriges Passwort, Tickets (wie bspw. TANs oder softwarebasierte Zertifikate) oder hardwarebasierte Tokens, die von einer vertrauenswürdigen Stelle ausgestellt werden und die Identität des Benutzers bestätigen. Im Falle hardwarebasierter Tokens muss sich der Benutzer durch Wissen (PIN) und durch Besitz eines Tokens ausweisen. In Unternehmensstrukturen wird für die Authentifikation häufig ein RSA SecureID-Token eingesetzt. Der Authentifikation liegt dabei eine zeitgesteuerte Synchronisation zwischen einem Token und einen internen Server zugrunde. Token und Server erzeugen in festgelegten Zeitintervallen ein Einmal-Passwort (Tokencode) der mit einer Kennung des Benutzers (der PIN) kombiniert wird. Für unternehmensübergreifende, nationale oder gar internationale Authentifikationsprozesse ist ein solches Szenario nicht vorstellbar. Die Europäische Union hat sich daher auf die Herausgabe nationaler, hoheitlicher eID-Dokumente, der European Citizen Card (ECC), auf der Basis von Smardcarts verständigt. Die ECC ist eine „smartcard issued under the authority of a government institution, either national or local and carries credentials in order to provide all or part of the following services: 1) verify the the identity 2) act as an Inter-European Union travel document 3) facilitate logical access to eGovernment or local administration services“.39 Die Spezifikation der ECC umfasste eine Sammlung von ECC Profilen, die jeweils konkrete Kartenanwendungsmodule für die Implementierung spezifizieren. Hinsichtlich der Herausgeber und Zielgruppen (nationale eID-Karte, Gesundheitskarte, Bürgerkarten oder einfach nur Tickets für den öffentlichen Nahverkehr) macht die ECC Spezifikation keine Einschränkungen. Die Erwartungshaltung der Beteiligten ist jedoch eine 37 38 39 26 Carlos Solari bei der Eröffnung des Security Operations Center (SOC) beim Fraunhofer Institut FOKUS am 16.05.2012 in Berlin. Am SOC sind neben CSC und Fraunhofer auch EMC/RSA, McAfee, HP und Sourcefire beteiligt. SIT Technical Reports: On the security of cloud storage services, March 2012, abgerufen am 25.05.2012 unter: http://www.sit.fraunhofer.de/de/cloudstudy.html prCEN/TS 15480: Identification card systems – European Citizen Card, Part 1: Physical, electrical and transport protocol characteristics, Part 2: Logical data structures and security services, Part 3: ECC Interoperability using an application interface, Part 4: Recommendations for European Citizen Card issuance, operation and use, 2010 begrenzte Anzahl an Kartenprofilen, die in den jeweiligen Mitgliedsstaaten allgemein und mit vergleichbaren Absichten herausgegeben werden. Die Entwicklung der European Citizen Card wird durch das europäische Projekt STORK – Secure identity across bordes linked40- begleitet Ziel von STORK ist die Etablierung einer europäischen Interoperabilitätsplattform, die es Bürgern und Wirtschaft ermöglicht, ihre nationale elektronische Identität in jedem Mitgliedsstaat für EGovernment-Dienste zu nutzen. Kern des Konzepts ist, eine verteilte Architektur, die, ungeachtet der teilweise unterschiedlichen Konzepte und Sicherheitsarchitekturen in den teilnehmenden Mitgliedsstaaten den vertrauenswürdigen und interoperablen Umgang mit den nationalen eID-Karten und eID-Lösungen unterstützt. Die deutsche kontaktlose eID-Karte mit einer eID-Funktion, für eine zuverlässige und kryptographisch geschützte, wechselseitige Authentifikation eines Benutzers und eines E-Commerce-Partners, sowie einer optionalen elektronischen Signatur, ist das erste im Kontext der ECC akzeptierte Profil.41 Die Authentisierung zwischen dem „Netzbürger“ und einem Online-Händler auf Basis der eID-Funktion des neuen Personalausweises veranschaulicht die folgende Abbildung 6. Hieraus wird vor allem ersichtlich, dass für den zuverlässigen und reibungslosen Einsatz der eID-Funktion eine komplexe PKI-Infrastruktur unerlässlich ist, die imstande ist, eine sichere bi-direktionale, elektronische Authentisierung auf der Basis vertrauenswürdiger elektronischer Zertifikate zu gewährleisten. Abbildung 6: Authentisierungsprozedur mit der eID-Funktion (Quelle: BSI) 40 41 www.eid-stork.eu/ Vgl. hierzu: Eckert, C., Herfert, M., Waldmann, U.: Trends in eID-Security –Public Sector View. In: Fumy, W., Paeschke, M. (Eds): Handbook of eID-Security, Publicis Publishing Erlangen 2011, S. 73 ff. 27 Ein zentraler Bestandteil dieser PKI-Infrastruktur, neben dem Personalausweis selbst, ist der eID-Service (Provider). Der eID-Service ermöglicht – aus Sicht des OnlineHändlers – die kryptographisch gesicherte Kommunikation mit dem Ausweis, prüft dessen Gültigkeit und erhält durch Vorlage eines durch eine vertrauenswürdige Stelle ausgestellten Berechtigungszertifikates, mit dem sich der Online-Händler gegenüber dem Personalausweis zu „erkennen gibt“, mit Zustimmung des Ausweisinhabers, die „Erlaubnis“ Daten aus dem Personalweis auszulesen und dem Online-Händler zu übermitteln. Aus Sicht des Personalausweisinhabers ist die Wahrnehmung von Bedeutung, dass mit der Vorlage des Berechtigungszertifikats dem Auskunft verlangenden Händler ein gewisses Vertrauen entgegengebracht werden kann und er zudem mit der auf seinem Endgerät installierten Ausweisanwendung die Hoheit über die Bekanntgabe seiner persönlichen Daten behält. Der eID-Service (Provider) verknüpft auf diese Weise alle Elemente der eID-Architektur - also neuer Personalausweis, Ausweisanwendung auf dem Endgerät des Verbrauchers und Berechtigungszertifikat - sinnvoll miteinander. Er sorgt für ein leistungsfähiges Management und übernimmt die Rolle einer vermittelnden Vertrauensinstanz. Die Einsatz und die Nutzung elektronischer Identitäten (eID) setzen natürlich voraus, dass der Austausch von Informationen zwischen Anwendern und Anbietern durch ebenso verlässliche, d. h. vertrauenswürdige und vor potenziellen Angreifern ausreichend geschützten Hard- und Softwarekomponenten korrekt ausgeführt wird. Dafür stehen zwei Lösungsmodelle zur Verfügung: Entweder implementiert der Online-Anbieter die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten Komponenten des eIDService selbst. Er übernimmt damit sowohl die Kommunikation mit der Ausweisanwendung auf dem Endgerät seiner Kunden als auch alle notwendigen Verwaltungsprozesse. Alternativ nutzt der Anbieter die Dienste eines externen IT-Dienstleisters, der einen eID-Service für mehrere Anbieter betreibt und für diese Dienstleistung vom BSI akkreditiert wurde. Da der Aufbau und Betrieb eigenständiger eIDServices einen hohen finanziellen und personellen Aufwand bedeuten (wie z. B. die Anschaffung und den Betrieb benötigter und vorgeschriebener sicherer Hard- und Softwarekomponenten), nutzen Diensteanbieter i. d. R. lieber einen vorhandenen eID-Service, wie er derzeit durch verschiedene IT-Dienstleister (siehe Tabelle 3) angeboten wird. Vor dem Hintergrund, dass allein für Ersteinrichtung eines eID-Service - so Experten der Branche - mit Fixkosten in Höhe von wenigsten 80.000 € zu rechnen ist und hierzu noch hochspezialisierte Personal- und Wartungskosten für einen 365x24 h Betrieb hinzukommen, ist der Eigenbetrieb vor allem für Mittelständler kaum eine betriebswirtschaftlich sinnvolle Option. Sinnvoller ist der Einkauf dieser Leistungen von spezialisierten und mit entsprechendem Know-how und qualifizierter sowie durch das BSI zertifizierter Infrastruktur ausgestatteten EID-Dienstleistern.42 42 28 Die Preismodelle der eID-Dienstleister für die Bereitstellung von eID-Services schwanken geringfügig um 9.000 € pro Jahr (Quelle: http://www.ccepa.de) Tabelle 3: eID Service Anbieter (Quelle: http://www.ccepa.de/eid-service-anbieter ) Name Internetadresse Atos Wordline GmbH bremen online services GmbH & Co KG Bundesdruckerei GmbH DataClearing NRW Deutsche Post Com GmbH epa connect GmbH ]init[ AG für Digitale Kommunikation Kommunale Datenverarbeitung Region Stuttgart (KDRS)/ Rechenzentrum Region Stuttgart GmbH (RZRS) media transfer AG43 www.atosworldline.de www.bos-bremen.de www.bundesdruckerei.de www.dataclearing-nrw.de www.signtrust.de www.epa-connect.de www.trusted-eid-services.de www.kdrs.de www.mtg.de 3.2. Schutz personenbezogener Daten im Netz Vier Fünftel aller Deutschen ab 14 Jahren, so eine Milieustudie des SINUS-Instituts Heidelberg im Auftrag des Deutschen Instituts für Vertrauen und Sicherheit im Internet, sind heute im World Wide Web unterwegs, bei den unter 30-Jährigen sind es fast alle (98%).44 Wer im Internet unterwegs ist, erzeugt – gewollt oder ungewollt – natürlich bei jeder Handlung in der Online-Welt Datenspuren, die unmittelbar elektronisch weiterverarbeitet werden können. Das Internet ist daher in doppelter Hinsicht für den Schutz personenbezogener Daten45, d. h. den Schutz von Personen über die Informationen (Daten) verarbeitet werden, von Bedeutung: Zum einen werden immer mehr Offline-Aktivitäten in die Online-Welt verlagert, wie Online-Einkäufe oder soziale Kontakte. Hinzu kommen die zunehmenden Möglichkeiten, diese Datenspuren - häufig ohne Kenntnis oder gar Zustimmung des Betroffenen - zu vielfältig nutzbaren und aussagekräftigen Bewegungsprofilen zu aggregieren sowie die begrenzten Kontrollmöglichkeiten der Nutzer hinsichtlich des Umgangs mit ihren Daten. 43 44 45 Der deutsche IT-Sicherheitsanbieter media transfer AG bietet den eID-Service gemeinsam mit dem europaweit agierenden norwegischen online ID-Service-Provider Signicat AS an. Signicat AS betreibt den von media transfer AG entwickelten Identitätsserver mtg-eID. DIVSI Milieustudie zu Vertrauen und Sicherheit im Internet 2012, S. 9, abgerufen am 17.05.2012 unter: www.divsi.de/divsi-milieu-studie Der Begriff der personenbezogenen Daten umfasst dabei alle Informationen über eine bestimmte oder bestimmbare natürliche Person, d. h. alle Informationen, die mit einer natürlichen Person in Verbindung gebracht werden können. Maßgebliches Kriterium für die Bestimmbarkeit einer Person ist nach Kühling et al. (Kühling, J. Seidel, C., Sivridis, A.: Datenschutzrecht, C. F. Müller Verlag Heidelberg 2011, ebenda, S. 25) die Möglichkeit ihrer direkten oder indirekten Identifizierbarkeit. 29 Nach der DIVSI Milieustudie, fühlen sich 39% der deutschen Bevölkerung beim Thema Datenschutz und Datensicherheit im Internet überfordert und verunsichert. Die Befürchtungen gelten vor allem dem Ausspähen persönlicher Daten (Identitätsdiebstahl) und ihrer missbräuchlichen, kriminellen Verwertung (Identitätsmissbrauch). Verständlich, wenn man bedenkt, dass Kreditkarte und Vorauskasse zu den verbreitetsten Zahlungsverfahren im Webshop gehören. Dabei sind Internetnutzer durchaus bereit, persönliche Daten in eine Transaktion einzubringen, wenn sie im Austausch einen Nutzengewinn erwarten können und ihre Risikowahrnehmung gesenkt wird, indem ihnen das Gefühl vermittelt werden kann, die Kontrolle über die zur Verfügung gestellten Daten zu behalten.46 Abbildung 7: Internet-Profil verantwortungsbedachter Etablierter (Quelle: DIVSI Milieustudie 2012, Fn. 44, S. 117) Dass die Skepsis gegenüber der Art und Weise wie im Internet derzeit immer noch mit diesem Thema umgegangen wird nicht ganz unbegründet ist, illustrieren Beispiele wie der Datendiebstahl bei der Firma Sony Online Entertainment im Frühjahr 2011 oder der regelmäßig erscheinende Malware-Report der Firma GData, der feststellt, dass die Anzahl der im Internet kursierenden Schadsoftware allein im 2. Halbjahr 2011 um 6,8% gestiegen ist (siehe Abbildung 8). Vor allem Angriffe mittels professioneller Trojanischer Pferde, die direkt auf den Rechnern der Betroffenen platziert werden, haben in den letzten Jahren rapide zugenommen.47 46 47 30 Meckel, M., Hoffmann, P. von Kaenel A, C.: Sicherheit vs. Privatheit, Studie ISPRAT und des Instituts für Medien- und Kommunikationsmanagement, St. Gallen Nov. 2011, S.41 Die unter dem Begriff der Trojanischen Pferde subsumierte Schadsoftware ist heute nicht nur imstande, Eingaben des Computerbesitzers bei Anmeldevorgängen oder Transaktionen Abbildung 8: Anzahl neuer Schadprogramme seit 2006 pro Jahr (Quelle: GData Malware-Report 2011) Der britische Journalist Misha Glenny, ein anerkannter Experte für das internationale organisierte Verbrechen, kommt aufgrund eigener Recherchen zu dem Schluss, dass sich im Cyberspace längst eine neue Unterwelt gebildet hat, die sich im Netz über Tricks und Techniken austauscht, Zubehör für das Auslesen von Kreditkarten verkauft und rund um den Globus gestohlene Daten verschiebt.48 Die heutige Malwareindustrie ist auch nach Einschätzung von Borges et al. gut aufgestellt und „bietet vom Hosting der Malware über Infektionskits für Trojanische Pferde bis zu CashoutDienstleistungen ein breites Feld an Dienstleistungen an.“49 In Anlehnung an Begriffe rund um das Cloud Computing sprechen IT-Sicherheitsexperten daher schon von „Fraud-as-a-Service“.50 Vor dem Hintergrund dieser Entwicklung ist verständlich, dass 60% der Deutschen die Verantwortung für das Thema Datenschutz und Datensicherheit im Internet vor allem bei der Wirtschaft und/oder beim Staat sehen, die hierfür die erforderlichen (technischen und rechtlichen) Rahmenbedingungen schaffen sollen.51 Ori Eisen, ITSicherheitsexperte bringt es auf den Punkt: „Everybody who is part of the network 48 49 50 51 mitzulesen, sondern durch die Infizierung des Master-Boot-Records Kontrolle über das Betriebssystem zu erlangen und so Desktopfirewalls und Virenscanner zu umgehen. Über eine im Hintergrund agierende Infrastruktur (so genannte Dropzones) werden die gestohlene Daten und Informationen abgespeichert, bevor sie dort vom Angreifer abgeholt werden. Eine BSI-Auswertung exemplarischer Dropzone-Datensätze aus dem Jahr 2010 zeigt, dass es Tätern besonders häufig gelang, an Zugangsdaten für deutsche Anbieter von WebmailDiensten sowie für weit verbreitete Handelsplattformen zu gelangen. Das BSI hat allein 2010 86.000 digitale Identitäten im Bereich des Online-Banking gefunden, die zum größten Teil durch den Einsatz von Schadsoftware erlangt wurden (Quelle: www.bsi.bund.de, Die Lage der IT-Sicherheit in Deutschland 2011) Glenny, M.: Cyber-Crime – Kriminalität und Krieg im digitalen Zeitalter, Deutsche VerlagsAnstalt München 2012 Borges, G. Schwenk, J., Stuckenberg, C.-F., Wegener, C.: Identitätsdiebstahl und Identitätsmissbrauch im Internet, Springer Berlin Heidelberg 2011, S. 55 Zit. nach Borges et al., Fn. 49, ebenda DIVSI Milieustudie, Fn. 44, S. 9 31 needs to care about it. But if everybody cares about it, nobody cares about it, because there’s is no leadership. The Internet really doesn’t belong to anybody. … but at the end of the day, the people who need the Internet to survive – Google, Amazon, eBay, Microsoft, financial institutions and the government - should care about it.“52 Befeuert durch die nicht ganz uneigennützige Lobby- und Pressearbeit der Antiviren-Softwareindustrie belässt es jedoch die Wirtschaft i. d. R. bei dem Versuch die Verantwortung hierfür an den „Netzbürger“ zurück zu delegieren. Bis heute beschränken sich deshalb Maßnahmen zum Schutz von Daten und Informationen in weiten Teilen auf Schutzfunktionen einzelner Produkte oder Add-on-Technologien, deren Nutzung letzten Endes dem Endkunden überlassen bleibt. Ein solcher Ansatz funktioniert heute nicht mehr, wenn er es überhaupt je getan hat. Unter IT-Experten ist es längst ein offenes Geheimnis, dass der Rüstungswettlauf im Bereich der CyberKriminalität auf Basis vornehmlich reaktiver Gegenmaßnahmen kaum zu gewinnen ist.53 So konnten Greveler und Puls in einem Beitrag zum 11. Deutschen Sicherheitskongress des BSI im Jahre 2009 überzeugend darstellen, dass der technische Aufwand, eine Schadsoftware zu entwickeln, die von keinem der zum Zeitpunkt der Untersuchung mit aktuellen Virensignaturdateien ausgestatten Antivirenprogramme erkannt werden konnte, sich in Grenzen hält.54 Hinzu kommt, dass auch der Internetaffine Normalbürger, kaum in der Lage ist, die Qualität der in einer von Werbeeinnahmen abhängigen IT-Medienwelt beworbenen unterschiedlichen Antivirenprogramme realistisch zu beurteilen, und sich häufig genug bereits mit der sachgerechten Konfiguration derartiger Werkzeuge überfordert fühlt. Ein Drittel der deutschen „Netzbürger“, so die DIVSI Milieustudie, bekennt, dass sie ohne die Hilfe kompetenter Freunde und Bekannter im Internet verloren wären. Was also fehlt, sind vor allem übergreifende proaktive Konzepte, die sowohl kryptographische Gegenmaßnahmen in Schutzparadigmen einbeziehen als auch an die bisherigen Erfahrungen und Gewohnheiten der Nutzer anknüpfen. Gewohnte Mechanismen und Abläufe erzeugen nach Meckel et al. Vertrauen, Brüche in den bisheri52 53 54 32 Eisen, O. in a roundtable discussion; The Future of Authentication, IEEE Security and Privacy, Vol. 10, No. 1, January/February 2012, p. 24 Eine wesentliche Eigenschaft informations-technischer Systeme ist ihre strukturelle und dynamische Komplexität. Viele Teile und Komponenten interagieren auf der Basis algorithmisierbarer Prozeduren mit vielen anderen auf unterschiedlichen Ebenen und sind so imstande, auf unterschiedliche Ereignisse in verschiedener Art und Weise zu reagieren. Die Kehrseite derart komplexer und interdependenter Systeme ist allerdings, dass sie in der Regel schlecht oder auch gar nicht mit unvorhergesehenen Ereignissen oder auch uneindeutigen Situationen umgehen können. Das macht sie ebenso verletzlich wie angreifbar. Vernetzung steigert die Komplexität und Interdependenz informationstechnischer Systeme natürlich um ein Vielfaches und erhöht damit in gleichem Maße die möglichen Angriffsvektoren für ausreichend motivierte und ausgestattete Angreifer. Vernetzte Informationssysteme erleichtern auch die Angriffsmultiplikation, d. h. gleichzeitige Angriffe auf viele Ziele im Netzwerk von einem einzigen Knoten aus. (Eisen et al.: Cybersecurity – strategische Herausforderung im Web 2.0, in: Krallmann H., Zapp, A. (Hrsg.): Bausteine einer vernetzten Verwaltung, Erich Schmidt Verl. Berlin 2012, S. 199) Greveler, U. Puls, C.: Über den Aufwand Malware auf einem privaten PC zu installieren – Wie einfach lassen sich Virenscanner und Personal Firewalls umgehen?, in: Tagungsband zum 11. deutschen Sicherheitskongress „Sichere Wege in einer vernetzten Welt“, SecuMedia 2009, zit. nach Borges et al., Fn. 49, S. 74 gen Gewohnheiten verbunden mit einem hohen Lern- und Umstellungsaufwand dagegen verringern die Bereitschaft, sich mit technischen Innovationen auseinander zu setzen.55 Alle Erfahrungen zeigen, die Bereitstellung stärkerer Authentisierungsverfahren, wie eben der eID-Funktion des neuen Personalausweises, allein lösen noch keine größere Nachfrage aus.56 Aus Sicht des „Netzbürgers“ ergibt sich der Nutzen einer solchen Funktion weniger aus einem sicheren, für ihn aber weitgehend abstrakten, Identitätsmanagement, sondern vor allem aus der erkennbaren Fähigkeit im Rahmen einer gewohnten Infrastruktur einen nachvollziehbaren Zugewinn für die Sicherheit von Transaktionen im Internet – vom Shopping über Banking bis hin zum Networking – zu realisieren. Die Einführung und Kommunikation innovativer Applikationen für den Einsatz zuverlässiger elektronischer Identitäten hat ohne diesen Nachweis kaum Aussicht auf Verbreitung. Zukunftsfähige Konzepte sollten dabei zugleich auch neue Trends im Internetverhalten angemessen adaptieren. Dazu gehört zweifelsohne die Tatsache, dass der Kauf von Dienstleistungen via mobiles Internet zunehmend an Bedeutung gewinnt. Nach Angaben des Bundesverbandes des Deutschen Versandhandels (bhv) haben bereits 2011 rund ein Drittel aller Smartphonebesitzer Dienstleistungskäufe via mobilem Internet getätigt.57 Wichtigster Anknüpfungspunkt für den Schutz personenbezogener Daten ist der Begriff der Verarbeitung, im weitesten Sinne also jeder Vorgang im Zusammenhang mit personenbezogenen Daten, angefangen von der Erfassung, über die Speicherung, die Weitergabe, bis hin zur Sperrung oder Löschung, unabhängig von der Wahl der zur Verarbeitung der Daten eingesetzten Technik. 0 10 20 30 40 50 60 Infizierung des Computers mit Malware 61 Ausspähung, illegale Nutzung persönlicher… 43 Betrug beim Online-Banking 33 Betrug beim Online-Einkauf 24 Beleidigungen oder Belästigungen im Internet 10 Mobbing im Internet 7 Andere negative Erfahrungen 6 Ich fühle mich nicht bedroht 70 21 Abbildung 9: Wodurch fühlen sie sich im Internet bedroht? (Quelle: BITKOM, Fn. 58, S. 29) Dass ihre persönlichen Daten im Internet von Ausspähung und missbräuchlicher Verwendung bedroht sind glauben nach einer Studie des Branchenverbandes BITKOM aus dem Jahre 2011 in Deutschland mittlerweile 43% der Internetnutzer (siehe dazu 55 56 57 Vgl. Meckel et al., Fn. 46, ebenda S. 54 Kubicek, H., Noack, T.: Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis, LIT Verlag Dr. W. Hopf Berlin 2010, S. 268 http://www.versandhandel.org/bhv/aktuelles/details/artikel/ 33 auch Abbildung 9)58. Dass diese Befürchtungen nicht unbegründet sind, zeigen u. a. die neuen Datenschutzrichtlinien des Suchdienstes Google 59 , aber auch die Tatsache, dass nach wie vor Diensteanbieter die Erfassung personenbezogener Daten im Internet ungenügend (kryptographisch) schützen, oder die Nutzer, wie bereits dargestellt, auf den Selbstdatenschutz in Form von Passwörtern und Betriebssystem-gestützte Firewalls verwiesen werden. Immerhin 16% der in der BITKOM-Studie befragten Internetnutzer verzichten daher auf jegliche Transaktionen über das Internet. Eine ebenso sichere wie zuverlässige Selbstvergewisserung auf beiden Seiten der Internetkommunikation durch eine nachhaltige Integration des Datenschutzes in die Technik selbst (security by design), wird bis heute jedoch nur sehr zögerlich und zumeist lediglich auf der Basis technischer Hilfskonstrukte umgesetzt.60 Ein ausreichender Selbstvergewisserungsgrad oder Datenhoheit wie durch die eID-Funktion des neuen Personalausweises wird damit aber nicht erreicht. Ebenso wenig kann mit gewissermaßen „ex post“ aufgesetzten Sicherheitswerkzeugen und Schutzfunktionen einzelner Produkte dem „Rüstungswettlauf“ mit der Malwareindustrie, wie bspw. dem so genanntem „Spoofing“, d. h. dem Vortäuschen einer Tatsache, um bspw. über gefälschte Internetadressen, E-Mail oder Kurznachrichten an Daten eines InternetBenutzers zu gelangen, auf Dauer nachhaltig und wirkungsvoll begegnet werden. Die Situation wird insbesondere durch den Umstand verschärft, dass, um im Internet erfolgreich agieren zu können (von E-Mail Nutzung, über Online-Shopping bis hin zu Online Banking und der Teilnahme an sozialen Netzwerken), es in den meisten Fällen notwendig ist, sich auf den entsprechenden Webseiten zu registrieren. Dabei werden unterschiedlichste persönliche Angaben, nicht selten auch sehr sensible Daten, wie Adresse oder gar Kreditkarteninformationen, an verschiedenen „Orten“ im Internet hinterlegt. Vor allem Online-Transaktionen sind bei „Netzbürgern“ mit einer Risikowahrnehmung hinsichtlich des Schutzes der Privatsphäre belegt. Nach einer Onlineuntersuchung des E-Commerce-Center Handel (ECC Handel) im Dezember 2011 sind 22% der befragten Internetnutzer auf mehr als 20 Webseiten mit persönlichen Daten registriert, 4% sogar auf mehr als 50 Webseiten.61 58 59 60 61 Datenschutz im Internet, Quelle: BITKOM 2011, www.bitkom.org Die wichtigste Änderung ist, dass Google die Nutzerdaten aus allen Produkten verknüpft, die unter die neue Datenschutzbestimmung fallen - und das sind, mit wenigen Ausnahmen, so ziemlich alle Angebote des Konzerns. Der Konzern verfolgt dabei vor allem zwei Ziele: Mit den korrelierten Daten will das Unternehmen zum einen die Werbung effektiver machen, zum anderen die eigenen Produkte verbessern. Die Hoffnung, dass dann mehr Leute auf die Annoncen klicken und die beworbenen Produkte kaufen, lässt sich gut an die Werbetreibenden verkaufen. De facto handelt es sich dabei um eine Vorratsdatenspeicherung mit unklarer Aufbewahrungsfrist. CNIL, die französische Datenschutzbehörde, befindet daher, dass die von Google angezeigte „Vereinfachung“ der Nutzungsbedingungen gegen europäisches Recht verstößt (http://t3n.de/news/) Dazu gehört bspw. auch das nachträglich in den Internet-Protokollstack integrierte Secure Socket Layer Protokoll (SSL) Identitätsmissbrauch im Online-Handel – Status quo in Deutschland, eine Studie des ECommerce-Center Handel (ECC Handel) über Sicherheitsrisiken bei der Internetnutzung aus Verbrauchersicht in Zusammenarbeit mit der SCHUFA Holding AG, März 2012, abgerufen am 06.06.2012 unter http://www.ecc-handel.de/ 34 1 bis 5 27,1% 6 bis 10 27,0% 11 bis 20 23,5% 21 bis 30 10,7% 31 bis 50 mehr als 50 7,3% 4,4% Abbildung 10: Frage-Auf wie vielen Webseiten sind sie mit persönlichen Daten, wie bspw. Name oder E-Mail-Adresse registriert? (Quelle ECC-Handel, Fn. 61, S. 22) Bei der Vielfalt der genutzten Dienste und Anwendungen fällt es natürlich selbst erfahrenen „Netzbürgern“ immer schwerer, den Überblick darüber zu behalten, wo sie vor allem welche Daten abgelegt haben. Die Folge: Zugangsdaten (elektronische Identitäten) auf Handelsplattformen und Online-Shops gehören zu den präferierten Angriffszielen von Internetkriminellen, häufig genug ohne dass dies von den Betroffenen rechtzeitig bemerkt wird.62 Immerhin 44% der durch die Studie Befragten sind besorgt, dass ihre persönlichen Daten ausspioniert und missbraucht werden könnten. Dennoch, so die Studie, bringen die wenigsten Internetnutzer ihre Befürchtungen mit Begriffen wie Identitätsdiebstahl und Identitätsmissbrauch in Verbindung. Eigenangaben, wonach jeder Zehnte Internetnutzer nach seiner Wahrnehmung bereits Opfer eines Identitätsmissbrauchs geworden sei, sind vor diesem Hintergrund daher mit Vorsicht zu genießen. Die meisten Betroffenen können das was ihnen widerfahren ist, nicht oder kaum in diesen Zusammenhang einordnen. Auf die Frage welchen Institutionen die „Netzbürger“ am ehesten einen wirkungsvollen Schutz ihrer persönlichen Daten zutrauen, landen Banken und Kreditinstitute hinter der Polizei überraschenderweise bereits auf dem zweiten Platz. Bei sozialen Netzwerken wird ein sorgsamer Umgang mit persönlichen Daten am wenigstens vermutet. Aber mehr als 40 % trauen niemandem im Netz einen verantwortungsvollen Umgang mit ihren Daten zu, mit der Konsequenz, dass sie für den Schutz ihrer persönlichen Daten letztlich selbst die Verantwortung übernehmen und ggf. auch geeignete Maßnahmen treffen müssen, bis hin zum Verzicht, sich überhaupt aktiv im Internet zu bewegen. 62 Eine große Gefahr bei Bezahlsystemen wie PayPal bspw. besteht dann, wenn das Bezahlsystemkonto ungenügend geschützt ist. Bringen Betrüger das Passwort eines Kunden in Erfahrung, können sie direkt über sein Konto verfügen. 35 Die Entscheidung über die Preisgabe persönlicher Daten fällt in der Regel vor dem Hintergrund einer Abwägung über den Umfang erforderlicher Daten einerseits und dem erwarteten Nutzengewinn andererseits.63 Dabei zeigen Internetnutzer, so Meckel et al., „ein erstaunlich ambivalentes Verhältnis zu ihren persönlichen Daten: Einerseits werden in fast schon exhibitionistischer Weise sensible Daten in vermeintlich privaten Foren und sozialen Netzwerken publiziert und getauscht … Andererseits regt sich massiver Widerstand, wenn staatliche Ansätze des Identitätsmanagements den Eindruck erwecken, einen Zugriff auf persönliche Daten zu ermöglichen“64 Polizei 34,2% Kreditinstitut/Bank 30,7% Staatliche Behörden 30,3% Verbraucherzentrale 19,3% Online-Händler 15,1% Bundesnetzagentur 11,8% Wirtschaftsauskunfteien 8,5% Versicherungen Soziale Netzwerke Anderen Keinem der Genannten 7,2% 3,7% 1,7% 41,8% Abbildung 11: Frage - Wem trauen sie einen wirkungsvollen Schutz vor dem Missbrauch ihrer Daten zu? (Quelle: ECC Handel, Fn . 61 , S. 27) Vor diesem Hintergrund ist es wenig überraschend, dass, obwohl seit dem 01.10.2010 mit dem neuen Personalausweis ein Instrument zur Verfügung steht, mit dem das Risiko Opfer einen Identitätsdiebstahls und in der Folge eines Identitätsmissbrauchs zu werden, deutlich verringert und bei Nutzung der elektronischen Identitätsnachweises (eID-Funktion) mittels des neuen Personalausweises auch die Gefahr Opfer eine Phishing-Attacke im Rahmen einer eID-basierten Transaktion zu werden, sogar aus- 63 64 36 Persönliche Daten können nach Meckel et al. (siehe Fn. 46, ebenda S. 33) als eine Art „Währung“ des Internetzeitalters betrachtet werden, denn Online Transaktionen berühren regelmäßig mehr oder weniger die Privatsphäre. Aus dieser Perspektive auf persönlichen Daten als „Tauschmittel“, ist eine Kalkulation möglicher „Gewinne“ und „Verluste“ geradezu zwangsläufig. Vgl. Meckel et al., Fn. 46, ebenda S. 2 geschlossen werden kann65, lediglich jeder Zehnte der Befragten, die bereits im Besitz des neuen Personalausweises sind, die neue eID-Funktion bereits freigeschaltet hat. Rund 44% dagegen können sich auch in Zukunft eine Nutzung der eID-Funktion nicht vorstellen. Nicht zuletzt auch, weil sie weder wissen, bei welchen Stellen oder OnlineShops sie die Online-Funktion wofür nutzen könnten, noch verstehen, welche Schutzmöglichkeiten die eID-Funktion zu leisten imstande ist, noch bereit sind die dafür erforderlichen Investitionen (wie der Kauf eines sicheren Lesegerätes) zu tätigen. Hinzu kommt, dass vor allem die jungen und häufig mobilen Internetnutzer, kaum zu motivieren sind, ein solches - aus ihrer Sicht unhandliches - Lesegerät als ständigen Begleiter zu akzeptieren. Abbildung 12: Nutzung der eID-Funktion (Quelle: ECC Handel, Fn. 61, S. 31) Die Ergebnisse zeigen: Vertrauen durch Technik setzt Vertrauen in und Verständnis von Technik voraus. Technische und ggf. auch verbürgte Zuverlässigkeit ist daher gewiss imstande, das Vertrauen der Nutzer in ihren Gebrauch zu erhöhen. Andererseits kann man nicht davon ausgehen, dass technische Prozesse und Architekturen des Internet von allen Verbrauchern gleichermaßen oder gar in der erforderlichen Tiefe verstanden werden. Die in allen Umfragen geäußerten Bedenken hinsichtlich Sicherheit und Datenschutz im Internet führen deshalb auch keineswegs zwingend zu einer verstärkten Nutzung der zweifellos beeindruckenden kryptographischen Fähigkeiten des neuen Personalausweises. Kubicek und Noack mahnen daher zu Recht, dass die 65 Borges et al. (Fn. 49 , ebenda S. 191) kommen sogar zu dem Schluss, dass Identitätsdiebstahl, d. h. das unbefugte Sichverschaffen einer Identität (ebenda, S. 11) „mithilfe des neuen Personalausweises, sofern er keine gravierenden kryptographischen oder technischen Schwächen aufweist, wirkungsvoll unterbunden werden [kann]. Dies ist eine direkte Folge aus der Tatsache, dass zum Nachweis der Identität jetzt Besitz (neuer Personalausweis) und Wissen (PIN) erforderlich ist.“ 37 vor allem von IT-Sicherheitsexperten gepflegte Fiktion des „homo securitus“, der nicht nur willens, sondern auch noch imstande ist, sämtlichen Sicherheitsempfehlungen zu folgen, wenig hilfreich bei der Erklärung tatsächlichen Verhaltens und der Entwicklung kritischer soziotechnischer Systeme ist.66 Diese Annahme hinterlässt jedoch einen circulus vitiosus von Erwartungen und Verantwortungszuweisung der Bürger an die Wirtschaft und den Staat und umgekehrt, der so nicht aufgelöst werden kann.67 Die Vollzugswahrscheinlichkeit einer Online-Transaktion könnte jedoch vielleicht gesteigert werden, wenn die Risikowahrnehmung des Nutzers hinsichtlich eines denkbaren Missbrauchs abgesenkt wird, indem man ihm das Gefühl („zurück“) gibt, die Kontrolle über die Entscheidung welchen dritten Parteien er bereit ist, persönliche Daten preiszugeben, zu behalten. Einen Ausweg aus diesem Dilemma böte daher möglicherweise ein Szenario, das imstande wäre einen pragmatischen Kompromiss zwischen dem Bedürfnis der Verbraucher nach größerer Anonymität einerseits, wie dem Interesse des Händlers an der Minimierung des Risikos eines Zahlungsausfalls andrerseits, zu bewerkstelligen. Ausgangspunkt dabei ist die gewiss nicht ganz ungerechtfertigte Annahme, dass dem Verbraucher nicht daran gelegen ist, jedem OnlineHändler seine Bank- oder Kreditkarteninformationen offenzulegen zu müssen. Bei einem erfolgreichen „Einbruch“ in die Händlerdatenbank würden sensible Informationen Unbefugten ohne Umwege offenbar werden. Hinzu kommt, dass bei jeder Registrierung ein Passwort fällig wird, das i. d. R. in einer Fortschreibung bereits bestehender Passwörter endet und somit alles andere als sicher gelten kann. Auf der anderen Seite ist dem Händler vornehmlich daran gelegen, das Risiko eines Zahlungsausfalls zu minieren. D. h. für den Fall, dass in dieses Risiko ein Dritter eintritt, der zugleich imstande ist, eine Bonitätsprüfung vorzunehmen, wäre dem Händler eine große Sorge abgenommen. Vor diesem Hintergrund wäre folgendes Szenario denkbar (siehe auch Abbildung 13): zu dem Zeitpunkt an dem der Kunde beabsichtigt den Besuch einer Webseite mit einem Kauf eines Produktes oder einer Leistung abzuschließen, wird er vom Händler, resp. dem in seinem Auftrag agierenden Payment Service Provider zur Login-Seite seiner Hausbank umgelenkt. Der Kunde muss für diesen Fall lediglich die Bankleitzahl (BLZ) angeben (hinterlegen). Auf dem Wege dorthin werden die Kaufdaten (Zahldaten, Händler- und Produktbezeichnungen) gleich mitgeliefert und nach dem Einloggen in die Webseite seiner Bank angezeigt. Anschließend kann er den Kauf mit einer durch die Bank bereitgestellten TAN bestätigen, der Händler wird von der erfolgreichen Transaktion informiert und der Zahlbetrag seiner Hausbank gutgeschrieben. Der Vorteile für den Händler sind: die Bonitätsprüfung (Kreditrahmen) des Kunden wird direkt von der beteiligten Bank des Kunden geprüft, die Benachrichtigung über den erfolgreichen Abschluss erklärt die Zahlungsgarantie durch die Bank. 66 67 38 Kubicek, H., Noack, T., Fn. 56, ebenda S. 289 So soll gemäß § 27 Abs. 3 PAuswG der Ausweisinhaber „durch technische und organisatorische Maßnahmen gewährleisten dass der elektronische Identitätsnachweis … nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist.“ Eine Anforderung, die für den durchschnittlichen Internetnutzer ebenso vage wie darum auch kaum zu erfüllen sein dürfte. Abbildung 13: "Anonymisiertes" Online-Bezahlverfahren (Quelle: E-Commerce-Leitfaden, Fn. 23 , S. 114) Die Nachteile eines solchen Verfahrens, aus Sicht des Kunden, sind: hierbei handelt es sich – im Übrigen ähnlich der Online-Zahlung mittels Kreditkarte - um eine Bezahlung vor Lieferung, und das notwendige und wiederkehrende Login auf der Bankseite ist nicht unbedingt komfortabel. Ein solches Verfahren wird derzeit von 1.500 Banken und Sparkassen unter dem Namen „giropay“ angeboten (www.giropay.de), eine wirkliche Marktdurchdringung konnte damit aber bislang noch nicht erreicht werden (siehe auch Abbildung 3). Dabei wird, wie bereits beschrieben der Kunde aus dem Bestellvorgang im Online-Shop über eine sichere Verbindung direkt mit seinem Online-Banking-Konto verbunden. Die Vorteile für den Händler liegen auf der Hand: Der Kunde vertraut seiner Bank, das Verfahren garantiert eine hohe Sicherheit durch die PIN/TAN-Abfrage, und der Händler kommt schnell an sein Geld und erhält eine Zahlungsgarantie. Völlig anders und vor allem aus Sicht des Kunden komfortabler, gestaltet sich möglicherweise die Situation, wenn man das Login auf der Bankseite des Kunden vermittels der eID-Funktion des neuen Personalausweises ausführen kann. Voraussetzung hierfür wäre ein NFC-fähiges Endgerät, das ggf. sogar in der Lage ist, die Kaufdaten dem Verbraucher anzuzeigen. Die Bestätigung des Kaufs würde auch in diesem Fall mit einer durch die Bank übermittelten TAN erfolgen, sicherheitshalber natürlich auf einem von der Verbindung des Netz-PCs getrennten Kanals. Die folgende Abbildung versucht zu zeigen, wie man auf diese Weise - mit vergleichsweise wenig Aufwand - imstande wäre, die eID-Funktion des neuen Personalausweises in das alltägliche Online-Geschäft zu integrieren. 39 Abbildung 14: „Mobiles“ Online-Bezahlverfahren giropay mit eID Authentisierung Der erkennbare Vorteil für den Nutzer: durch den „Umweg“ (Ausführung der Zahlung) über die Bank, resp. dem Kreditinstitut ist gewährleistet, dass sensible und persönliche Daten ausschließlich zwischen dem Kunden und der Bank ausgetauscht werden. Kein Dritter erhält insbesondere Einblick in persönliche Kontoinformationen und Transaktionsdaten. Darüber hinaus wäre ein solches Szenario auch für mobile Nutzer eine interessante Alternative. Die Abwicklung der Umleitung auf die Webseite der Kundenbank, wie auch die Integration der eID-Funktion in das Login der Bank könnten von jeweils verschiedenen und auf die jeweiligen Funktionen spezialisierten Payment Service Providern und eID-Dienstleistern im Auftrag der Händler resp. der Banken ausgeführt werden. Ein ähnliches, wie in Abbildung 14 skizziertes Verfahren haben die Kreditkartenorganisationen VISA und MasterCard unter den Bezeichnungen „Verified by VISA“ bzw. „MasterCard Secure Code“ installiert. In beiden Verfahren registriert sich der Nutzer zunächst bei dem jeweiligen Kartenemittenten und erhält ein spezielles Passwort. Will der Karteninhaber im Internet bezahlen, gibt er zunächst auf der Webseite des Händlers über eine SSL-verschlüsselte Verbindung seine Kreditkartendaten ein. Das System des Händlers nimmt dann die Kommunikation mit dem Server der Kreditkartengesellschaft auf und stellt eine Authentisierungsanfrage, die vom System des Kreditkarteninstituts an das Endgerät des Karteninhabers weitergeleitet wird. Der Karteninhaber kann sich dann in der zwischen ihm und dem Kreditkarteninstitut vereinbarten Form (Benutzerkennung, Passwort, Einsatz einer Chipkarte etc.) legitimieren. Ist die Anfrage erfolgreich, wird die Zahlung veranlasst, anderenfalls muss der Händler die Transaktion abbrechen. 40 Die Bundesdruckerei hat zusammen mit dem IT-Dienstleister XCOM AG und dessen Bank biw AG eine Lösung vorgestellt, bei der die eID-Funktion des neuen Personalausweises als Legitimation für Online-Banking eingesetzt werden kann.68 3.3. Schadensbegrenzung für die Händler? Sicherheit im E-Payment bestimmt sich für Händler wie für die Kunden nicht zuletzt auch daraus, wie sie in einem Schadensfall abgesichert sind. Während jedoch die Risiken für die Verbraucher häufiger in der Öffentlichkeit thematisiert werden, sind negative Erfahrungen der Online-Händler – sicher auch wegen des zu befürchtenden Ansehensverlustes – weniger präsent. Dabei sind es vornehmlich Zahlungsausfälle, die Online-Händler fürchten und beklagen. In großen Teilen sind diese vor allem einer unzureichenden Authentisierung der Käufer geschuldet. Häufig genug werden Kreditkarten oder andere Zahlungssysteminformationen von unbefugten Dritten missbräuchlich verwendet oder Adressen falsch eingegeben, um Waren oder Dienstleistungen umzulenken. Darüber hinaus ermöglich unzureichend geschützte Transaktionskanäle mit so genannten Man-in-the-Middle Angriffen, Zahlungsinformationen, wie Zahlbeträge oder Zahlungsempfänger zu manipulieren. Hinzu kommen zudem ungedeckte Konten oder einfach nur eine schlechte Zahlungsmoral. Kreditkarten sind ungültig 52% Kreditkarte ist gesperrt / Verfügungsrahmen ist ausgeschöpft 49% Kunde gibt an, Ware nicht erhalten zu haben 23% Kreditkarte wurde missbräuchlich verwendet 20% Kunden reklamiert die Ware 17% Kunde kann Abbuchung nicht zuordnen Sonstige Gründe Gutschrift aufgrund einer Rücksendung wurd nicht rechtzeitig erstellt 15% 10% 9% Abbildung 15: Gründe für Zahlungsausfälle bei Zahlungen mit Kreditkarte (Quelle: E-CommerceLeitfaden, Fn. 23, S. 164 ) Ein großer Teil derartig verursachter Zahlungsausfälle lässt sich vermeiden, wenn durch geeignete Maßnahmen Authentizität, Vertraulichkeit (bei der Übertragung) und Integrität der Zahlungsinformationen gesichert werden können. Und natürlich können Online-Händler nur solche Zahlverfahren anbieten, bei denen das Risiko eines Zah68 Quelle: http://www.egovernment-computing.de/fachanwendungen/articles/356018/ 41 lungsausfalls eingeschränkt werden kann. Allerdings, selbst im Lastschriftverfahren, bei dem eine Zahlung unmittelbar eingeleitet wird, hat der Kunde ein Widerspruchsrecht und kann Geld zurückfordern. Überdies sind - wie bereits ausgeführt – Vorkasse-Zahlverfahren bei den Verbrauchern wenig beliebt, so dass sie eher noch den Online-Shop wechseln, als es zu nutzen. Selbst im Falle eines Kreditkartenmissbrauchs ist der Verbraucher nach geltendem Recht besser gestellt als der Händler, da eine wirksame Weisung ohne Vorlage der Karte und Belegunterzeichnung nicht nachgewiesen werden kann.69 0 0,5 1 1,5 2 2,5 3 3,5 Vorauskasse Sofortüberweisung.de Giropay Kreditkarte PayPal Nachnahme Treuhandverfahren Geldkarte ClickandBuy Amazon Flexible PS PaySafecard T-Pay Micro Money Mobiles Bezahlen (Handy/PDA) Lastschrift Finanz-/Ratenkauf Rechnung Abbildung 16: Bewertung der Zahlungssicherheit bei Internet-Zahlungsverfahren Skala von 1 = "Sehr kundenfreundlich" bis 5 = "Überhaupt nicht kundenfreundlich"70 Das Fazit der ibi Research an der Universität Regensburg GmbH lautet:71 die besten Kundendaten nützen nichts, wenn sie falsch sind. Zahlungsunwillige Kunden oder gar Betrüger werden immer versuchen, ihre wahre Identität zu verschleiern. Auch Plausibilitätsprüfungen helfen wenig, wenn es sich nicht um erkennbare falsche Daten handelt, also die angegebene Adresse oder die angegebene Kredit- oder Kontonummer ggf. tatsächlich existieren, die Karte oder die Informationen jedoch in falschen Händen sind. Was Not tut, ist eine zweifelsfreie Authentisierung des Kunden, die zuverlässig mit der Autorisierung des Online-Kaufs einer Ware oder Dienstleistung verknüpft werden kann, ergänzt um eine vertrauenswürdige Prüfung der Bonität, bspw. 69 70 71 42 Vgl. BGH Urteil vom 24.09.2002 AZ: Xl ZR 42 0/01, unter www.bundesgericht.de. Mit den neueren Bezahlmethoden der Kreditkartenorganisationen (Visa 3D-Secure, MasterCard SPA/UCAF) wird eine Haftungsumkehr (liability shift) vollzogen, durch die eingesetzte Sicherheitsarchitektur wird im Schadensfall zunächst ein Verschulden des Kunden angenommen. Quelle: Internet-Zahlungssysteme aus der Sicht der Händler, Fn. 30, ebenda Vgl. E-Commerce-Leitfaden, Fn. 23, ebenda S. 171 4 durch spezialisierte externe Dienstleister. Beides ließe sich bspw. mit dem in Abbildung 14 veranschaulichten Verfahren realisieren. Umso erstaunlicher ist, dass das Risiko hinsichtlich Zahlungssicherheit bei Zahlung via Kreditkarte oder PayPal im deutschen Online-Handel als eher gering eingeschätzt wird. Zwar wird in den Medien häufig vermutet, dass E-Commerce in hohem Maße von Risiken bei der Zahlungsabwicklung betroffen ist. Die Beobachtungen der durch das ECommerce-center –Handel befragten Unternehmen vermitteln jedoch andererseits den Eindruck, dass die Mehrheit der Händler eher selten negative Erfahrungen gemacht hat. 1 = sehr häufig 2 3 Rechnung nicht oder nicht vollständig bezahlt 4 5 = nie 20,5 21,0 28,1 22,9 Falsche Kundenadresse 19,4 Nicht-Annahme bei Nachnahme 16,9 19,0 25,1 33,3 Ungedecktes Konto 19,1 18,1 25,0 33,8 Unberechtigte Rückbuchung bei Lastschrift 16,2 Kontoverbindung des Kunden falsch 14,0 Kreditkartennummer des Kunden falsch 8,7 Betrug (z. B. mit fremder Kreditkartennummer) 22,9 14,7 37,7 33,0 18,0 23,0 6,1 14,6 Verlust der Ware bei Zahlung per Nachnahme 4,1 11,8 15,9 26,7 16,7 Unberechtigte Rückbuchung bei… 7,3 13,4 37,9 22,7 23,5 24,6 34,0 45,4 50,5 54,5 59,0 Abbildung 17: Negative Erfahrungen im Internet-Zahlungsverkehr (Angaben in Prozent)72 3.4. Sichere Altersverifikation Sicherheit im E-Commerce bedeutet auch einen sicheren Jugendschutz – und zwar sowohl im Sinne eines wirksamen Schutzes der Jugendlichen als auch im Sinne von Rechtssicherheit für die Anbieter von altersbeschränkten Waren und Dienstleistungen. Für Angebote im Internet (Telemedien) ist rechtlich der JugendmedienschutzStaatsvertrag (JMStV) von 2002 maßgeblich. Danach sind dort näher bezeichnete inhaltliche Angebote (z.B. pornografischer, erniedrigender oder Gewalt verherrlichender Art) nur zulässig, „wenn der Anbieter sicherstellt, dass sie nur Erwachsenen zugänglich gemacht werden.“ (§ 4, Abs. 2) Dasselbe gilt für die abgestufte Altersfreigabe für entwicklungsbeeinträchtigende Inhalte nach § 5. Im noch nicht von allen Ländern ratifizierten Novellierungsentwurf von 2010 werden in § 11 die Anforderungen an entsprechende Zugangssysteme definiert. Sie müssen „gewährleisten, dass eine Volljährigkeitsprüfung über eine persönliche Identi72 Quelle: Internet-Zahlungssysteme aus der Sicht der Händler, Fn. 30, ebenda 43 fizierung erfolgt und beim einzelnen Nutzungsvorgang nur identifizierte und altersgeprüfte Personen Zugang erhalten. Dies entspricht der bisherigen Rechtsprechung und den Kriterien der Kommission für Jugendmedienschutz (KJM), die nach dem Staatsvertrag Altersverfikationssysteme (AVS) daraufhin prüft, ob sie diesen Anforderungen genügen. Bei der Altersverifikation geht es insgesamt keineswegs nur um den Zugang zu WebInhalten mit Pornografie und Gewalt, sondern auch um Online-Spiele und in jüngster Zeit verstärkt um Glücksspiele inklusive Sportwetten sowie staatlich anerkannte Lotterien. Für diese Glücksspiele bestimmt der Staatsvertrag über das Glücksspielwesen in Deutschland in § 4 Abs. 3: „Die Teilnahme von Minderjährigen ist unzulässig. Die Veranstalter und die Vermittler haben sicherzustellen, dass Minderjährige von der Teilnahme ausgeschlossen sind.“ Das in diesem Vertrag verankerte Sportwettenmonopol ist 2010 vom Europäischen Gerichtshof für unzulässig erklärt worden. 2011 haben sich die Ministerpräsidenten, bis auf Schleswig-Holstein, auf eine Novellierung verständigt, nach der eine begrenzte Anzahl von Konzessionen für Online-Sportwetten erteilt werden soll und auch die staatlichen Lottogesellschaften online anbieten dürfen.73 Nach der Ratifizierung durch die 15 Landtage ist das Gesetz z.B. in Nordrhein-Westfalen am 1. 7. 2012 in Kraft getreten. Die konkreten Konzessionsbedingungen sind noch nicht publiziert. An der Altersverifikation wird auf jeden Fall festgehalten. Und der müssen sich alle Spieler unterziehen. Von daher entsteht hier ein sehr großer Bedarf an verlässlichen Altersnachweisen. Nach einer Meldung der Süddeutschen Zeitung hat der Deutsche Lotto-Block im vergangenen Jahr 6,7 Milliarden Euro umgesetzt.74 Durch die Aufhebung des bisherigen Verbots wird nicht nur ein Teil dieses Umsatzes in Zukunft auf Online-Angebote fallen. Die deutschen Veranstalter erwarten auch, dass bisher zu ausländischen Angeboten abgewanderte Umsätze wieder zurückgewonnen werden können. Lange Zeit spielte der (alte) Personalausweis neben dem Postident-Verfahren eine wichtige Rolle bei der Altersverifikation. Häufig wurde die Ausweisnummer übermittelt, in der das Geburtsjahr enthalten ist. Das Bundesverwaltungsgericht (BVerwG) hatte schon 2002 festgestellt, dass ein zuverlässiges AVS eine Prüfung im Rahmen eines persönlichen Kontakts beinhalten muss. Nach Auffassung des BVerwG ist eine zuverlässige Alterskontrolle anzunehmen, wenn vor oder während des Vertragsschlusses ein persönlicher Kontakt mit dem späteren Kunden und in diesem Zusammenhang eine zuverlässige Kontrolle seines Alters anhand amtlicher und mit Lichtbild versehener Dokumente vorgenommen wird.75 Nach Ansicht des Gerichtes müssten demnach andere Verfahrensweisen ein ähnliches Maß an Gewissheit bewirken, insbesondere müsse “so weit wie möglich sichergestellt sein, dass die Zugangsdaten tatsächlich nur 73 74 75 44 http://de.wikipedia.org/wiki/Gl%C3%BCcksspielstaatsvertrag http://www.sueddeutsche.de/geld/neuer-gluecksspiel-staatsvertrag-lottospielerkoennen-bald-online-tippen-1.1413368 Urteil vom 20. Februar 2002 – 6 C 13/01: http://www.jugendschutz.net/pdf/bverwg220202.pdf. an die volljährigen Kunden gelangen”.76 Diesen Anforderungen genügen die meisten Altersverifikationssysteme (AVS) nicht, z. B. auch nicht oft verwendete Altersverifikationssystem “Über18.de”. Im Jahre 2007 hat die 17. Kammer des Bayerischen Verwaltungsgerichts (VG) München (Az.: M 17 S 07.144, Beschluss vom 31.01.2007) die gängige Rechtsprechung bestätigt, wonach ein AVS, bei dem sich der Nutzer durch seine Personalausweisnummer als Erwachsener identifiziert, keinen wirksamen Schutz im Sinne des § 4 JMStV bietet. Da die Überprüfung mit Hilfe der Ausweisnummer anonym ist und die Möglichkeit der einfachen Umgehung besteht, stelle dieses System keine effektive Barriere dar. Das Gericht wies darauf hin, dass für Anbieter und Nutzer von beschränkten Inhalten im Internet die Möglichkeit besteht auf das so genannte Postident-Verfahren auszuweichen. Eine andere Möglichkeit sei die Verwendung von Geldkarten, auf denen altersrelevante Informationen gespeichert sind. Bei Eröffnung des Kontos wird die Volljährigkeit nachgewiesen. Nach diesem Prinzip wird auch der Verkauf von Zigaretten an Automaten seit dem 01.01.2007 geregelt. Im selben Jahr hat auch der Bundesgerichtshof letztinstanzlich entscheiden, dass ein auf der Ausweisnummer basierendes Zugangssystem die Anforderungen nach § 4 Abs. 2 JMStV nicht erfüllt77. Nach einem Beitrag in Wikipedia soll dieses De-facto-Verbot eines sehr einfachen und kostengünstigen Verfahrens dazu geführt haben, dass Anbieter von jugendgefährdenden Angeboten ihren Firmensitz ins Ausland verlegt und sich damit den Verpflichtungen aus dem JMStV entzogen haben. 78 Inzwischen hat die Kommission für den Jugendmedienschutz (KJM) Prüfkriterien entwickelt und auch bereits auf mehrere Verfahren angewendet. Da der JMStV kein konkretes Prüfverfahren und keine Zertifizierung vorschreibt, handelt es sich dabei nicht um Genehmigungen, sondern rechtlich nur um Empfehlungen, an denen sich aber Gerichte orientieren dürften. Nach den veröffentlichten Eckpunkten kann der Rückgriff auf eine bereits erfolgte Face-to-Face-Kontrolle unter bestimmten Bedingungen die Prüfung im persönlichen Kontakt ersetzen.79 Darüber hinaus muss sichergestellt sein, dass bei jedem Nutzungsvorgang eine verlässliche Authentifizierung erfolgt. Die Zuweisung eines Passwortes reicht dazu nicht. Vielmehr müssen technische Maßnahmen zur Erschwerung einer Multiplikation von Zugangsberechtigungen (Weitergabeschutz) ergriffen werden. Dazu werden insbesondere hardwarebezogene Maßnahmen, u.a. auch ID-Chips, genannt. Auf ihrer Internet-Seite veröffentlicht die KJM die von ihr geprüften Konzepte für geschlossene Benutzergruppen und für übergreifende Konzepte. Dazu gehören die 76 77 78 79 Sicherstellen" des Erwachsenenversandhandels nach dem Jugendschutzgesetz erfordert einen persönlichen Kontakt im Rahmen der Zustellung der über das Internet versendeten Ware. http://juris.bundesgerichtshof.de/cgibin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=2007&Sort=3&nr=41423 &linked=pm&Blank=1 http://de.wikipedia.org/wiki/Altersnachweissystem http://www.kjmonline.de/de/pub/jugendschutz_in_telemedien/geschlossene_benutzergruppen.cfm 45 Geldkarte des ZKA, eine SMS-PIN der Staatlichen Lotterieverwaltung München und jüngst der E-Postbrief der Deutschen Post.80 Die ID-Funktion des neuen Personalausweises erfüllt alle Anforderungen der KJM in höchstem Maße. Gegenüber dem Post-Identverfahren, der Geldkarte oder dem Rückgriff auf SIM-Karten bietet sie aufgrund der selektiven Berechtigungszertifikate und der Möglichkeit boolscher Abfragen (älter als 18?) sogar den Vorteil einer anonymen und trotzdem sicheren Authentifizierung. 3.5. Der Ausweis als „Vertrauensanker“ Nach Auffassung des ISPRAT Verbundes kann der Einsatz des neuen Personalausweises im Zusammenhang mit einer universellen Lösung für das Identitätsmanagement prinzipiell eine wichtige Rolle spielen.81 Die Idee dahinter ist, den neuen Personalausweis als Instrument zu nutzen, um ggf. andere Authentisierungsinstrumente zu erstellen, bzw. erstellen zu lassen. Ein vorstellbares Szenario ist beispielsweise, dass sich der Personalausweisinhaber gegenüber dritten Dienstleistern, die ggf. eigene Trustcenter betreiben oder nutzen, über die eID-Funktion des Personalausweis ausweist, um sich für spezifische Anwendungen jeweils eine personalisiertes Hardwareoder Software-basiertes Authentisierungsinstrument erstellen zu lassen.82 Das kann eine ID-Karte mit eingeschränkten Merkmalen sein, z. B. eine Karte, die mit einem RFID-Chip ausgestattet ist und "anonyme Tokens" für Einmaltransaktionen wie Fahrten mit dem Nahverkehr oder Eintrittskarten enthält. Das kann aber auch ein software-basiertes „Token“ sein, das sich bspw. für die Nutzung mit einem mobilen Endgerät einsetzen lässt. Im ersten Fall hätten die ausstellenden Dienstleister sogar die Möglichkeit des Brandings der Karten und könnten für die von ihnen erstellten Karten darüber hinaus zusätzliche Mehrwertleistungen anbieten. 80 81 82 46 http://www.kjmonline.de/de/pub/aktuelles/pressemitteilungen/pressemitteilungen_2012/pm_102012.cfm Quelle: Elektronisches Identitätsmanagement, ISPRAT White Paper, abgerufen am 20.06.2012 unter: http://isprat.net/fileadmin/downloads/pdfs/it_gipfel_2008/ISPRAT_Whitepaper_Elektron ische_Identitaeten.pdf Vgl. Elektronisches Identitätsmanagement, ISPRAT White Paper, Fn. 81, ebenda S. 21 4. IT Roadmap im E-Commerce Die flexible Unterstützung von Beschaffungs- und Vertriebsprozessen durch moderne Informations- und Kommunikationstechnologie ist keine wirkliche neue Herausforderung, erhält jedoch mit der stürmischen Entwicklung des Internet der Dienste eine völlig neue Relevanz, Dynamik und Dimension hinsichtlich Wachstum und Verfügbarkeit ergänzt um neue Betriebsmodelle und Technologien. Gerade durch die zunehmende Vernetzung von Unternehmen mit ihren Kunden und Lieferanten über das Internet steigen die Anforderungen an IT-Infrastrukturen, immer effizient und bedarfsgerecht die erforderlichen Anwendungen und Dienste in ausreichender Verfügbarkeit, Kapazität und Sicherheit bereitzustellen. Der ebenso unübersehbare wie zugleich unausweichliche Ausbau des Dienstleistungsangebotes für Privat- und Unternehmenskunden im Internet der Dienste verlangt deshalb von den Unternehmen nicht mehr und nicht weniger, als sich künftig vermehrt mit geeigneten Liefer- und Bezugsstrategien für IKT-Anwendungen und -Infrastrukturen auseinandersetzen. Abbildung 18: Funktionen und Komponenten von E-Commerce-Shops Traditionelle in-house-Strategien geraten dabei natürlich angesichts der enormen Kapitalbindung wettbewerbsfähiger E-Commerce-Plattformen und E-Services für Lizenzkosten, Personal- und Sachkosten für den Betrieb sowie zu erwartende Kosten für Pflege, Wartung und notwendige Erweiterungen, wie bspw. die Anbindung mobiler Endgeräte, zunehmend in Bedrängnis. Nicht zu vergessen, dass eine leistungsstarke und erfolgreiche E-Commerce-Plattform aus einer Vielzahl unterschiedlicher und komplexer Funktionen und Komponenten besteht, die effizient und skalierbar miteinander „verschränkt“ werden müssen, und für die natürlich längst spezialisierte Dienstleister bereitstehen. Ein Eigenbetrieb ist vor diesem Hintergrund, insbesondere für KMU’s, auf Dauer keine betriebswirtschaftlich sinnvolle Option. Selbst professionelle Anbieter von E-Shop-Softwarelösungen wie Intershop (www.intershop.de) oder ShopFactory (www.shopfactory.de) verlassen sich daher heute nicht mehr auf das klassische on-promise Geschäft, sondern bieten ihren Kunden an, die gesamte E47 Commerce-Plattform, inklusive zugehöriger Warenwirtschaftssysteme, Finanz- und Logistikdienstleistungen auf ihren Servern zu hosten. Ähnlich lassen sich auf Plattformen von All-Around IT-Dienstleistern wie Strato (www.strato.de) oder T-Online (www.t-online.de) heute schon komplette E-Shops „mieten“. Die Einbindung in derartige Diensteplattformen macht webbasierte Dienste für potenzielle Kunden leichter auffindbar. Sie erlaubt zudem, eigene E-Services mit komplementären externen Diensten zu kombinieren. Anwendungs- und Diensteplattformen werden daher in der Internet-der-Dienste-Welt eine besondere Bedeutung einnehmen. Sie sollen Kunden in die Lage versetzen, etwa ein bedarfs- oder prozessorientiertes Komplettangebot zu finden, statt Einzelangebote suchen, vergleichen und zusammenstellen zu müssen. Eine Sonderform solcher Bündelungen stellen die so genannten virtuellen Shopping-Malls dar, wie bspw. unter www.rakuten.de oder auch auf facebook.com oder in der öffentlichen Verwaltung unter dem Namen „Kaufhaus des Bundes“. Hier werden die einzelnen Angebote verschiedener Händler zu einem Gesamtangebot zusammengeführt, der Kunde kann in diesem „virtuellen Kaufhaus“ Produkte unterschiedlicher Händler in einem Warenkorb zusammenfassen und muss nur einen einzigen Bezahlvorgang durchlaufen, auch wenn er bei mehreren Anbietern gekauft hat. E-Commerce in der Cloud? Cloud Computing hat spätestens seit 2010 den IT-Markt wie kein zweites Thema bewegt. Dabei findet – vor allem in Deutschland - die größte Dynamik noch auf der verbalen Ebene statt, nicht zuletzt wegen der immer noch unzureichenden Standardisierung – jedes Unternehmen entwickelt zunächst seine eigene Cloud – sowie der nach wie vor offenen rechtlichen Rahmenbedingungen, insbesondere für außereuropäische Anbieter.83 Dessen ungeachtet ist natürlich Cloud Computing sowohl aus technischer wie vor allem aus betriebswirtschaftlicher Perspektive ein viel versprechender Ansatz auch für E-Commerce-Plattformen. Die sofortige und vor allem effiziente Bereitstellung von Ressourcen und Diensten zur Unterstützung von Beschaffungs- oder Vertriebsprozessen auf der Basis moderner Software- und Internet-Technologien (wie Virtualisierung, SOA, Web 2.0 und Webservices) beherrscht nur die Cloud. Die Nutzung webbasierter Dienste aus der Cloud verspricht Unternehmen ebenso wie E-CommerceDienstleistern eine höhere Skalierbarkeit und Flexibilität der Lösungen, den orts- und endgeräteunabhängigen Zugang sowie Kosteneinsparungen bei IT-Infrastruktur, Personal und Support. 83 48 In einer Cloud droht u. a. die Verantwortung für die Aufbewahrung und (Weiter)Verarbeitung ggf. auch personenbezogener Daten hinter grenzüberschreitenden „Wolken“ zu „verschwimmen“. Gegenstand der Verantwortlichkeit im Umgang mit insbesondere personenbezogenen Daten ist die materiell-rechtliche Zulässigkeit der Verarbeitung. Nach Art. 2 c) S. 1 EU-DSRL ist verantwortlich, wer „über die Zwecke und Mittel der Verarbeitung entscheidet“. Nach Ansicht des Deutschen Anwaltsvereins ist deshalb Cloud Computing auch nicht mit den EU-Datenschutzrichtlinien vereinbar, wenn die Verarbeitung auf Servern außerhalb der EU erfolgt (http://anwaltverein.de/.../.../Stellungnahmen-11/43-2011SN-Cloud-Computing.pdf.). Aus der Perspektive von E-Commerce affinen KMU’s ist die Nutzung von Cloud Computing gegenüber „klassischen“ Lizenzlösungen für Client-Server-Anwendungen vor allem in zweierlei Hinsicht von Interesse: die Senkung von Betriebskosten, insbesondere die Verschiebung der Kostenstruktur von Investitionskosten hin zu operativen Betriebskosten und der Zugang zu Ressourcen, die außerhalb des Cloud Computing-Kontextes insbesondere für KMU kaum oder gar nicht erreichbar wären.84 Das gilt insbesondere für das Management der IT-Infrastruktur und IT-Services. Dabei erzielen die Cloud-Provider durch die schiere Größe der von ihnen betriebenen ITLandschaft Kostenvorteile, die von KMU’s kaum zu realisieren sind. Der Zuwachs von Cloud-Geschäftsmodellen wird nach einer Studie von Berlecon Research85 im Jahre 2010 zweifellos die Marktsituation und -strukturen der IKT-Branche tiefgreifend verändern. Denn Umsatzwachstum im Bereich Cloud Computing geht natürlich zumindest teilweise zu Lasten anderer Marktsegmente, wie bspw. des klassischen „on-promise“ Lizenz- oder Projektgeschäfts. 25.000 € 20.000 € IaaS 15.000 € PaaS BaaS 10.000 € SaaS 5.000 € 0€ 2010 2015 2020 2025 Abbildung 19: Umsätze im Public Cloud Markt nach Betreibermodellen in den Jahren 2010 bis 2020, Angaben in Mio. € (Quelle: Berlecon Research, Fn. 85 ) Bereits heute nicht zu übersehen ist, dass sich künftig neue Kooperationsmodelle entlang der Wertschöpfungsstufen etablieren und verschiedene IKT-Anbieter in neuen Partnerschaften enger zusammenarbeiten werden, Umsätze aus Weiterverkauf und -entwicklung von Software werden vermutlich deutlich zurückgehen. Ähnliches gilt für Dienstleister wie Systemintegrato84 85 Holtkamp, B.: Cloud Computing für den Mittelstand am Beispiel der Logistikbranche, Fraunhofer Institut für Software- und Systemtechnik, 2010, abgerufen am 26.05.2012 unter 2011.cebit-studio-mittelstand.de/ Das wirtschaftliche Potenzial des Internet der Dienste, Berlin, November 2010, abgerufen am 05.06.2012 unter: http://www.berlecon.de/studien/downloads/Berlecon_IDD_ExecSum.pdf 49 ren und Berater. Sie brauchen schlüssige Konzepte und Kompetenzen für Integrations- und Beratungsleistungen rund um Cloud Computing, SOA und Webservices. Für kleine und mittelständische IKT-Anbieter bietet das Internet der Dienste neue Chancen, durch die Anbindung an große Cloud-basierte E-Commerce-Plattformen. größere Kundenkreise anzusprechen und auch international die Sichtbarkeit zu erhöhen. Nach Ansicht der Berlecon Experten wird der Markt für Public Cloud in Deutschland von 650 Millionen Euro im Jahre 2010 auf 20,4 Milliarden Euro im Jahr 2020 wachsen. Den größten Anteil daran hatte und hat 2010 Software-as-Service (SaaS) mit einem Umsatzvolumen von 430 Millionen Euro auf dann 11 Milliarden Euro. SaaS wird deshalb nach Einschätzung von Berlecon Research auch in absehbarer Zeit der umsatzstärkste Anwendungsbereich im „Internet der Dienste“ bleiben. Das bedeutet, dass das Cloud-Geschäft in den nächsten 15 Jahren von Software dominiert wird. Business-as-Service (BaaS), d. h. das Outsourcing von kompletten Geschäftsprozessen wird im gleichen Zeitraum auf 4 Milliarden Euro wachsen. Platform-as-a-Service (PaaS) hat im Jahr 2010 etwa 20 Millionen Euro umgesetzt und soll auch in Zukunft der kleinste Teilmarkt im Cloud-Geschäft bleiben. Auf dem Teilmarkt Infrastructure-as-a-Service (IaaS) wurden 2010 ca. 30 Millionen Euro erwirtschaftet. Die Umsätze werden nach Einschätzung von Berlecon bis 2025 um überdurchschnittliche 38% jährlich steigen, auf dann etwas mehr als 4 Milliarden Euro. Die Umsätze im Private Cloud Markt dagegen sind zwar heute noch 2,5 Mal so groß wie im Public Cloud Markt, werden aber, so die Studie, in 2025 nur noch 50% des Public Cloud Marktes ausmachen. Aus Softwareperspektive ist Cloud Computing weder eine neue noch andersartige Architektur komponentenbasierter Softwaresysteme, sondern eher orthogonal zu den aktuellen Themen der Softwareentwicklung.86 Das Besondere an Cloud Computing ist vielmehr der umfassende Fokus auf sämtliche Aspekte moderner IT-Betriebsmodelle. „The key characteristics of the cloud are the ability to scale and provision computing power dynamically in a cost-efficient way and the ability of the consumer (end user, organization, or information technology [IT] staff) to make the most of that power without having to manage the underlying complexity of technology.”87 Es ist zu erwarten, dass Cloud-Service-Anbieter mit zunehmend vollständigeren Portfolios und geeigneter Marktansprache die Bedürfnisse und Geschäftsmodelle von E-CommerceAnbietern und Dienstleistern noch adäquater und individueller adressieren und die Marktdurchdringung von Cloud Computing fördern werden. Das Analystenhaus Gartner aus Connecticut rechnet sogar damit, dass bis 2015 abgespeckte CloudVersionen in Unternehmen aller Größen Einzug halten.88 Vor diesem Hintergrund ist, in Verbindung mit immer leistungsfähiger Mobilfunktechnik, kartenloses CloudPayment eine durchaus vorstellbare Entwicklung. Mobile Commerce Mit der Etablierung von modernen Datenübertragungstechnologien, benutzerfreundlichen Endgeräten und bezahlbaren Daten-Flatrates erlebt das mobile Internet derzeit 86 87 88 50 Cloud computing takes the idea of processing at a distance (not a new idea at all) and translates it to the world of the Internet (Simon, P.: The Next Wave of Technologies, Wiley Hoboken NJ 2010, p. 67. Simon, P., Fn. 86, ebenda S. 64 http://it-republik.de/jaxenter/news/Gartners-IT-Trends-2012-061187.html einen einzigartigen Boom. Nach einer Pressinformation des Hightech-Verbandes BITKOM vom 0.05.2012 wird für 20120 ein Umsatzplus mit mobilen Datendiensten in den Ländern der Europäischen Union um 8,3% oder 41,7 Milliarden Euro erwartet.89 Das mobile Interneterlebnis entwickelt sich im Consumer- und im BusinessUmfeld immer häufiger zur Selbstverständlichkeit und wird maßgeblich durch die Verbreitung von Smartphones vorangetrieben. Vor allem E-Commerce affine „Netzbürger“ aller Altersgruppen nutzen zunehmend mobile Endgeräte und SoftwareLösungen bzw. Apps, um sich über Angebote auf E-Commerce-Plattformen zu informieren. Darüber hinaus ist die Nutzung des mobilen Internet als Unterstützung für den Außendienst und Vertrieb längst an der Tagesordnung. Mobile Endgeräte entwickeln sich zusehends zur E-Service-Plattform in den Händen von Kunden und Mitarbeitern. Nach einer Allensbacher Computer- und Technik-Analyse aus dem Jahre 2011 (ACTA 2011)90 gehen inzwischen rund zehn Millionen Deutsche im Alter zwischen 14 und 69 Jahren mittels Smartphone, Tablet-PC oder anderen mobilen Geräten ins Internet. Das entspricht 17 Prozent der deutschsprachigen Bevölkerung, Tendenz steigend. Denn laut ACTA wollen sich derzeit rund 15 Prozent der Bevölkerung in der Altersgruppe bis 39 Jahre ein Smartphone kaufen. Die großen der Branche (Google, PayPal, Mobilfunkbetreiber, Visa, Mastercard u. a.) hoffen vor diesem Hintergrund vor allem auf ein kräftig wachsendes Neugeschäft mit dem so genannten M-Payment. Die Geldbörse soll zum „Mobile Wallet“ werden und damit „Anywhere Commerce“ möglich machen. Mittels Near Field Communication (NFC)-Technologie und hinterlegten Payment Schemata im Secure Element91 des Smartphones sollen Bargeld, EC- oder Kreditkarten „virtualisiert“ werden. Von daher ist es nur eine Frage der Zeit bis NFC-Infrastrukturen auch für Tablet-PC’s verfügbar werden. Die Hauptprobleme für eine schnelle und flächendeckende Verbreitung der Mobile Wallets sind freilich noch die fehlende Penetration von NFC-fähigen Terminals am Point of Sales (POS) und die noch unzureichende Verbreitung von NFC-fähigen Smartphones.92 Das von Microsoft noch für 2012 angekün89 http://www.bitkom.org/.../BITKOM_Presseinfo_Datendienste_weltweit_06_05_2012.pdf 90 Internet World Business Ausgabe 21 (2011) abgerufen am 05.06 2012 unter: http://www.ibusiness.de/.../www.ibusiness.de/files/iBusiness_Poster_Onlineshops_2011. pdf Ein Secure Element ist ein Mikrochip, der typischerweise denselben Aufbau und Funktionsumfang wie eine Smartcard hat und über Schnittstelle mit dem NFC-Steuerbaustein des mobilen Endgerätes verbunden ist. Das Secure Element wird zum Speichern und Abarbeiten sicherheitskritischer Daten und Anwendungen eingesetzt. Für den Einsatz des neuen Personalausweises im Umfeld NFC-fähiger Infrastrukturen erweisen sich vor allem die bislang fehlende Fähigkeit des NFC-Chips „extended length APDUS“ zu verarbeiten, die geringe Feldstärke sowie das Problem der aus Sicht des Perso- 91 92 51 digte Betriebssystem Windows Phone 8 für Smartphones wird deshalb von Anfang an die Nahfeldmobilfunktechnik NFC eingebaut haben. Dazu soll es auf allen WindowsPhone 8- Smartphones eine im Secure-Element der SIM-Karte implementierte WalletApplikation geben, um Bezahlfunktionen mit dem Handy an speziell ausgerüsteten Kassen ausführen zu können. Darüber hinaus wird das neue Betriebssystem auch softwarebasierte Tickets oder Nachweise für Mitgliedschaften in Vereinen oder Organisationen, mit dem Handy unterstützen. Erste Windows-Phone 8- Geräte sollen nach den Ankündigungen großer Mobilgerätehersteller noch im Weihnachtsgeschäft 2012 auf den Markt kommen.93 Ähnlich planen auch Google für das Android-Betriebssystem und Apple für sein iOS 6 NFC-basierte Payment- bzw. Ticketfunktionen.94 Experten rechnen damit, dass in absehbarer Zeit das iPhone mit einem NFC-Chip und Mobile Wallet Fähigkeiten ausgestattet sein wird. Auf der Entwicklerkonferenz WWDC 2012 stellte Apple Passbook vor.95 Dabei handelt es sich im Grunde genommen um eine virtuelle Geldbörse, die mit vorab bezahlten Gutscheinmarken etwa für Fahrkartenautomaten oder Rabattsysteme gefüllt wird. Die NFC-Technologie (Near Field Communication) macht dann in Verbindung mit iOS6-Passbook bargeldloses Bezahlen am Bahnhof, im Supermarkt, im Kino oder in anderen geschäftlichen Einrichtungen möglich. Da der NFC-Chip auch zur Ablage beliebiger anderer digitaler Dokumente taugt, könnte aus dem „Passbook“ schnell ein „Passport“ werden. Wenig überraschend hat Apple zudem angekündigt, die populäre Synchronisierungs- und Musikverwaltungssoftware iTunes mit integrierter Shop-Anbindung u. U. in eine Payment Plattform zu transformieren. Angesichts der Marktmacht von Apple & Co. gehört nicht viel Phantasie zu der Vorstellung, dass in absehbaren Zeiträumen sich ein Hersteller-getriebener de-facto Standard für die NFC-Kommunikation am Markt etablieren wird. Bei aller Euphorie ist jedoch nicht zu übersehen, dass obwohl Mobilfunkunternehmen und Netzbetreiber angesichts der vorhandenen technischen Infrastrukturen und zweifellos hohen Kundenzahlen am besten geeignet scheinen, M-Payment flächendeckend zu etablieren, ihnen die hierzu erforderlichen TransaktionsInfrastrukturen und Kernkompetenzen sowie zuverlässige Authentifikationsmechanismen fehlen. Große Kreditkartenunternehmen arbeiten daher, unterstützt durch internationale IT-Dienstleister mit Verve an der Entwicklung von Kreditkarten, die einen NFC-fähigen Chip tragen, um an NFC-fähigen Kassensystemen Bezahlvorgänge zu beschleunigen.96 Ein tatsächlicher Mehrwert für die Verbraucher wie die Anbieter kann freilich nur entstehen, wenn übergreifende Allianzen zwischen Netzbetreibern, Banken, Handelsorganisationen und Terminal-Herstellern geschaffen werden. Die Herausforderung für M-Payment basierend auf der NFC-Technologie ist daher eine klare Vertei- 93 94 95 96 52 nalausweises erforderlichen Rückwärtskompatibilität implementierter Standards über einen Zeitraum von 10 Jahren. (Quelle: interne Mitteilung des BSI) Quelle: http://www.spiegel.de/netzwelt/gadgets/windows-phone-8-microsoft-stelltsmartphone-windows-vor-a-840144.html Quelle: http://arstechnica.com/gadgets/2012/06/ www.apple.com/de/ios6 Interne Mitteilung, Mobile Division CSC Deutschland GmbH lung von Rollen und Anreizen entlang der gesamten Wertschöpfungskette.97 Eine Unterscheidung zwischen E- und POS-Commerce ist dann freilich nicht mehr nötig. Standardisierung Die Leistungsfähigkeit und damit Akzeptanz von E-Commerce-Plattformen wird in Zukunft noch viel stärker davon abhängen, wie unterschiedliche Anwendungen nicht nur imstande sind, Beschaffungs- und Vertriebsprozesse optimal zu unterstützen, sondern vor allem auch wie sie zusammenwirken, um das Einkaufverhalten der Kunden zu stimulieren. Ein nachhaltiger Erfolg der Integration der Unternehmens-IT in neue Vertriebskanäle wie E- oder M-Commerce-Plattformen und die Kollaboration unterschiedlicher Unternehmen entlang einer gemeinsamen Wertschöpfungskette wird dabei maßgeblich von der Verfügbarkeit und Bereitstellung standardisierter Schnittstellen beeinflusst werden. Dies gilt insbesondere für die Orchestrierung einzelner IT-Services auch unterschiedlicher Cloud Provider zu komplexen Lösungen im Sinne einer serviceorientierten Architektur. Das Internet der Dienste wird daher die Fortentwicklung und die Nutzung insbesondere von Kommunikations- und Sicherheitsstandards weiter vorantreiben. Dazu gehören insbesondere die grenzüberschreitende Qualifizierung elektronischer Identitäten, die unter dem Begriff der Unified Communications98 (oft auch als Real-Time Communication bezeichnet) subsumierte Integration von Kommunikationsmedien in einer einheitlichen Anwendungsumgebung sowie die Standardisierung der Nahfeldmobilfunktechnik (NFC). Standardisierungsbedarf besteht natürlich nicht nur auf der technischen Ebene, sondern gelichermaßen auf der Ebene von Prozessabläufen, der Dienstebeschreibung, Quality-of-Service-Regelungen und Tarifierung.99 Master Data und Customer Relationship Management Die korrekte und zuverlässige Erfassung von Kunden-, Lieferanten- und Produktdaten (auch unter dem Begriff der so genannten „Master Data“ oder Stammdaten subsumiert) sind für die Unterstützung transaktionaler und logistischer Prozesse im Internet der Dienste von zentraler Bedeutung. Ohne eine korrekte und zuverlässige (digitale) Erfassung und Repräsentation dieser Daten sind die daraus abgeleiteten Informa97 98 99 Karlsson, J., Taga, K.: M-Payment im internationalen Kontext, in: Lammer, T.: Handbuch EMoney, E-Payment & M-Payment, Physica-Verlag heidelberg 2006, ebenda, S. 83 Unified Communication Systeme sind das Resultat der Konvergenz von Groupware, neuen Kommunikationsmedien (VoIP und Instant Messaging) und Informations- und Kommunikationstechnik (IKT). Die Idee hinter Unified Communications (UC) ist, durch die kohärente Kopplung aller Kommunikationsdienste unter einer logisch-technischen Steuerungsschicht und die Integration mit Präsenzfunktionen, wie sie bspw. aus dem Instant Messaging bekannt sind, die Erreichbarkeit von Kommunikationspartnern in verteilter Arbeit zu verbessern und so geschäftliche Prozesse zu beschleunigen. UC im weiteren Sinne kann als Erweiterung von Unified Messaging verstanden werden, mit dem Ziel der Nachrichtenintegration in einem Portal und damit auf asynchrone Medien, während UC im engeren Sinne die Integration synchroner Medien zum Ziel hat. Das wirtschaftliche Potenzial des Internet der Dienste, Berlecon Research 2010, Fn. 85, ebenda 53 tionen über bestimmte Sachverhalte ggf. unvollständig, können nicht oder nicht korrekt verarbeitet und verknüpft werden und letztlich zu Fehlern oder Falschaussagen führen oder gar betrügerischen Absichten Vorschub leisten. Hier kann der Einsatz des neuen Personalausweises im Kontext von Online-Transaktionen zweifelsohne erheblich dazu beitragen, die Qualität und Zuverlässigkeit von Kundendaten zu erhöhen Gerade Kundendaten sind heute mehr denn je ein Aktivposten, deren intelligente Auswertung und Verknüpfung in einer Welt der modularisierten Wertschöpfung Wettbewerbsvorteile erzeugen und sichern kann. Analytisch getriebene Unternehmen kennen ihre adressierbaren Märkte besser, segmentieren Zielgruppen genauer und sind besser imstande mit ihren Kunden persönlicher zu interagieren, also bspw. den Online-Einkauf durch personalisierte Kaufempfehlungen („das könnte ihnen auch gefallen“) zu begleiten. Operative CRM–Lösungen werden deshalb zunehmend durch analytische Komponenten (Stichwort: Business Analytics100) ergänzt und Social Media Funktionen angereichert werden. An Daten für die „Vermessung“ der Verbraucherwelt mangelt es nicht. Smartphone & Co. sind gerade dabei die Trennung von On- und Offlinewelt endgültig aufzuheben und das Verbraucherverhalten in einen digitalen Datenstrom zu übersetzen, dessen Breite und Tiefe die Grenzen unserer Vorstellungskraft längst überschritten hat. Die Erschließung und Nutzung dieses von IT-Experten mit dem Stichwort „Big Data“ 101 beschriebenen exponentiellen Wachstums verfügbarer Daten ist nur noch mit Hilfe intelligenter Speichertechnik (In-Memory-Technologie), sowie intelligenten Such- und Auswertungsalgorithmen (Business Analytics Software) möglich. Big Data, davon sind Bloching et al. vom internationalen Competence Center Marketing & Sales von Roland Berger Strategy Consultants überzeugt, wird unsere Wirtschaft verändern wie der elektrische Strom und das Internet.102 Davon wird auch die Anreicherung der NFCKommunikation um zusätzliche Kundeninformationen bspw. beim Einkauf via Handy oder Smartphone betroffen sein. So stellt Google für Web-Plattformen ein eigenes Werkzeug (Google Analytics) zur Verfügung mit Aktivitäten eines Besuchers protokolliert und unter die Lupe genommen werden können (http://www.google.com/intl/de/analytics/). Aber auch die Integration und Auswertung heterogener Daten, insbesondere aus firmenexternen Datenquellen wie Internetseiten, stellt für zahlreiche Unternehmen einen signifikanten Marktvorteil dar. Um diese Daten systemintern verwalten zu können, bedarf es eindeutiger Identifikatoren und abgestimmter Metadatenmodelle. In diesem Rahmen gewinnen auch Standards und Techniken aus dem Bereich des Semantic Web wie beispielsweise XML, RDF und OWL immer mehr an Bedeutung, vor allem, wenn es um die Integration unstrukturierter Daten geht. Mehr dazu bspw. unter www.sas.com. 101 Als Big Data werden besonders große Datenmengen bezeichnet, die mit Hilfe von StandardDatenbanken und Daten-Management-Tools nicht oder nur unzureichend verarbeitet werden können. Problematisch sind hierbei vor allem die Erfassung, die Speicherung, die Suche, Verteilung, Analyse und Visualisierung von großen Datenmengen. Das Volumen dieser Datenmengen geht in die Terabytes, Petabytes, Exabytes und Zettabytes. (Quelle: http://de.wikipedia.org/wiki/Big_Data) 102 Vgl. Bloching, B., Luck, L., Ramge, T.: Data Unser. Wie Kundendaten die Wirtschaft revolutionieren, Redline Verlag München 2012, S. 11 100 54 5. Ein erstes Fazit Die in den vorhergehenden Abschnitten dargelegte Ausganglage legt folgende Schlussfolgerungen nahe, die als (vorläufige) Thesen als Ausgangsbasis für explorative Interviews mit Stakeholdern der Wertschöpfungskette im E-Commerce dienen: 1. Der Konzentrationsprozess im E-Commerce setzt sich fort. Das Wachstum von E-Commerce ist ungebrochen. Davon profitieren vor allem die Großen der Branche und unter ihnen besonders die Generalisten.103 Nicht zuletzt auch, weil nur sie nennenswerte Skaleneffekte im Betrieb der erforderlichen IT-Infrastruktur (Stichwort: Cloud Computing) erreichen können. Die Folge ist ein Konzentrationsprozess, der – begleitet von Full-ServiceAngeboten – vor allem kleinen und mittelständischen Unternehmen die Option bietet, sich auf den großen Internetplattformen „einzumieten“ und so an der zunehmenden Professionalisierung im Internet der Dienste bei gleichzeitiger Minimierung ihrer Fixkosten teilzuhaben. Die Full-Service-Angebote reichen vom Produktmarketing (Produktpräsentation und Werbemaßnahmen) bis hin zur kaufmännischen Abwicklung (Debitorenbuchhaltung, Forderungseinzug) und Bereitstellung logistischer Dienstleistungen (Lieferung, Versand, Retourenmanagement). 2. Zunehmender Identitätsmissbrauch im Netz verunsichert Händler wie Verbraucher. Immer aggressivere Formen des Identitätsdiebstahls und – Identitätsmissbrauchs verstärken den Wunsch der Verbraucher wie der Händler nach verlässlichen und sicheren Instrumenten und Prozeduren zur Feststellung elektronischer Identitäten im Netz. Vor allem mit der Ausbreitung von Web 2.0 und der damit verknüpften Kommunikationsformen steigt das Bedürfnis der Verbraucher nach einem wirksamen Schutz der Sicherheit und Privatheit. Hierfür bietet sich der Einsatz und Nutzung der eID-Funktion des neuen Personalausweises an. 3. Klare Rollen und Anreize entlang der gesamten Wertschöpfungskette. Ein Mehrwert im Einsatz sicherer Identitätsinstrumente wie der eID-Funktion des neuen Personalausweises kann für Kunden wie für Anbieter nur geschaffen werden, wenn sich klare Rollen und Anreize entlang der gesamten Wertschöpfungskette etablieren lassen. 103 Das EHI Retail Institute (siehe Fn. 6, ebenda) hat die 1.000 größten Online-Shops in Deutschland analysiert. Danach generieren die 10 größten Anbieter mehr als ein Viertel der Marktumsätze, die 100 größten Anbieter bereits zwei Drittel. Die Online Shops mit den Rangnummern 501 bis 1000 machen zusammen weniger Umsatz als die Nummer 1 allein. Vor allem im Hochpreissegment von Waren und Dienstleistungen und bei bestimmten Warengruppen werden jedoch nach wie traditionelle Vertriebswege wie das lokale Ladengeschäft bevorzugt (Quelle: Aktuelle Ergebnisse zum Kundenverhalten im Multikanalvertrieb. Abgerufen unter www.ecommerce-leitfaden.de am 07.06.2012) 55 Ein vollständiger E-Payment Prozess im E-Commerce bspw. umfasst wenigstens die Initiierung, die Identifikation, die Autorisierung, Clearing und Abrechnung, Bestätigung des Zahlungstransfers und die Lieferung der über das Internet gekauften Waren und Dienstleistungen. 4. Der Nutzengewinn muss für den Verbraucher offenkundig sein Bürgerinnen und Bürger werden die eID-Funktion nur freischalten lassen und im E-Commerce einsetzen, wenn sie davon einen Nutzengewinn gegenüber den bisherigen und auf absehbare Zeit weiterhin angebotenen Authentisierungs- und Zahlungsverfahren erwarten können. a) Der Nutzengewinn kann unmittelbar aus der Art der Transaktionsabwicklung resultieren und Aspekte wie Sicherheit (Schutz vor Identitätsdiebstahl und Identitätsmissbrauch), Datenschutz und Vertraulichkeit (Privatheit) sowie komfortable Benutzbarkeit betreffen. b) Es kann sich aber auch um einen von den Anbietern weitergegebenen materiellen oder immateriellen Vorteil bzw. Nutzen wie Rabatte oder Prämien handeln. c) Der Einsatz der eID-Funktion für die Abwicklung von Online-Einkäufen durch eine ausreichende Anzahl von Händlern und Online-Plattformen (EShops) akzeptiert wird. Bei allen Varianten muss der Nutzengewinn, in der Abwägung von Gewinnen und Verlusten (Preisgabe persönlicher Daten) unmittelbar und überzeugend wahrgenommen werden können und den Aufwand für die Benutzung der eIDFunktion des neuen Personalausweises (Kosten, Einrichtungs- und Nutzungsaufwand) übertreffen. Neben der Sicherheit entscheidet maßgeblich die Nutzerfreundlichkeit über die Akzeptanz eines Systems. Anwendungen müssen einfach zu handhaben und komfortabel sein, um im Markt wahrgenommen zu werden. Komplexe Systemvoraussetzungen bei Hard- und Software, umständliche Registrierungsprozesse oder auch stark gewöhnungsbedürftige Anwendungen, die nicht kompatibel mit den bisherigen Erfahrungen und Bedürfnissen sind, laufen der Akzeptanz entgegen. Hinzu kommt, so lange jedoch wichtige Anbieter den zweifellos stärkeren elektronischen Identitätsnachweis mit dem neuen Personalausweis nicht oder kaum unterstützen, entsteht bei den möglichen Nutzern eine insgesamt widersprüchliche Wahrnehmung hinsichtlich des tatsächlichen Nutzens oder auch nur Sicherheitsgewinns. 104 Bereits umgesetzte oder geplante Anwendungen stellen vor allem auf den Identitätsnachweis (Authentisierungsfunktion oder Altersverifikation) ab, ohne diese jedoch mit – aus Sicht der Kunden wie auch der Diensteanbieter – erheblichen und komfor- 104 56 Die besondere Sicherheit des Online-Banking mit dem mobilen TAN-Verfahren (mTAN) bspw. beruht nicht (oder zumindest nicht ausschließlich) auf der Authentisierung beim Log-in, sondern auf der Authentisierung der einzelnen Handlung über einen getrennten Kommunikationskanal. tablen Transaktionen (bspw. Bezahlfunktionen bei Online-Einkäufen) über das Internet zu verknüpfen.105 5. Zuverlässige Authentifizierung verringert die Betrugschancen Ein aus Sicht des Diensteanbieters gewichtiges Argument für die Inanspruchnahme der eID-Funktion dürfte die Tatsache sein, dass die im Anschluss an die Chip Authentication und mit Einwilligung des Ausweisinhabers ausgelesenen Daten korrekt und zutreffend auf einem verlässlichen hoheitlichen Dokument gründen, die Angaben durch Besitz und Wissen geschützt und somit weder unbeabsichtigte noch beabsichtigte Falschangaben (bspw. „Scherzbestellungen“) und in der Folge davon Zahlungsausfälle zu befürchten sind. Die aktuelle Praxis im Online-Geschäft vermittelt jedoch den Eindruck, dass es den ECommerce-Anbietern vornehmlich um valide Kreditkarteninformationen geht, denn um eine sichere Authentifizierung des Kreditkartenbesitzers. Das Risiko des Kreditkartenbetrugs wird damit asymmetrisch dem Kunden bzw. dem Kreditinstitut überbürdet. Die Nutzung der eID-Funktion des neuen Personalausweises bietet aus dieser Perspektive im E-Commerce kaum zusätzliche wirtschaftliche Anreize. Davon auszunehmen, und damit mögliche Ansprechpartner, sind zweifellos spezialisierte Dienstanbieter im Netz, wie bspw. Reiseveranstalter oder Autovermietungen, die per se ein ausdrückliches Geschäftsinteresse an einer zuverlässigen Authentifikation und ggf. auch Altersverifikation ihrer Kunden haben. E-Commerce-Anbieter werden aber die eID-Funktion ergänzend zu den bisherigen Authentisierungsverfahren nur einsetzen, wenn a) sie ihnen einen zusätzlichen wirtschaftlichen Nutzen ermöglicht, b) der Aufwand für die Nutzung (Einrichtung, Betrieb) in einem angemessenen Verhältnis zu dem erwarteten Nutzen steht, c) sie erwarten können, dass ein hinreichend großer Anteil ihrer Kunden über eine eID-Funktion verfügt und zudem bereit ist, diese auch für Online-Einkäufe einzusetzen und d) die am Forderungseinzug beteiligten Finanzinstitute willens sind, die Rechtswirksamkeit der mit Hilfe der eID-Funktion zustande gekommenen Rechtsgeschäfte anzuerkennen. Ausgehend vom zivilrechtlichen Begriff der Einwilligung ist ein Diensteanbieter im rechtsgeschäftlichen Kontakt über das Internet verpflichtet, darauf hin zu wirken, dass der einwilligende Nutzer über den erforderlichen Erklärungswillen (subjektiver Tatbestand) verfügt und seine Erklärung auch deutlich als Einwilligung zu erkennen ist (objektiver Tatbestand). Sowohl dem subjektiven wie auch dem objektiven Tatbestand wird die Nutzung der eID-Funktion des Personalausweises in hohem Maße dadurch gerecht, dass die Einwilligung an Besitz (Personalausweis) und Wissen (PIN) geknüpft ist. Ein nachhaltiger und dauerhafter Stimulus – sowohl aus Sicht der Nutzer wie auch der Diensteanbieter – für eine breitere Nutzung der eID-Funktion im E-Commerce aber ist 105 Dies wird natürlich durch den Umstand beschwert, dass die eID-Funktion des neuen Personalausweises per se nicht für die Autorisierung von Handlungen, sondern lediglich für einen elektronischen Identitätsnachweis ausgelegt ist. 57 nur möglich, wenn es gelingt, den elektronischen Identitätsnachweis vermittels des neuen Personalausweises auf komfortable und verständliche Weise mit einer Autorisierung (Einwilligung) in rechtsgeschäftliche Handlungen (d. h. rechtsgeschäftliche Transaktionen, wie eben Online-Bezahlfunktionen) zuverlässig zu verknüpfen, die zudem kompatibel mit bisherigen Erfahrungen und Bedürfnissen ist. Dies gilt insbesondere angesichts der nicht zuletzt im Lebenszyklus des Personalausweises begründeten Annahme, dass eine mögliche Einbindung der eID-Funktion in E-CommercePlattformen mittelfristig zweifellos lediglich als Option (Alternative) zu bereits etablierten Authentisierungs- und Autorisierungsmechanismen vorstellbar ist. 6. Sicherheits- und Vertrauensgewinn für E-Shop-Betreiber Für E-Shop-Betreiber erwächst der aus dem Einsatz der eID-Funktion erkennbare Nutzen vor allem aus dem möglichen Vertrauens- und Sicherheitsgewinn für Verbraucher und Händler und den daraus entstehenden Möglichkeiten für die Verbesserung und Expansion der Kundenbindung auf Verbraucher- wie auf Händlerseite. Sie werden jedoch die eID-Funktion nur unterstützen, wenn e) eine aus betriebswirtschaftlicher Perspektive ausreichende Anzahl von Verbrauchern bereit ist, die eID-Funktion für die Abwicklung von Online-Einkäufen einzusetzen, f) sowohl Händler wie auch die beteiligten Finanzinstitute den Einsatz und die Nutzung der eID-Funktion für die rechtswirksame Abwicklung von Online-Geschäften zu akzeptieren, g) die für den Einsatz und die Nutzung der eID-Funktion erforderliche Infrastruktur und deren Betrieb sich komfortabel und kostengünstig in die vorhandene IT-Umgebung integrieren lässt. 7. Nutzenzuwachs für Finanzdienstleister durch Nichtabstreitbarkeit Für Finanzdienstleister (Banken, Kreditinstitute, Kreditkartenakzeptanzunternehmen) erwächst ein erkennbarer Anreiz für den Einsatzes der eIDFunktion in rechtswirksamen Online-Geschäften vornehmlich aus der mit der an Besitz und Wissen geknüpften Nichtabstreitbarkeit der Zahlungsforderungen. Damit verringert sich auch für Finanzdienstleister das Risiko für durch Betrug (Debit- oder Kreditkartenmissbrauch) auf Seiten der Händler entstandene wirtschaftliche Schäden einstehen zu müssen.106 Aber auch sie werden die Nutzung der eID-Funktion wohl nur unterstützen, wenn: a) eine wirtschaftlich relevante Anzahl von Verbrauchern wie Händlern den Einsatz der eID-Funktion für Online-Geschäfte akzeptieren, b) der Nutzen aus dem Einsatz der eID-Funktion (bspw. der Sicherheitsgewinn) den Aufwand für die Integration der eID-Funktion in vorhandene Abläufe und IT-Infrastrukturen übersteigt. 106 58 Siehe dazu auch Fn. 32. 8. Nutzenanreiz für Logistikdienstleister durch Reduktion von Falschlieferungen und Abnahmeverpflichtung Für Logistik-Dienstleister entsteht ein erkennbarer Nutzen aus der Nichtabstreitbarkeit des Online-Rechtsgeschäfts und der darauf - die unbeschädigte Zustellung vorausgesetzt - gründenden Abnahmeverpflichtung durch den Kunden sowie der Zuverlässigkeit der Kundendaten. Das dürfte die Kosten durch Falschlieferungen oder Retouren mindern. Ob der Einsatz der eID-Funktion als Bestätigung für eine korrekte Lieferung akzeptabel ist, lässt sich derzeit empirisch nicht belegen. Zumal für diesen Fall die Zulieferer zusätzlich mit den erforderlichen Lesegeräten ausgestattet werden müssten und eine Zustellung über einen abnahmebereiten Nachbarn möglicherweise entfällt und damit wieder zusätzliche Kosten für wiederholte Anlieferungen entstehen könnten. 9. eID-Infrastrukturen an korporative Dritte (eID-Dienstleister) auslagern. Aus der Perspektive der E-Shop Betreiber sowie mittelständischer ECommerce-Anbieter lassen sich die Hemmnisse für die Nutzung des elektronischen Identitätsnachweises fraglos dadurch verringern, dass die Anbieter die hierfür erforderliche prozessuale und technische eID-Infrastruktur nicht selbst handhaben müssen, sondern diese an einen beauftragten, korporativen Dritten („eID-Dienstleister“) auslagern können. Auf diese Weise bräuchten sie lediglich die vermittels einer durch den „eID-Dienstleister“ ausgeführten elektronischen Identitätsabfrage nachgewiesene Korrektheit der Angaben eines Kunden und den auf Besitz und Wissen gründenden Erklärungswillen in ihr E-Commerce- resp. Full-Service-Angebot sowie die dahinter liegenden und bereits bestehenden ERP- und CRM-Systeme einzubinden. 10. Der erfahrbare Nutzen ist unterschiedlich verteilt Die Verteilung von Nutzen und Aufwand zwischen den an der Wertschöpfungskette im E-Commerce Beteiligten ist komplexer als zumeist dargestellt wird und variiert in den unterschiedlichen Handelsformen und Waren- bzw. Dienstleistungsbereichen. Sie muss daher für unterschiedliche Konstellationen (Szenarien) in Form einer mehrseitigen Nutzen-Aufwands-Analyse und unter Einbeziehung sämtlicher an der Wertschöpfkette für die unterschiedlichen Szenarien Beteiligten ermittelt werden. 11. Sichere Altersverifikation Die eID-Funktion auf dem neuen Personalausweis erlaubt eine sichere pseudonyme Altersverifikation. Dank der selektiven Freigabe einzelner Datenfelder in Verbindung mit entsprechenden Berechtigungszertifikaten (nur Alter, kein Name) und der Möglichkeit boolscher Abfragen (hier: nicht Geburtsdatum, sondern Bestätigung „älter als 18 Jahre“) kann ein Anbieter altersbeschränkter Dienstleistungen ( jugendgefährdende Inhalte, Glücksspiele) den strengen gesetzlichen Anforderungen nachkommen ohne von dem Kunden mehr personenbezogene Daten zu verlangen als für die Erbringung der Dienstleistung erforderlich ist. Dieses Verfahren ist für den Anbieter mit deutlich ge- 59 ringeren Kosten verbunden als das Postident-Verfahren oder hardwarebezogene Maßnahmen gegen die Weitergabe von Zugangsberechtigungen. Zudem ist es auch bei einer spontanen Nutzung ohne Einbuße an Sicherheit einsetzbar. 12. Komfort mit Mobile Commerce Die zunehmende Leistungsfähigkeit mobiler Endgeräte wird die Entwicklung und den Ausbau des mobilen E-Commerce-Bereichs weiter befeuern. Vor dem Hintergrund, dass der elektronische Identitätsnachweis kontaktlos - mittels so genannter Near Field Communication - über entsprechend ausgestattete (Terminal-) Endgeräte (wie Handy, Smartphone oder Tablet PC) möglich ist, liegt die Vermutung nahe, dass die Akzeptanz für die Nutzung der eIDFunktion durch die Verbraucher - zumindest aus der Perspektive einer deutlich verbesserten Benutzerfreundlichkeit (usability) - gesteigert werden kann, wenn für die so genannte Terminal Authentication künftig auch Handy, Smartphone oder auch in Kombination mit Tablet-PC’s eingesetzt werden können. 60 6. Explorative Umfrage Der neue Personalausweis eröffnet mit dem elektronischen Identitätsnachweis (eIDFunktion) für Kunden und Dienstleister die Möglichkeit, sich im Internet, an Terminals und SB-Automaten sicher und zuverlässig gegenseitig auszuweisen. Bereits über 5 Millionen Besitzer des neuen Ausweises haben die eID-Funktion aktiviert und vermögen sie jedoch aufgrund fehlender Alltagsanwendungen nur selten einzusetzen. Anbieter kommerzieller Internetdienste andererseits kennen häufig genug die Vorteile der eID-Funktion nicht oder scheuen den Aufwand für die Integration in ihre elektronischen Dienstleistungen. In Abstimmung mit dem Bundesministerium des Innern haben CSC und das Institut für Informationsmanagement Bremen im August 2012 eine explorative OnlineUmfrage bei IT-Dienstleistern, Schlüsselanwendern und Verbänden, Unternehmensgruppen und mittelständischen Unternehmen durchgeführt. Ziel der Umfrage war, die in Abschnitt 5 dieses Dokuments formulierten Thesen an den Erwartungen und Bedürfnissen für eine Nutzung der eID-Funktion des neuen Personalausweises zu spiegeln sowie Hinweise zu erhalten, wie die Zielgruppe für die Etablierung einer eID Infrastruktur im E-Commerce auf Basis des neuen Personalausweises zu gewinnen wäre.107 Von den mehr als 100 via E-Mail angeschriebenen Kontakten von Industrie- und Handelskammern, IT-Dienstleistern und Produktenwicklern, Unternehmen und Verbänden des Online-Handels und Finanzdienstleistern, haben sich 54 an der Umfrage beteiligt. Die Antworten bestätigen weitgehend die in Abschnitt 5 formulierten Thesen. These 1: der Konzentrationsprozess im E-Commerce setzt sich fort Mehr als zwei Drittel der Teilnehmer an der Befragung sind der Überzeugung, dass sich der zu beobachtende Konzentrationsprozess im Online-Handel fortsetzen wird. 4% 0% 26% Ja Vielleicht 70% Nein Weiß nicht Abbildung 20: Sind Sie der Auffassung, dass sich der zu beobachtende Konzentrationsprozess im Online-Handel fortsetzen wird? 107 Der für die Online-Umfrage zugrunde gelegte Fragebogen ist diesem Dokument als Anhang A beigefügt. 61 These 2: zunehmender Identitätsmissbrauch im Netz verunsichert Händler wie Verbraucher Die Ergebnisse der Umfrage bestätigen, dass Identitätsdiebstahl und Identitätsmissbrauch im Internet den Wunsch der Verbraucher wie der Händler nach verlässlichen und sicheren Instrumenten und Prozeduren zur zuverlässigen Feststellung elektronischer Identitäten im Netz verstärken. Neben dem Datenschutz und der Datensicherheit wird vertrauenswürdigen elektronischen Identitäten im E-Commerce daher eine besondere Bedeutung zugerechnet. Das unterstreicht die Relevanz des Themas und des Engagements des BMI. Das wird nicht zuletzt auch aus den Antworten auf die Frage „Wie wichtig ist E-Commerce Anbietern die zuverlässige Authentisierung ihrer Kunden?“ deutlich, bei der 50% sie zumindest für wichtig und 35% sogar für sehr wichtig halten. In die gleiche Richtung weist, dass 50% der Umfrageteilnehmer die bestehenden Sicherheitsmechanismen für die Registrierung/Anmeldung von Kunden auf E-Commerce-Plattformen für nicht ausreichend halten. Zudem halten 67% Datenschutz und 56% die Datensicherheit auch für ein gewichtiges Verkaufsargument (security sells). Datenschutz 67% Datensicherheit 56% Social Media 37% Datenbasierte Kundenansprache 41% Erhebung, Verknüpfung und Auswertung von Kundendaten (Data Mining) 52% Datenzuverlässigkeit und Datenqualität 69% Vertrauenswürdige elektronische Identitäten 69% Cloud Computing 22% Abbildung 21: Welchem der folgenden Themen messen Sie bei der künftigen Entwicklung des ECommerce besondere Bedeutung bei? (Mehrfachnennungen möglich) Darüber hinaus ist, wie aus Abbildung 21 ersichtlich, für die Teilnehmer auch die Qualität von Identitätsdaten wichtig. These 3: klare Rollen und Anreize entlang der gesamten Wertschöpfungskette Fast 70% der Umfrageteilnehmer können sich vorstellen, dass es für Kunden ein Anreiz wäre die eID-Funktion für eine zuverlässige Authentifizierung und Autorisierung von Transaktionen im Internet zu nutzen, wenn der Anbieter im Gegenzug dafür den Kunden Sonderkonditionen einräumen würde (wie bspw. Rabatte oder günstigere Lieferkonditionen). 62 4% 4% Ja 26% Vielleicht 66% Nein Weiß nicht Abbildung 22: Können Sie sich vorstellen, dass es für Kunden ein Anreiz wäre die eID-Funktion für eine zuverlässige Authentifizierung und Autorisierung von Transkationen im Internet zu nutzen, wenn der Anbieter dafür den Kunden Sonderkonditionen einzuräumen würde (wie bspw. Rabatte oder günstige Lieferkonditionen)? Ob andererseits die Händler bereit wären, beim Einsatz der eID-Funktion den Kunden Sonderkonditionen einzuräumen, ist sich die Mehrheit nicht sicher. Unter welchen Umständen man sich die Nutzung der eID-Funktion durch ECommerce-Plattformen vorstellen könnte, sind wie zu erwarten, der darstellbare betriebswirtschaftliche Nutzen sowie gesetzliche Regelungen die Favoriten. Immerhin glauben aber auch 66% der Umfrageteilnehmer, dass der Wunsch der Kunden, die eID-Funktion zu nutzen, die Händler ebenfalls dazu bewegen könnte, den Einsatz und die Nutzung der eID-Funktion zu erwägen. Wenn dies von den Kunden gewünscht wird 66% Wenn dies von den Kreditinstituten/Banken unterstützt wird 50% Wenn dies von Zahlungsdienstleistern (Payment Service Providern wie bspw. PayPal) unterstützt wird 61% Wenn es dafür gesetzlich Vorschriften gibt (wie die Altersverifikation) 70% Wenn der Einsatz zu einem darstellbaren betriebswirtschaftlichen Nutzen führt 80% Gar nicht 0% Weiß nicht 0% Abbildung 23: Unter welchen Umständen können Sie sich eine Nutzung der eID-Funktion durch ECommerce-Plattformen vorstellen? (Mehrfachnennungen möglich) These 4: der Nutzengewinn muss für den Verbraucher offensichtlich sein Der Nutzengewinn, so die Überzeugung der Autoren dieser Expertise, muss in der Abwägung von Gewinnen und Verlusten (Preisgabe persönlicher Daten) durch den 63 Verbraucher unmittelbar und überzeugend wahrgenommen werden können und den Aufwand für die Benutzung der eID-Funktion des neuen Personalausweises (Kosten, Einrichtungs- und Nutzungsaufwand) übertreffen. Hinsichtlich der Frage, ob die zuverlässige Authentifizierung mittels der eID-Funktion zur Unterstützung von Bezahlfunktionen genutzt werden könnte, sieht dies die überwiegende Mehrheit der Umfrageteilnehmer vornehmlich bei den Zahlungsarten, Zahlung auf Rechnung sowie Finanz- und Ratenkauf. Dieses Ergebnis ist insofern interessant, als Zahlung auf Rechnung nach wie vor zu den beliebtesten Zahlungsarten in Deutschland zählt. Kauf auf Rechnung 74% Finanz- und Ratenkauf 72% Aktuelles elektronisches Lastschriftverfahren 56% Künftige SEPA-Lastschrift (eID soll Unterschrift für das Mandat ersetzen) Mobiles Bezahlen mit Handy oder Smartphone (ohne Kleinbeträge) Zusätzliche Absicherung von Kartenzahlungen (Debitoren und Kreditkarten) Andere Online-Bezahlverfahren (ClickandBuy, Paypal, Giropay usw.) Überweisung per Online-Banking (eID und Sessioncode ersetzen TAN) Weiß nicht 61% 39% 41% 54% 50% 2% Abbildung 24: Können Sie sich vorstellen, dass die zuverlässige Authentifizierung mittels der eIDFunktion zur Unterstützung von Bezahlfunktionen genutzt werden kann? Bspw. für (Mehrfachnennungen möglich): Neben möglichen Anreizen durch Online-Händler beim Einsatz der eID-Funktion halten mehr als zwei Drittel auch die Unterstützung durch Zahlungs- und Finanzdienstleister sowie einen für den Verbraucher erkenn- und nachvollziehbaren Sicherheitsgewinn für wichtig. So kann sich eine deutliche Mehrheit der Umfrageteilnehmer die Nutzung der eID-Funktion des neuen Personalausweises künftig auch für die Erteilung eines SEPA-Lastschriftmandats über das Internet vorstellen. Nicht minder bedeutsam ist für die Umfrageteilnehmer aber auch die kostengünstige Anschaffung der für die Nutzung der eID-Funktion erforderlichen Hard- und Software durch den Verbraucher sowie deren einfache Inbetriebnahme (Installation) und vor allem benutzerfreundliche Handhabung. Dies unterstreicht die Feststellung in These 4, dass komplexe Systemvoraussetzungen bei Hard- und Software, umständliche Registrierungsprozesse oder auch stark gewöhnungsbedürftige Anwendungen, die nicht kompatibel mit den bisherigen Erfahrungen und Bedürfnissen der Verbraucher sind, für die Akzeptanz und die Bereitschaft diese auch zu nutzen, kontraproduktiv sind. 64 Die Unterstützung der Funktion durch Online-Anbieter 65% Die Unterstützung der Funktion durch Zahlungs- und Finanzdienstleister 63% Zusätzliche Anreize beim Einsatz der Funktion durch Online Händler 57% Einfache und benutzerfreundliche Handhabung 76% Kostengünstige Anschaffung der für die Nutzung notwendigen Hard- und Software (bspw. die Anschaffung von Lesegeräten) 70% Einfache Einrichtung (Installation) und Inbetriebnahme 63% Ein erkennbarer und nachvollziehbarer Sicherheitsgewinn Weiß nicht 70% 0% Abbildung 25: Was würde Ihrer Meinung nach die Nutzung der eID-Funktion des neuen Personalausweises durch die Internetkunden positiv beeinflussen (Mehrfachnennungen möglich) These 5: zuverlässige Authentifizierung verringert die Betrugschancen Mehr als drei Viertel der Umfrageteilnehmer glauben, dass die Nutzung der eIDFunktion des neuen Personalausweises für die Verbraucher wie für die OnlineHändler einen Sicherheits- und Vertrauensgewinn zur Folge haben könnte. Fast die gleiche Anzahl ist darüber hinaus überzeugt, dass die Nutzung der eID-Funktion für die Verbraucher die Gefahr Opfer von Identitätsdiebstahl, Identitätsmissbrauch, von Spoofing- und Phishing-Attacken zu werden, verringern könnte. Immerhin 50% sehen in der Nutzung der eID-Funktion für Internet-Dienstleister auch einen verbesserten Schutz vor Internetkriminalität und können sich zudem vorstellen, dass der Einsatz und die Nutzung der eID-Funktion im Online-Handel für Logistikdienstleister das Risiko von Falschlieferungen oder Verweigerung der Annahme vermindern könnte. 2% 9% Ja 20% Vielleicht 69% Nein Weiß nicht Abbildung 26: Glauben Sie, dass die Nutzung der eID-Funktion des neuen Personalausweises für die Kunden die Gefahr Opfer von Identitätsdiebstahl, Identitätsmissbrauch, von Spoofing- und Phishing-Attacken zu werden, verringern könnte? 65 These 6: Sicherheits- und Vertrauensgewinn für E-Shop Betreiber Für E-Shop-Betreiber, so die These, erwächst der aus dem Einsatz der eID-Funktion erkennbare Nutzen vor allem aus dem möglichen Vertrauens- und Sicherheitsgewinn für Verbraucher und Händler und den daraus entstehenden Möglichkeiten für die Verbesserung und Expansion der Kundenbindung auf Verbraucher- wie auf Händlerseite. Erhöhung der Zuverlässigkeit der Kundenangaben 85% Erhöhung der Datenqualität 67% Verringerung von Zahlungsausfällen durch Nichtabstreitbarkeit der Online-Transaktionen 56% Verringerung von Retouren durch zuverlässige Adressangaben 63% Verringerung des Geschäftsrisikos durch zuverlässige Altersverifikation 71% Keiner 0% Weiß nicht 0% Abbildung 27: Welcher betriebswirtschaftliche Nutzen ist aus Ihrer Sicht für E-Commerce-Unternehmen für den Einsatz und die Nutzung der eID-Funktion des neuen Personalausweises im Online-Geschäft darstellbar und ggf. ein möglicher Anreiz? (Mehrfachnennungen möglich) Für die überwiegende Mehrheit der Umfrageteilnehmer entsteht der Vertrauens- und Sicherheitsgewinn vor allem aus Erhöhung der Qualität und Zuverlässigkeit der Kundendaten, namentlich bei der für bestimmte Geschäftsvorfälle (wie bspw. OnlineWetten) erforderlichen Altersverifikation. Mit dem beim Einsatz der eID-Funktion anzunehmenden konkludenten Verhalten im Geschäftsverkehr über das Internet, verringert sich zudem aus Sicht der Umfrageteilnehmer das Risiko von Zahlungsausfällen aufgrund der damit begründeten Nichtabstreitbarkeit der Online-Transaktion sowie die Anzahl unerwünschter Retouren durch ungenaue oder auch bewusst falsch angegebene Zustellinformationen. Hiermit scheint auch ein tatsächlicher betriebswirtschaftlicher Nutzen in der Wertschöpfungskette von Online-Transaktionen darstellbar. Zugleich bestätigen die Antworten aber auch, dass Online-Händler die Nutzung der eID-Funktion vornehmlich dann unterstützen werden, wenn eine einfache Integration in bestehende Prozesse und IT-Infrastrukturen möglich ist. 66 Einfache Integration in bestehende Prozesse 81% Einfache und kostengünstige Integration in bestehende IT-Infrastrukturen 89% Einfachere Prozesse für die Beantragung und Erneuerung von Berechtigungszertifikaten 54% Kostensenkung der Berechtigungszertifikate 52% Einfachere Handhabung für die Kunden Weiß nicht 80% 0% Abbildung 28: Welche der nachfolgend genannten Faktoren würde die Akzeptanz für die Nutzung der eID-Funktion bei E-Commerce-Anbieter und der Zahlungsdienstleister erhöhen? (Mehrfachnennung möglich) Das gilt selbstverständlich auch für Finanzdienstleister, wie in These 7 ausgeführt. These 7: Nutzenzuwachs für Finanzdienstleister durch Nicht-Abstreitbarkeit Wie aus Abbildung 27 ebenfalls ersichtlich sehen zumindest mehr als die Hälfte der Umfrageteilnehmer aus der mit dem Einsatz der eID-Funktion an Besitz und Wissen geknüpften Nichtabstreitbarkeit von Online-Transaktionen eine mögliche Verringerung von Zahlungsausfällen. Damit verringert sich selbstverständlich auch für Finanzdienstleister das Risiko für durch Betrug (Debit- oder Kreditkartenmissbrauch) auf Seiten der Händler entstandene wirtschaftliche Schäden einstehen zu müssen. These 8: Nutzenanreiz für Logistikdienstleister durch Reduktion von Falschlieferungen und Abnahmeverpflichtung Die aus der mit dem Einsatz der eID-Funktion an Besitz und Wissen geknüpften Nichtabstreitbarkeit von Online-Transaktionen erweist sich natürlich auch für LogistikDienstleister von Vorteil. Fast zwei Drittel der Umfrageteilnehmer glauben zudem, dass der Einsatz der eID-Funktion die Anzahl unnötiger Retouren aufgrund der erhöhten Zuverlässigkeit der Adressangeben deutlich verringern dürfte (siehe dazu Abbildung 27). These 9: eID-Infrastrukturen an korporative Dritte (eID-Dienstleister) auslagern. Mehr als die Hälfte der Umfrageteilnehmer sind überzeugt, dass sich die Hemmnisse für die Nutzung des elektronischen Identitätsnachweises mit dem neuen Personalausweises dadurch verringern lassen, wenn die Anbieter die hierfür erforderliche 67 prozessuale und technische eID-Infrastruktur nicht selbst handhaben müssen, sondern diese an einen beauftragten, korporativen Dritten („eID-Dienstleister“) auslagern können. 4% 9% 50% 37% Ja Vielleicht Nein Weiß nicht Abbildung 29: Würde es die Akzeptanz der E-Commerce-Anbieter für die Nutzung der eIDFunktion erhöhen, wenn diese die hierfür erforderliche eID-Infrastruktur (Berechtigungszertifikate, eID-Service, Anwendungsintegration) nicht selbst handhaben müssten, sondern diese an einen beauftragten Dritten (einen eID-Dienstleister) auslagern könnten. These 10: Der erfahrbare Nutzen ist unterschiedlich verteilt Dass die Verteilung von Nutzen und Aufwand zwischen den an der Wertschöpfungskette im E-Commerce Beteiligten komplexer ist als zumeist dargestellt, und daher für unterschiedliche Konstellationen (Szenarien) in Form einer mehrseitigen NutzenAufwands-Analyse und unter Einbeziehung sämtlicher an der Wertschöpfkette für die unterschiedlichen Szenarien Beteiligten ermittelt werden muss, macht die Antwort auf die Frage deutlich, welche der Prozessbeteiligten die Rolle eines eID-Dienstleisters übernehmen sollte. Hier sind sich die Umfrageteilnehmer wie aus der folgenden Abbildung ersichtlich nicht sicher. 68 E-Commerce Plattformbetreiber 46% Payment Service Provider und Banken / Kreditinstitute ERP- und CRM-Systemanbieter 44% 4% IT-Service-/ IT-Netz-Anbieter 35% Trustcenter als eID-Spezialisten 56% Andere nicht genannte Weiß nicht 15% 9% Abbildung 30: Welche der genannten oder möglichen Prozessbeteiligten sollten aus Ihrer Sicht die Funktion des „eID-Dienstleisters“ für mittelständische Unternehmen übernehmen? (Mehrfachnennung möglich) These 11: Sichere Altersverifikation Fast alle der Umfrageteilnehmer sind sich sicher, dass die Nutzung der eID-Funktion vor allem bei der zuverlässigen Altersverifikation einen Nutzengewinn im OnlineHandel ermöglicht. Registrierung eines Kundenkontos 85% Bestellannahme und Auslieferung/ Download 46% Altersverifikation (Geschäftsfähigkeit oder altersbeschränkte Waren und Dienste) 94% Kundendienst (Rücksendung, Reklamation, Rückfragen,…) 27% als virtuelle Rabattkarte 23% zum Bezahlen Weiß nicht 54% 2% Abbildung 31: Für welche Szenarien können Sie sich den Einsatz und die Nutzung der eIDFunktion im Online-Handel gut vorstellen? (Mehrfachnennungen möglich) 69 These 12: Komfort mit Mobile Commerce Die überwiegende Mehrheit der Umfrageteilnehmer ist sich sicher, dass die Möglichkeit die eID-Funktion mit mobilen Endgeräten nutzen zu können, die Akzeptanz deutlich erhöhen würde. 0% 6% 26% Ja Vielleicht 68% Nein Weiß nicht Abbildung 32: Würde eine mobile Nutzungsmöglichkeit der eID-Funktion im Zusammenwirken mit dem Handy, Smartphone oder Tablet-PC (mit eingebautem Lesegerät und vorkonfiguriertem eID-Client) Ihrer Meinung nach die Akzeptanz der Internetnutzer für den Einsatz der eIDFunktion erhöhen? Fazit: Insgesamt lassen die Umfrageergebnisse den Schluss zu, dass der Einsatz und die Nutzung der eID-Funktion des neuen Personalausweises aus der Sicht der Umfrageteilnehmern in der Tat geeignet wäre, die Sicherheit im E-Commerce sowohl für die Händler als auch für die Verbraucher zu erhöhen. Die Einsatzmöglichkeiten werden dabei vor allem bei der Eröffnung eines Kundenkontos auf E-Commerce- oder Finanzdienstleistungsplattformen im Internet sowie der Verifikation von Altersangaben zur Überprüfung der Geschäftsfähigkeit beim Bezug altersbeschränkter Waren oder Dienstleistungen gesehen. Die überwiegende Mehrheit der Umfrageteilnehmer erwartet, dass die für den Einsatz und die Nutzung der eID-Funktion erforderlichen IT-Infrastrukturen an (korporative) Dritte ausgelagert und auf einfache Weise in bestehende Prozesse und ITInfrastrukturen eingebettet werden können. Ebenso hält eine deutliche Mehrheit der Umfrageteilnehmer den möglichen Einsatz der eID-Funktion auf mobilen Endgeräten für die Akzeptanz der Verbraucher für unabdingbar. 70 7. Schlussfolgerungen Die Adoption neuer Technologien und Innovationen wird, wenn auch nicht losgelöst, so doch zu einem weit geringeren Anteil als häufig angenommen durch ihre objektiven Eigenschaften bestimmt. Nach Rogers (2003) ist eine Innovation „an idea, practice or object perceived as an individual or other unit of adoption.“108 Entscheidend für Adoption von Innovationen ist demzufolge vor allem die subjektive Wahrnehmung der Innovation und ihrer Begründung durch potentielle Nachfrager.109 Massenmedien vermögen zwar den Bekanntheitsgrad von Innovationen zu erhöhen, soziale Beziehungen und Erfahrungen sind jedoch weitaus bestimmender, wenn es darum geht, Einstellungen gegenüber einer Innovation zu formen oder zu verändern und somit die Adoptionsentscheidungen anderer Personen zu beeinflussen. Die eID-Funktion des neuen Personalausweises gehört für den Verbraucher wie für den Händler zu den genannten Systemgütern. Sie besitzen für die Konsumenten nur einen derivativen Nutzen, der erst entsteht, wenn zumindest ein anderer Marktteilnehmer das Produkt auch benutzt. Mit anderen Worten, diese Güter sind, wenn keine anderen Marktteilnehmer existieren, die das gleiche Gut benutzen, für den Besitzer vollkommen nutzlos, wie bspw. das Telefon. Dies wird von den Umfrageergebnissen zur Nutzung der eID-Funktion ausdrücklich und nachvollziehbar bestätigt. Im E-Commerce kommt der Nutzung der eID-Funktion vor allem die Rolle einer präventiven Innovation zu. Sie erhöht die Sicherheit der Transaktion über das Internet, indem sie die Authentizität der Transaktionsteilnehmer wie auch der Transaktion selbst stärkt, auf Seiten der Händler bspw. durch die Erfassung fälschungssicherer und fehlerfreier Kundendaten (siehe dazu auch Abbildung 27). Dies wird aber nur dann als relativer Vorteil wahrgenommen, wenn sich die Anwender und Konsumenten elektronischer Identitäten über die Risiken eines Identitätsdiebstahls oder Identitätsmissbrauchs bewusst und nicht bereit sind, diese hinzunehmen. Der mit dem Einsatz der eID-Funktion in Aussicht gestellte Sicherheitsgewinn durch die Bereitstellung zuverlässiger und geschützter elektronischen Identitäten kann folglich nur eingelöst werden, wenn sie von den Transaktionspartnern für die Transaktion als Ganzes oder zumindest wesentlichen Teilen davon akzeptiert werden. Damit unterliegt der relative Vorteil sicherer elektronischer Identitäten auf Basis der eID-Funktion so genannten indirekten Netzeffekten.110 Indirekte Netzeffekte liegen vor, wenn der Nutzen und die Verbreitung einer Innovation durch die Verfügbarkeit und Verbreitung komplementärer Netzeffektgüter (Produkte und Leistungen) erhöht wird, d. h. Leistungen und Produkte zur Verfügung stehen, die eine neue Innovation schon unterstützen bzw. eine Unterstützung erwarten lassen, also bspw. eine Vielfalt von Softwareanwendungen für die Nutzung sicherer elektronischer Identitäten über die gesamte Wertschöpfungsbreite und –tiefe von E-Commerce (siehe dazu 108 109 110 Rogers, E. M. : Diffusion of Innovations, Free Press New York 2003, p. 12 Vgl hierzu auch: Roßnagel, H.: Mobile qualifizierte elektronische Signaturen, Gabler Verl. Wiesbaden 2009, S. 22 ff. Vgl. Katz, M. L., Shapiro, C.: Network Externalities. Competition and Compatibility, in: The American Economic Review 3(1985), p. 424-440 71 auch Abbildung 25). Ohne eine breite Allianz der Stakeholder im Kontext von ECommerce ist deshalb ein nachhaltiger Erfolg im Einsatz und der Nutzung der eIDFunktion kaum zu erwarten. Das gilt insbesondere auch für den Einsatz der eIDFunktion zur fälschungssicheren Unterstützung von Bezahlaktionen (bspw. die Nutzung des neuen Personalausweises als „virtuelle Kundenkarte“ in Verbindung mit einem Lastschriftverfahren) oder der fälschungssicheren Zahlungsabwicklung (bspw. der Lieferung auf Rechnung). E-Government alleine jedenfalls ist kein ausreichender Treiber für den Einsatz der eID-Funktion. Gleichwohl, ohne anspruchsvolle EGovernment Anwendungen, die die eID-Funktion nutzen, ist eine überzeugende Nachfrage nicht gegeben. Die Ergebnisse der Online-Umfrage legen den Schluss nahe, dass es für die Nutzung der eID-Funktion im E-Commerce keineswegs zwingend erforderlich ist, dass die Nutzer (Besitzer wie Konsumenten) die Funktionsweise der eID-Funktion und der hierfür erforderlichen Prozesse und eID-Infrastrukturen verstehen (siehe dazu auch Abbildung 28 und Abbildung 29). Auch Geldautomaten werden von den Bürgern genutzt, obwohl ihnen die damit einhergehenden Prozesse und Sicherheitsmaßnahmen in der Regel nicht bekannt sind. Im Unterschied zur eID-Funktion ist der relative Vorteil (hier der Komfort) für die Nutzer von Bankautomaten allerdings offensichtlich und an keine weiteren Voraussetzungen geknüpft als den Besitz einer Bankkarte und die Kenntnis und den Schutz des persönlichen Zugangsschlüssels (PIN). Im Falle der eID-Funktion und ihrer Nutzung im Online-Handel ist der Verbraucher dagegen bislang nicht nur mit der Beschaffung und Installation notwendiger Hard- und Software konfrontiert, sondern zudem gem. § 27 Abs. 3 PAuswG mit der Anforderung beschwert, durch technische und organisatorische Maßnahmen zu gewährleisten, dass der elektronische Identitätsnachweis nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Eine erste Betrachtung der Kosten-/Nutzenverteilung beim Einsatz der eID-Funktion hinterlässt unter diesen Umständen daher häufig den Eindruck, dass der Nutzen vor allem den Konsumenten elektronischer Identitäten, d. h. der Verwaltung und den Online-Händlern zugutekäme, während der größte Teil der Kosten auf die Privatkunden übergewälzt wird, ohne das dem ein erfahrbarer Nutzengewinn gegenüber stünde. Das betrifft bspw. auch den naheliegenden Einsatz der eID-Funktion beim Online-Handel mit altersbeschränkten Waren oder Dienstleistungen. Eine komfortable mobile Nutzungsmöglichkeit der eIDFunktion mit Smartphones oder Tablet-PCs und den gleichen Sicherheitsgarantien dagegen, würde die Akzeptanz bei den Verbrauchern merklich erhöhen (siehe dazu Abbildung 32). Der neue Personalausweis als Träger der eID-Funktion ist natürlich weder dafür vorgesehen noch dazu geeignet, unbare Zahlungsmittel wie Kreditkarten zu substituieren. Ihm fehlt die im Rechtsverkehr von Wirtschaftssubjekten bargeldvertretende Funktion. Diese kann ihm auch nicht ex post zugewiesen werden. Ein vorstellbares, realistisches Szenario ist jedoch, dass die eID-Funktion des neuen Personalausweises dafür eingesetzt werden könnte, Zahlungsvorgänge im Internet anzustoßen, resp. zu autorisieren. Die Benutzung der eID-Funktion im Zusammenhang mit der Kauf einer Ware oder Dienstleistung über das Internet könnte in diesem Kontext ggf. als konklu- 72 dentes Einverständnis des Personalausweisinhabers gegenüber dem Händler für die Auslösung eines Zahlungsvorgangs, d. h. die Begleichung eines Zahlbetrages über ein dafür „vorgesehenes/bereitgestelltes“ Konto, interpretiert werden. Ein solches Szenario ist jedoch an eine Reihe von Voraussetzungen geknüpft: 1. Die Akzeptanz des Händlers Zahlungsvorgänge auf diese Weise anzustoßen. 2. Die Akzeptanz des Kunden, jeden Zahlvorgang mit einer Bekanntgabe personenbezogener Daten zu verknüpfen. 3. Die Bekanntgabe eines für die Abwicklung (Begleichung) des Zahlvorganges „vorgesehenen“ Zahlkontos des Kunden. 4. Die Bereitstellung der eID-Infrastruktur für Internet-Dienstleister durch korporative Dritte. Bis hierhin unterscheidet sich eine solches Szenario wenig von bisherigen unbaren Zahlungsvorgängen mit Kreditkarten. Der Sicherheitszuwachs für den Verbraucher Schutz vor Identitätsmissbrauch – ist ohne weiteres kaum erkennbar. Eine alternative und für den Kunden attraktive Möglichkeit, vor allem im Distanzhandel, wäre, dass Online-Händler und –Dienstleister ihren Kunden beim Einsatz der eID-Funktion als zuverlässiges Authentifikationsmittel Sonderkonditionen hinsichtlich der Preisgestaltung oder der Zahlungsabwicklung (Zahlung auf Rechnung, Finanzoder Ratenkauf) einräumen. Der relative Nutzen für den Händler würde dabei nicht nur in der Erhöhung der Zuverlässigkeit und Qualität der Kundendaten, sondern ggf. auch in einer differenzierten Kundenbindung und den damit einhergehenden Wettbewerbsvorteilen bestehen. Aber, obwohl sich drei Viertel der Umfrageteilnehmer eine solche Unterstützung vorstellen können (siehe dazu Abbildung 24), ist die Bereitschaft von Online-Händlern und –Dienstleistern zu einer derartigen Preisdifferenzierungs- und Zahlungsabwicklungsstrategie bis heute nicht erkennbar. Die mag damit zusammenhängen, dass, anders als im Handel mit altersbeschränkten Waren und Dienstleistungen, für Online-Händler und Online–Dienstleister in Ansehung der bislang gewohnten Zahlungsabwicklung das Kosten- / Nutzenverhältnis für die Adoption der eID-Funktion eine wesentlichere Rolle spielt (siehe dazu auch Abbildung 23). Ohne jeden Zweifel aber stellen die Umfrageergebnisse heraus, dass im Zusammenhang mit der Zusicherung einer Erhöhung des Datenschutzes und der Datensicherheit eine mobile Nutzungsmöglichkeit der eID-Funktion derzeit die aus Sicht der Verbraucher, und hier vor allem im Kundensegment der internetaffinen Verbraucher, die attraktivste Lösung darstellt. Das entscheidende Argument ist hier vor allem Komfort, der sichere Einkauf „anywhere“ and „anytime“. 73 8. Empfehlungen Netzeffekte sind für die erfolgreiche und breite Nutzung der eID-Funktion des neuen Personalausweises von maßgeblicher Bedeutung.111 Voraussetzung für ihre Entstehung und Entwicklung ist, dass ausreichend Leistungen und Produkte angeboten werden, die einerseits den Einsatz der eID-Funktion unterstützen, resp. eine Unterstützung erwarten lassen, andererseits die Nutzung der eID-Funktion nicht unnötig durch rechtliche, organisatorische oder technische Hemmnisse sowie unkomfortable Einsatzbedingungen erschwert wird. Dies legt, nach Auffassung der Autoren und ohne Anspruch auf Vollständigkeit, die nachfolgend beschriebenen Handlungsempfehlungen für die Etablierung von eID-Infrastrukturen zur Nutzung der eID-Funktion nahe: 8.1. Nachhaltige Verankerung der eID-Funktion in attraktiven E-Government Anwendungen Bürger wie Wirtschaft gehen berechtigterweise davon aus, dass der mit dem Einsatz der eID-Funktion zugesicherte relative Nutzengewinn (Sicherheit und Komfort bei Online-Transaktionen für Unternehmen wie Nutzer) vornehmlich auch in attraktiven Anwendungsszenarien von eGovernment seinen Niederschlag finden sollte. Positivbeispiele wie die Unterstützung bei der Einrichtung kommunaler Bürgerkonten mit integrierter eID-Funktion durch das Kommunale Rechenzentrum Minden-Ravensburg / Lippe oder elektronischen Formularen in Online-Portalen kommunaler Energieversorger in Münster belegen, dass damit „Behördengänge“ orts- und zeitunabhängig erledigt und zugleich Verwaltungsprozesse effizienter und damit auch kostengünstiger gestaltet werden können. Dieser Weg sollte konsequent fortgesetzt und durch qualifizierte Angebote kompetenter Prozess- und IT-Beratung auch pro-aktiv beworben und intensiviert werden. Dazu gehört selbstverständlich auch eine qualifizierte Beratung in den Meldestellen bei der Aushändigung des neuen Personalausweises. Das mit dem eGovernment Gesetz verfolgte Ziel mit dem Abbau rechtlicher Hindernisse, wie vor allem der in vielen Verwaltungsverfahren geforderten Schriftform, die elektronische Kommunikation mit der Verwaltung zu erleichtern, bietet in diesem Zusammenhang eine Vielzahl neuer Optionen und Spielräume. 8.2. Aktionsbündnisse und Anreize entlang der gesamten Wertschöpfungskette des E-Commerce schaffen Die Nutzung der eID-Funktion im Handel mit Waren und Dienstleistungen über das Internet ist ohne die Etablierung eines Akzeptanznetzwerkes und Anreizen über die 111 74 Aus diesem Grunde hat CSC dem BMI vorgeschlagen, mit einer durch CSC gesponserten und unterstützten wissenschaftlichen Analyse, Erkenntnisse über die Informations- und Kommunikationsflüsse des Akteurs- und Stakeholdernetzwerks der für die Mittelstandsoffensive des BMI in Frage kommenden Unternehmen zu gewinnen. Durch das Aufdecken struktureller Defizite des Netzwerks sowie die Identifikation von Teilgruppen und so genannten „Gatekeepern“, die möglicherweise aus den verschiedensten Gründen Informationsflüsse und Entscheidungen behindern, könnten die Handlungsempfehlungen qualifiziert oder ggf. sogar erweitert werden. gesamte Wertschöpfungskette hinweg wenig erfolgversprechend. Ungeachtet der Tatsache, dass die Umfrageergebnisse nachdrücklich ein Interesse von Online-Händlern und eShop-Betreibern an zuverlässigen, medienbruchfreien Kundendaten signalisieren, braucht die Unterstützung sicherer Transaktionen über das Internet vermittels der eID-Funktion ebenso die Akzeptanz und den Support von Finanzdienstleistern und Payment Service Providern oder auch Logistik-Dienstleistern. Insbesondere dann, wenn der Einsatz der eID-Funktion durch Anreize für den Ausweisinhaber (wie bspw. die Lieferung auf Rechnung) begleitet werden soll. Die Etablierung eines solchen Akzeptanznetzwerkes von E-Commerce Stakeholdern sollte durch das BMI politisch initiiert und moderiert werden, bspw. in Form regelmäßiger Konsultationen oder Foren mit allen an der Wertschöpfungskette beteiligten Unternehmen und Dienstleistern. Natürlich mit dem Ziel, Anforderungen oder auch Hemmnisse für den Einsatz der eID-Funktion im E-Commerce zu identifizieren und einer Lösung zuzuführen. Eine Beschränkung auf IT-Dienstleister oder Payment Service Provider würde für eine erfolgversprechende Mittelstandsoffensive zur Nutzung der eID-Funktion zu kurz springen (Anlage B enthält eine Zusammenstellung von Ansprechpartnern bei denen ein nachhaltiges Interesse in der Umfrage signalisiert wurde oder zumindest angenommen werden kann). Es ist naheliegend, sich in einem solch vertieften politischen Dialog vor allem der aktiven und öffentlichkeitswirksamen Unterstützung der Unternehmens- und Branchenverbände zu versichern. Eine konzertierte oder zumindest abgestimmte Aktion mit dem BMWi (Stichwort: Mittelstandpolitik) und dem BMF (Stichwort: SEPA) sowie der deutschen Kreditwirtschaft (Stichwort: SEPA Begleitgesetz ab 2014) wäre dabei sicher hilfreich und könnte einem solchen Dialog eine angemessene Bedeutung und in der Folge auch ein angemessenes Interesse auf Seiten der Unternehmens- und Branchenverbände verleihen. Darüber hinaus sollten an diesem Dialog ebenso etablierte wie auch interessierte Cloud Service Provider, eID-Dienstleister sowie Anwendungsentwickler zur Nutzung der eID-Funktion beteiligt werden. In diesem Zusammenhang könnte man bspw. gemeinsam mit Vertretern der deutschen Kreditwirtschaft prüfen, ob die eID-Funktion auch geeignet wäre, das SEPALastschriftverfahren elektronisch zu mandatieren. Zweifellos würde es darüber hinaus den Bemühungen des BMI um mehr Sicherheit und Vertrauen im Internet Schubkraft verleihen, wenn es gelänge, einen Marktführer im E-Commerce zu gewinnen, der kraft seines Ansehens und attraktiver Angebote der Nutzung der eID-Funktion im Online-Handel zum Durchbruch verhilft. 8.3. eID für den Jugendschutz und die Suchtprävention einsetzen Der Einsatz der eID-Funktion beim Kauf von Waren oder Dienstleistungen über das Internet erlaubt eine sichere Altersverifikation der Konsumenten. Damit ist nicht nur eine Prüfung der Geschäftsfähigkeit beim Verkauf hochpreisiger Waren oder Dienstleistungen (i. S. von § 110 BGB – „Taschengeldparagraph“) möglich, sondern kann zudem der Verkauf altersbeschränkter Medien, Waren und Dienstleistungen zuverlässig 75 verhindert und hieraus folgend auch ein wirksamer Beitrag zur Suchtprävention (Stichworte: Genussmittel und Spielsucht) geleistet werden. Der gesetzlichen Bestimmung nach § 1 Abs. 4 JuSchG liegt die Erwägung zugrunde, dass die für einen effektiven Kinder- und Jugendschutz notwendige Sicherstellung eines Versandes nur an Erwachsene nicht nur durch einen persönlichen Kontakt zwischen Lieferant und Besteller erreicht werden könne, sondern auch durch technische Vorkehrungen wie z. B. sichere Altersverifikationssysteme. Davon ausgehend sollten durch das BMI Gespräche zwischen den betroffenen Internetdienstleistern, eID-Service-Providern, den zuständigen Aufsichtsbehörden, Jugendschutz- und Suchtbeauftragten der verschiedenen Ressorts, der Bundesarbeitsgemeinschaft Jugendschutz, dem BMFSFJ und BMG sowie darüber hinaus - die Aufstellung von Glücksspielautomaten und den Betrieb von Glücksspieleinrichtungen (hier insbesondere Lotto und Sportwetten) betreffend - dem BMWi und den zuständigen Länderbehörden, in Gang gebracht und ggf. auch moderiert werden, die dazu beitragen, die Bereitschaft der Online-Dienstleister wie auch der Offline-Dienstleister zur Nutzung der eID-Funktion für eine sichere und zuverlässige Altersverifikation nachhaltig zu befördern. 8.4. Mobile elektronische Identitäten unterstützen Die Expansion internetfähiger Mobilgeräte in allen gesellschaftlichen Bereichen ist nicht zu übersehen. Nahezu jeder nutzt heute ein Smartphone oder ein Tablet, um mobil ins Internet zu gehen. Die Umfrageergebnisse bestätigen auch, dass mobile Nutzungsmöglichkeiten der eID-Funktion des neuen Personalausweises die Akzeptanz bei den Verbrauchern deutlich erhöhen würde. Für derartige Einsatzmöglichkeiten sind grundsätzlich zwei Szenarien denkbar: (1) Das mobile Endgerät mit dem neuen Personalausweis zum Zeitpunkt einer Online-Transaktion via Nahfeldkommunikation (NFC) zu verbinden. Das würde dem mobilen Endgerät erlauben, die eID-Funktion für die Authentisierung gegenüber einem Online-Dienstleister zu nutzen. Allerdings sind NFC-fähige Endgeräte heute noch keine Selbstverständlichkeit. Gleichwohl kann man davon ausgehen, dass die Ausstattung mobiler Endgeräte mit NFC für die „mobile Geldbörse“ in absehbarer Zeit zu erwarten ist.112 Technische Probleme, ausgelöst durch inkompatible Protokollstandards, die die zuverlässige Kommunikation mit dem Personalausweis heute noch möglicherweise behindern, scheinen lösbar. Das BMI sollte deshalb in geeigneter 112 76 Google startete schon im letzten Jahr seinen mobilen Bezahldienst Google Wallet, der kontaktloses Bezahlen mit einem in das Smartphone integrierten NFC-Chip ermöglicht. Auch die eBay-Tochter PayPal hat entsprechende Pläne. Auf Basis von mpass, einem Bezahlservice der deutschen Mobilfunknetzbetreiber Telekom, Vodafone und o2, mit dem in diversen Onlineshops bezahlt und bei dem man sich bequem und sicher mit der eID-Funktion registrieren kann, bietet o2 nun auch die Bezahlung im stationären Handel mit der NFCTechnologie an. Kunden des Anbieters, die sich unter mpass.de/o2 für den Service registrieren, erhalten einen NFC-Chip als Sticker. (Quelle: http://www.telespiegel.de/news/12/1010-o2-nfc-mpass.htm) Weise alle Aktivitäten unterstützen, die eine standardisierte interoperable Kommunikation mit dem neuen Personalausweis via NFC ermöglichen. Dazu gehört natürlich auch ein aktives Engagement in den in diesem Umfeld tätigen europäischen Standardisierungsgremien, um langfristig auch den grenzüberschreitenden Einsatz der eID-Funktion zu gewährleisten. (2) Die Nutzung von aus der eID-Funktion des Personalausweises „abgeleiteten“ elektronischen Identitäten. Diese werden als geschütztes - mit den Sicherheitsinstrumenten des neuen Personalausweises ausgestattetes - Softwaretoken, d. h. mit dem gleichen Sicherheitsniveau und funktional gleichen Sicherheitseigenschaften wie für den neuen Personalausweis, auf dem Mobilgerät zur Verfügung gestellt und können mit NFC-Technologie genutzt werden. Dabei wären sogar „abgestufte“ elektronische Identitäten für unterschiedliche Sicherheitsanforderungen vorstellbar. Solche “abgeleiteten“ elektronischen Identitäten könnten – wie bspw. von der Bundesdruckerei vorgeschlagen – vermittels einer auf dem Endgerät lauffähigen Anwendung, die mit dem Ausweis über ein Lesegerät oder via NFC kommuniziert, auf dem mobilen Endgerät erzeugt und verwaltet werden. Denkbar wäre auch eine Bereitstellung „abgeleiteter“ elektronischer Identitäten zum (nachladbaren) Download auf ein mobiles Endgerät durch eID-Dienstleister nach vorausgehender Identifikation mit der eID-Funktion des Ausweises. Ebenso eine Ableitung zum Zeitpunkt der Aushändigung des neuen Personalausweises in einer Meldestelle, beim Kauf eines mobilen Endgerätes und der Inbetriebnahme der SIM-Karte oder abrufbare elektronische Identitäten in einer sicheren Cloud. Auf diese Weise ließe sich das Konzept der „elektronischen Geldbörse“ um das fehlende Element eines überall verfügbaren und zugleich sicheren Identitätsnachweises in Form einer Online-Ausweisfunktion ergänzen. Das BMI sollte, unterstützt durch das BSI, derartige Entwicklungen durch die Spezifikation sicherheitstechnischer Mindeststandards begleiten und mit einem Zertifizierungsprozess und „Stresstests“ die Erfüllung der Sicherheitsziele prüfen. Damit würde das Vertrauen der Verbraucher wie der Händler in die Nutzung solch „abgeleiteter“ elektronischer Identitäten zweifellos gestärkt. Darüber hinaus sollte das BMI seine Erfahrungen und Kompetenzen auch in die europäischen Bemühungen um grenzüberschreitende, sichere elektronische Identitäten einbringen. 8.5. Die eID-Funktion an POS-Terminals? Ein unmittelbarer Einsatz des neuen Personalausweises als unbares Zahlungsmittel ist von seinen Zielen nicht intendiert. Selbst der Einsatz als Authentifikationsinstrument an POS-Terminals ist technisch an eine ganze Reihe sehr voraussetzungsvoller Annahmen geknüpft, deren Umsetzung einen deutlichen Aufwand auf Seiten der Händler nach sich ziehen würde (siehe dazu das Whitepaper des BMI über Einsatzszenarien des nPA am Point of Sale, Version 1.3 vom 29. Mai 2012). Davon abgesehen ist der Einsatz der eID-Funktion in Situationen vorstellbar wie bspw. die Altersverifikation an SB-Automaten 77 die Einrichtung von Kundenkonten in Verbindung mit der Teilnahme an einem Lastschriftverfahren (bspw. SEPA) zur Unterstützung (Identitätsnachweis) von Retouren in den Filialen von Handelsketten und Warenhäusern und beim Abschluss von Kredit- und Teilzahlungsverträgen. Das BMI sollte daher mit den Verbänden des Offline-Handels Gespräche aufnehmen, die zu einer belastbaren Einschätzung möglicher Nutzenpotenziale führen. In diesem Zusammenhang sollte das BMI auch die Möglichkeit prüfen, die eIDFunktion des neuen Personalausweises auch offline, d. h. ohne augenblicklichen Anschluss an einen eID-Service Provider, an Automaten, Terminals und Zugangssystemen einsetzen zu können. Das würde dem Handel neue Handlungsoptionen für kundenfreundliche und zugleich sichere Lösungen eröffnen. Das BMI könnte für eine solche Prüfung das BSI mit der Durchführung technischer Machbarkeitsstudien beauftragen. 8.6. Die Kommunikation spürbar verbessern Die Bewerbung der eID-Funktion als sicheres und zuverlässiges Instrument zur Authentifikation im Internet findet bis heute überwiegend über „Nischen“medien, wie dedizierte Ausweisportale oder auf Webseiten der in diesem Umfeld tätigen ITUnternehmen statt. Sie setzt eine aktive Auseinandersetzung der Nutzer voraus und erreicht damit vor allem jene, die – gestützt auf technische Vorkenntnisse - bereits eine Nutzung in Erwägung ziehen und aus diesem Grund auf der Suche nach mehr Informationen sind. Jeder Schokoriegel aber wird heute aggressiver beworben, als neue und vor allem sichere Geschäftsmodelle rund um den neuen Personalausweis. Nötig wäre daher die Wiederaufnahme einer aktiven und öffentlichkeitswirksamen (und darum auch nicht vorrangig technisch getriebenen) Kommunikationsstrategie, die bewusst auch auf die Einbeziehung traditioneller Print- und elektronischer Medien setzt, und vor allem die Sicherheitseigenschaften der eID-Funktion zielgruppengerecht erläutert. Eine aktive Unterstützung durch die Branchenverbände der OnlineHändler, der Finanzdienstleister und Payment Service Provider, sowie der IT-, und Telekommunikationsunternehmen wäre dabei sicher ebenso hilfreich wie überzeugend. 78 9. Quellen 9.1. Bücher Bertino, E., Takahashi, K. Identity Management. Concepts, Technologies and Systems, Artech House Norwood MA 2011 Borges, G., Schwenk, J., Stuckenberg, C.-F., Wegener, C.: Identitätsdiebstahl und Identitätsmissbrauch im Internet, Springer Verl. Berlin Heidelberg 2011 Cheffey, D.: E-Business & E-Commerce Management, Prentice Hall 2011 Dannenberg, M., Ulrich, A.: E-Payment and E-Billing, Gabler Verl. Wiesbaden 2004 Fumy, W., Paeschke, M. (Hrsg.) eID Security. Concepts-Practical Experiences-Technologies, Publicis Publishing Erlangen 2011 Funder, J., Strähle, J., Ehlbeck, M., Natkowski, T.: Online gewinnen, Deutscher Fachverlag Frankfurt a. M. 2011 Hentrich, H., Zdun, U.: Process-Driven SOA, CRC Press Boca Raton FL 2012 Kahler, T., Werner, S.: Electronic Banking und Datenschutz, Springer Verl. Berlin 2008 Krallmann, H., Zapp, A. (Hrsg.): Bausteine einer vernetzten Verwaltung, Erich Schmidt Verl. Berlin 2012 Kubicek, H., Noack, T.: Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis?, LIT Verl. Dr. W. Hopf Berlin 2010 Lammer, T.: Handbuch E-Money, E-Payment & M-Payment, Physica Verlag Heidelberg 2006 Langer, J., Roland, M.: Anwendungen und Technik von Near Field Communication (NFC), Springer Verl. Berlin Heidelberg 2010 Plattner, H., Zeier, A. : In-Memory Data Management, Springer Berlin Heidelberg 2011 Rannenberg, K., Royer, D., Deuker, A. (Hrsg.): The Future of Identity in the Information Society, Springer Verlag Dordrecht 2009 Sarna, D. E. Y.: Implementing and Developing Cloud Computing Applications, CRC Press Boca Raton FL 2011 Shark, A. R. : Seven Trends That Will Transform Local Government Through Technology, Public Technology Institute, Alexandria VA 2012 Schönbohm, A.: Deutschlands Sicherheit. Cybercrime and Cyberwar, MV-Verl Münster 2011 Solari, C.: Security in a Web 2.0 World, Wiley & Sons Ltd. 2009 9.2. Studien Akzeptanz von Sevurity-as-a-Service-Lösungen, BITKOM 2011, abgerufen am 17.05.2012 unter www.bitkom.org BMWi November 2011: Monitoring-Report, Deutschland Digital 2011, abgerufen am 05.06.2012 unter: http://www.bmwi.de/BMWi/Navigation/Service/publikationen,did=461760.html Datenschutz im Internet – Eine repräsentative Untersuchung zum Thema Daten im Internet, BITKOM 2011, abgerufen am 17.05.2012 unter www.bitkom.org Cloud Computing im Mittelstand, PricewaterhouseCoopers 2011, abgerufen am 17.05.2012 unter: http://www.pwc.de/de/mittelstand/cloud-computing-im-mittelstand.jhtml Cybercrime – Bundeslagebild 2010, htttp://www.bka.de, abgerufen am 06.06.2012 79 DIVSI Milieustudie zu Vertrauen und Sicherheit im Internet, Hamburg 2012, abgerufen am 20.05.2012 unter: www.divsi.de/divsi-milieu-studie Einkaufen 4.0. Der Einfluss von E-Commerce auf Lebensqualität und Einkaufsverhalten, Deutsche Post-DHL und tns infratest 2012, abgerufen am 17.05.2012 unter: www.dp-dhl.com GData Malware-Report 2011, abgerufen am 17.05.2012 unter: http://www.gdata.de/fileadmin/01_public/Presse/Publikationen/GData_MWR_2_2011_DE.pd f Go smart 2012. Always in Touch. Studie zur Smartphone Nutzung 2012, abgerufen am 26.05.2012 unter: http://www.ottogroup.com/media/docs/de/studien/go_smart.pdf Identitätsmissbrauch im Online-Handel – Status quo in Deutschland, eine Studie des ECommerce-Center Handel (ECC Handel) über Sicherheitsrisiken bei der Internetnutzung aus Verbrauchersicht in Zusammenarbeit mit der SCHUFA Holding AG, März 2012, abgerufen am 06.06.2012 unter http://www.ecc-handel.de/ Lagebericht der IT-Sicherheit in Deutschland 2011, abgerufen am 17.05. 2012 unter: www.bsi.bund.de LeGuide.com. Survey on the online practices of European E-Merchants 2009, abgerufen unter: http://www.leguide.com/press/fr/2010/Survey%20merchants.pdf Netzgesellschaft, BITKOM 2011, abgerufen am 17.05.2012 unter: www.bitkom.org Mittelstand im Mittelpunkt. DZ Bank Mittelstandsstudie 2012, abgerufen am 17.05. 2012 unter: www.dzbank.de Meckel, M., Hoffmann, P. von Kaenel, A. C. : Sicherheit vs. Privatheit, Studie ISPRAT und des Instituts für Medien- und Kommunikationsmanagement, St. Gallen Nov. 2011, abgerufen am 17.05.2012 unter: http://isprat.net/fileadmin/downloads/pdfs/Abschlussbericht%20Sicherheit%20vs%20Priv atheit.pdf SIT Technical Reports: On the security of cloud storage services, March 2012, abgerufen am 25.05.2012 unter: http://www.sit.fraunhofer.de/de/cloudstudy.html Trend Topic E-Commerce, Marktstudie Axel Springer AG 2011, abgerufen am 17.05.2012 unter: http://www.axelspringer-mediapilot.de/branchenberichte/EinzelhandelEinzelhandel_703139.html?beitrag_id=459953 80 10. Anlagen 81 Anlage A: Auswertung der Online Befragung Inhalt 1. Einführung (Befragungseinladung) .......................................................................... 2 2. Teilnehmer .............................................................................................................. 3 2.1. Industrie- und Handelskammern (IHKs) ................................................................... 3 2.2. Produktentwickler .................................................................................................... 3 2.3. eID-Service Anbieter................................................................................................ 4 2.4. Verbände und Forschungseinrichtungen ................................................................. 4 2.5. Gesamtübersicht ..................................................................................................... 4 2.6. Kommentare ............................................................................................................ 5 3. Auswertung der Umfrage ......................................................................................... 6 3.1. Zur Entwicklung der Wertschöpfungskette im E-Commerce .................................... 6 3.2. Zum Nutzen und zur Nutzung der eID-Funktion des neuen Personalausweises .................................................................................................. 9 3.3. Unterstützung durch einfache eID-Infrastrukturen ...................................................17 1. Einführung (Befragungseinladung) Der neue Personalausweis eröffnet mit dem elektronischen Identitätsnachweis (eID-Funktion) für Kunden und Dienstleister die Möglichkeit, sich im Internet, an Terminals und SB-Automaten sicher und zuverlässig gegenseitig auszuweisen. Dabei kann sich der Kunde darauf verlassen, dass bei der Nutzung der eID-Funktion nur die für den Geschäftszweck zwingend erforderlichen Personendaten einem Dienstleister mit staatlichem Berechtigungszertifikat zugänglich werden. Der Dienstleister kann sicher sein, bei der Nutzung der eID-Funktion zuverlässige und fehlerfreie Identitätsdaten des Kunden zu erhalten, die er in hoher Qualität medienbruchfrei den anschließenden Geschäftsprozessen zugrunde legen kann. Mit der verschlüsselten sicheren Übertragung der Identitätsdaten entsteht vor allem im Internet ein neues Vertrauensniveau. Bereits über 5 Millionen Besitzer des neuen Ausweises haben die eID-Funktion aktiviert und vermögen sie aufgrund fehlender Alltagsanwendungen nur selten einzusetzen. Anbieter kommerzieller Internetdienste kennen die Vorteile der eID-Funktion nicht oder scheuen den Aufwand für die Integration in ihre elektronischen Dienstleistungen. Mit dem Ziel Sicherheit und Vertrauen in der elektronischen Welt zu stärken, sucht das Bundesministerium des Innern die Unterstützung und Initiative von IT-Dienstleistern, Schlüsselanwendern und Verbänden, um Unternehmensgruppen und mittelständischen Unternehmen insbesondere im Bereich E-Commerce (elektronisch unterstützter Handel, Logistik, Dienstleistungsgewerbe usw.) den Zugang zur eID-Infrastruktur zu erleichtern. Ziel dieser Befragung ist es, Handlungsoptionen zu erkennen, die geeignet sind, den Einsatz und die Nutzung der eID-Funktion im E-Commerce zu fördern sowie potentielle Akteure für die Unterstützung des elektronischen Identitätsnachweises im gewerblichen Bereich zu identifizieren. Wir sind Ihnen dankbar für die Teilnahme an dieser Befragung, die im Auftrag des Bundesministeriums des Innern (BMI) durch die Computer Sciences Corporation Deutschland Solutions GmbH (CSC) und das Institut für Informationsmanagement Bremen (ifib) durchgeführt wird. Teilnehmer an der Befragung erhalten die exklusive Einladung zur Konferenz „Sichere Identität im E-Commerce“ am 31. Oktober 2012 in Berlin. Für die Beantwortung der folgenden 25 Fragen mit vorgegebenen Antwortmöglichkeiten benötigen Sie ca. 15 Minuten. Bitte senden Sie den ausgefüllten Fragenbogen bis 30.08.2012 an uns zurück. Kontaktinformation Herzlichen Dank für Ihre Unterstützung. Sollten Sie noch Fragen haben, wenden Sie sich bitte an: Dr. rer. nat. Wolf Zimmer [email protected] p: +49 30 206 536 683 Eric N. de Vries [email protected] p: +49.30.206536.803 2|Seite 2. Teilnehmer 2.1. Industrie- und Handelskammern (IHKs) IHKs IHK München und Oberbayern IHK Nord Westfalen IHK Koblenz IHK Schwerin IHK Südlicher Oberrhein (u. a. Freiburg) Südwestfälischen Industrie- und Handelskammer (SIHK) zu Hagen Handelskammer Hamburg 2.2. Anzahl 1 1 1 1 1 1 1 7 (Gesamt) Produktentwickler Produktentwickler Atos Worldline Telecash Valora GmbH VeriFone Ingenico Bit-Soft (PersoPay) Deutsche Bahn Bundesdruckerei bos DATEV Deutsche Telekom Vodafone Strato ]init[ AG Identive GmbH Kobil Systems GmbH CardContact Software & System Consulting CSC Deutschland Solutions GmbH Bandenburg IV (selbst. Kaufmann) Micus Management Consulting GmbH Zimmer IV (selbst. Kaufmann) IKEA Deutschland GmbH Co KG TUI 4U GmbH eparo GmbH DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH Anzahl 1 1 1 1 1 1 1 1 1 1 3 1 1 2 1 1 1 1 1 1 1 1 1 2 1 30 (Gesamt) 3|Seite 2.3. eID-Service Anbieter eID Service Anbieter Adesso AG Bardenheuer GmbH eGov Consulting and Development GmbH HJP Consulting GmbH Governikus AG Steria Mummert Consulting (SMC) 2.4. Verbände und Forschungseinrichtungen Verbände & Forschung Bundesverband des Deutschen Versandhandels e.V. (bvh) Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) Bundesverband der Dt. Volks- und Raiffeisenbanken (BVR) Mittelstandsverbund (ZGV) Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) Electronic Commerce Center Stuttgart Institut für Informationsmanagement Bremen GmbH (ifib) FTVT - Forschungs- und Technologieverbund Thüringen BVEA - Förderverein - Förderverein des Bundesverbandes Evangelischer Arbeitnehmerorganisationen e.V. Bundesverband deutscher Banken (BDB) 2.5. Anzahl 1 1 1 1 1 1 6 (Gesamt) Anzahl 2 1 1 1 1 1 1 1 1 1 11 (Gesamt) Gesamtübersicht Befragte Industrie- und Handelskammern (IHKs) Produktentwickler eID Service Anbieter Verbände & Forschung Anzahl 7 30 6 11 54 (Gesamt) 4|Seite 2.6. Kommentare Kontakte Kommentare Bundesverband des Deutschen Versandhandels e.V. Deutschland verfügt glücklicherweise über eine sehr niedrige Betrugsrate im Internethandel. Das macht den nPA unattraktiv für die Händler. Außerdem sind die Kosten pro Transaktion zu hoch und die Anwendung auf Userseite ist nicht trivial, was zu einer erhöhten Abbrecherquote führen würde. Sehr geehrte Damen und Herren, wie viel haben die eSignatur beantragt? - eindeutig viel zu kompliziert! - darum wird dieser Punkt auch nicht untersucht. Viel Erfolg. MfG M. Schulze Die Killeranwendung des nPA ist die Reduzierung der im Internet erforderlichen Kennwörter für das Login auf Anbieterseiten. FTVT e.V. CardContact Software & System Consulting STRATO AG Zimmer IV (selbst. Kaufmann) ]init[ AG DB Mobility Logistics AG IKEA Deutschland GmbHCo KG Mit jedem neuen Anbieter wird eine neue Benutzerkennung und Passwort notwendig. Hier den nPA als reines Authentifizierungswerkzeug zur Erzeugung des RI Pseudonyms zu verwenden und eine schlanke Integration in den Browser zu haben, dass würden viele Anwender nutzen. So wird das vermutlich irgendwann Google-ID oder Facebook als Identity-Provider übernehmen. Grundsätzlich wäre im Vorfeld eine Aufklärungskampagne dringend notwendig - die schnell und klar den Nutzen für alle präsentiert. Format wie Scheckkarte GUT. Wie Regelung bei Verlust/Diebstahl - sperren wie Kreditkarte ? Bei jüngeren Nutzer glaube ich die Variante "alles auf eine Karte"und MOBILE Nutzung sicher interessant - ältere Nutzer möchten sicher Bank / Kreditgeschäfte und Personalausweis weiterhin getrennt halten. Mobile Nutzung abhängig von Ausbildung und Status Sehr geehrte Damen, sehr geehrte Herren, Sie haben sehr interessante Fragen gestellt. Falls möglich, würde ich gerne das Ergebnis der Umfrage erfahren und freue mich über die Zusendung der Auswertung. Mit freundlichen Grüßen, David Bury zu 3.5: => Positive Darstellung bei der Ausweisbeantragung durch die zuständigen Ämter. => Klare (öffentlichkeitswirksame) Abgrenzung zwischen den eID Funktionen und den Interessen zur Nachforschung durch BND, Polizeibehörden und BKA usw. Generell ist der Ansatz, die elD-Funktion des neuen Ausweises im Handel einsetzen zu können sehr gut. Wichtig vor dem Einsatz ist eine transparente, Verbraucherinformation / Kommunikation. Verbraucher müssen ihren Vorteil über die mögliche zusätzliche Sicherheit erkennen aber auch über die möglichen Risiken informiert werden. Hat der Verbraucher von Anfang an Misstrauen, wird der Einsatz scheitern. 5|Seite 3. Auswertung der Umfrage 3.1. Zur Entwicklung der Wertschöpfungskette im E-Commerce 1. Welche Strategien versprechen Ihrer Ansicht nach für das Angebot von Produkten und Dienstleistungen im Internet den größten Erfolg für mittelständische Anbieter? (Mehrfachnennungen möglich) Dienstleistungs- und Produktplatzierung auf branchenübergreifenden Plattformen 39% Dienstleistungs- und Produktplatzierung auf branchenspezifischen Plattformen 72% Dienstleistungs- und Produktplatzierung auf regionalen Plattformen 39% Dienstleistungs- und Produktplatzierung auf eigenen Webseiten Weiß nicht 56% 4% Dienstleistungs- und Produktplatzierung auf branchenübergreifenden Plattformen Dienstleistungs- und Produktplatzierung auf branchenspezifischen Plattformen 21 39 Dienstleistungs- und Produktplatzierung auf regionalen Plattformen 21 Dienstleistungs- und Produktplatzierung auf eigenen Webseiten 30 Weiß nicht 2 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 2. Sind Sie der Auffassung, dass sich der zu beobachtende Konzentrationsprozess im Online-Handel fortsetzen wird? 4% 0% 26% Ja Vielleicht 70% Nein Weiß nicht Ja 38 Vielleicht 14 Nein 2 Weiß nicht 0 6|Seite 3. Welche Bedeutung wird Ihrer Ansicht nach Cloud Computing auf die künftige Entwicklung von ECommerce(-Plattformen) haben? Große Bedeutung 32% Eher moderate Bedeutung 39% Wenig Bedeutung Keine Bedeutung 22% 0% Weiß nicht 7% Große Bedeutung 17 Eher moderate Bedeutung 21 Wenig Bedeutung 12 Keine Bedeutung 0 Weiß nicht 4 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 4. Welchem der folgenden Themen messen Sie bei der künftigen Entwicklung des E-Commerce besondere Bedeutung bei? (Mehrfachnennungen möglich) Datenschutz 67% Datensicherheit 56% Social Media 37% Datenbasierte Kundenansprache 41% Erhebung, Verknüpfung und Auswertung von Kundendaten (Data Mining) 52% Datenzuverlässigkeit und Datenqualität 69% Vertrauenswürdige elektronische Identitäten 69% Cloud Computing 22% Datenschutz 36 Datensicherheit 30 Social Media 20 7|Seite Datenbasierte Kundenansprache 22 Erhebung, Verknüpfung und Auswertung vom Kundendaten (Data Mining) 28 Datenzuverlässigkeit und Datenqualität 37 Vertrauenswürdige elektronische Identitäten 37 Cloud Computing 12 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 5. Welche Bedeutung messen Sie in der Zukunft Mobile Computing im Online-Handel zu? Große Bedeutung 74% Eher moderate Bedeutung Wenig Bedeutung Keine Bedeutung Bleibt abzuwarten Weiß nicht 18% 4% 0% 4% 0% Große Bedeutung 40 Eher moderate Bedeutung 10 Wenig Bedeutung 2 Keine Bedeutung 0 Bleibt abzuwarten 2 Weiß nicht 0 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 8|Seite 3.2. Zum Nutzen und zur Nutzung der eID-Funktion des neuen Personalausweises 6. Sind für E-Commerce-Anbieter Datenschutz und Datensicherheit ein Verkaufsargument (security sells)? 2% 8% 20% Ja Vielleicht 70% Nein Weiß nicht Ja 38 Vielleicht 11 Nein 4 Weiß nicht 1 7. Wie wichtig ist E-Commerce Anbietern die zuverlässige Authentisierung ihrer Kunden? Sehr wichtig 35% Wichtig 50% Weniger wichtig Unwichtig Weiß nicht 13% 0% 2% Sehr wichtig 19 Wichtig 27 Weniger wichtig 7 Unwichtig 0 Weiß nicht 1 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 9|Seite 8. Werden im E-Commerce Online-Authentifizierungen vorwiegend dafür genutzt: Die Zahlungsinformationen des Kunden zu erfassen (Schuldverhältnis) 0% 20% 56% 24% Die Identität des Kunden zu erfassen (Anlieferung, Kundendienst, Umtausch u.a.) Beides Weiß nicht Die Zahlungsinformationen des Kunden zu erfassen (Schuldverhältnis) Die Identität des Kunden zu erfassen (Anlieferung, Kundendienst, Umtausch u.a.) Beides 11 13 30 Weiß nicht 0 9. Halten Sie die bestehenden Sicherheitsmechanismen für die Registrierung / Anmeldung von Kunden auf E-Commerce-Plattformen mit Nutzername oder E-Mailadresse und Passwort und via HTTPS für ausreichend? 4% 22% 48% Ja Vielleicht 26% Nein Weiß nicht Ja 12 Vielleicht 14 Nein 26 Weiß nicht 2 10 | S e i t e 10. Welche Kenntnisse haben Sie über die Möglichkeiten und technischen Erfordernisse des elektronischen Identitätsnachweises mit dem neuen Personalausweis? 2% Umfangreiche Kenntnisse 26% 48% 24% Ausreichende Kenntnisse Wenige Kenntnisse Keine Kenntnisse Umfangreiche Kenntnisse 26 Ausreichende Kenntnisse 13 Wenige Kenntnisse 14 Keine Kenntnisse 1 11. Können Sie sich vorstellen, dass die Nutzung der eID-Funktion des neuen Personalausweises sowohl für Online-Handler als auch für Kunden einen Sicherheits- und Vertrauensgewinn darstellen könnte? 2% 0% 24% Ja Vielleicht 74% Nein Weiß nicht Ja 40 Vielleicht 13 Nein 1 Weiß nicht 0 11 | S e i t e 12. Glauben Sie, dass die Nutzung der eID-Funktion des neuen Personalausweises den Schutz der Händlers/ Dienstleisters vor Internetkriminalität, insbesondere Angriffen auf die E-CommercePlattform erhöhen könnte? 2% 24% 48% Ja Vielleicht 26% Nein Weiß nicht Ja 26 Vielleicht 14 Nein 13 Weiß nicht 1 13. Glauben Sie, dass die Nutzung der eID-Funktion des neuen Personalausweises für die Kunden die Gefahr Opfer von Identitätsdiebstahl, Identitätsmissbrauch, von Spoofing- und Phishing-Attacken zu werden, verringern könnte? 2% 9% Ja 20% Vielleicht 69% Nein Weiß nicht Ja 37 Vielleicht 11 Nein 5 Weiß nicht 1 12 | S e i t e 14. Können Sie sich vorstellen, dass der Einsatz und die Nutzung der eID-Funktion im Online-Handel für Logistikdienstleister das Risiko von Falschlieferungen oder Verweigerung der Annahme vermindern könnte? 11% 4% Ja 50% Vielleicht 35% Nein Weiß nicht Ja 27 Vielleicht 19 Nein 6 Weiß nicht 2 15. Für welche Szenarien können Sie sich den Einsatz und die Nutzung der eID-Funktion im OnlineHandel gut vorstellen? (Mehrfachnennungen möglich) Registrierung eines Kundenkontos 83% Bestellannahme und Auslieferung/ Download 46% Altersverifikation (Geschäftsfähigkeit oder altersbeschränkte Waren und Dienste) 94% Kundendienst (Rücksendung, Reklamation, Rückfragen,…) 28% als virtuelle Rabattkarte 20% zum Bezahlen Weiß nicht 52% 2% Registrierung eines Kundenkontos 45 Bestellannahme und Auslieferung/ Download 25 Altersverifikation (Geschäftsfähigkeit oder altersbeschränkte Waren und Dienste) 51 Kundendienst (Rücksendung, Reklamation, Rückfragen,…) 15 als virtuelle Rabattkarte 11 zum Bezahlen 28 Weiß nicht 1 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 13 | S e i t e 16. Können Sie sich vorstellen, dass die zuverlässige Authentifizierung mittels der eID-Funktion zur Unterstützung von Bezahlfunktionen genutzt werden kann? Bspw. für (Mehrfachnennungen möglich): Kauf auf Rechnung 74% Finanz- und Ratenkauf 72% Aktuelles elektronisches Lastschriftverfahren 56% Künftige SEPA-Lastschrift (eID soll Unterschrift für das Mandat ersetzen) Mobiles Bezahlen mit Handy oder Smartphone (ohne Kleinbeträge) Zusätzliche Absicherung von Kartenzahlungen (Debitoren und Kreditkarten) Andere Online-Bezahlverfahren (ClickandBuy, Paypal, Giropay usw.) Überweisung per Online-Banking (eID und Sessioncode ersetzen TAN) Weiß nicht 61% 39% 41% 54% 50% 2% 40 Kauf auf Rechnung Finanz- und Ratenkauf 39 aktuelles elektronisches Lastschriftverfahren 30 künftige SEPA-Lastschrift (eID soll Unterschrift für das Mandat ersetzen) 33 Mobiles Bezahlen mit Handy oder Smartphone (ohne Kleinbeträge) 21 Zusätzliche Absicherung von Kartenzahlungen (Debitoren und Kreditkarten) 22 andere Online-Bezahlverfahren (ClickandBuy, Paypal, Giropay usw.) 29 Überweisung per Online-Banking (eID und Sessioncode ersetzen TAN) 27 Weiß nicht 1 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 14 | S e i t e 17. Welcher betriebswirtschaftliche Nutzen ist aus Ihrer Sicht für E-Commerce-Unternehmen für den Einsatz und die Nutzung der eID-Funktion des neuen Personalausweises im Online-Geschäft darstellbar und ggf. ein möglicher Anreiz? (Mehrfachnennungen möglich) Erhöhung der Zuverlässigkeit der Kundenangaben 85% Erhöhung der Datenqualität 65% Verringerung von Zahlungsausfällen durch Nichtabstreitbarkeit der Online-Transaktionen 52% Verringerung von Retouren durch zuverlässige Adressangaben 57% Verringerung des Geschäftsrisikos durch zuverlässige Altersverifikation 70% Keiner 0% Weiß nicht 0% Erhöhung der Zuverlässigkeit der Kundenangaben 46 Erhöhung der Datenqualität 35 Verringerung von Zahlungsausfällen durch Nichtabstreitbarkeit der Online-Transaktionen 28 Verringerung von Retouren durch zuverlässige Adressangaben 31 Verringerung des Geschäftsrisikos durch zuverlässige Altersverifikation 38 Keiner 0 Weiß nicht 0 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 15 | S e i t e 18. Können Sie sich vorstellen, dass Anbieter beim Einsatz der eID-Funktion für eine zuverlässige Authentifizierung und Autorisierung von Transkationen im Internet bereit wären, hierfür den Kunden Sonderkonditionen einzuräumen (wie bspw. Rabatte oder günstigere Lieferkonditionen)? 11% 20% Ja 24% Vielleicht 45% Nein Weiß nicht Ja 11 Vielleicht 24 Nein 13 Weiß nicht 6 19. Können Sie sich vorstellen, dass es für Kunden ein Anreiz wäre die eID-Funktion für eine zuverlässige Authentifizierung und Autorisierung von Transaktionen im Internet zu nutzen, wenn der Anbieter im Gegenzug dafür den Kunden Sonderkonditionen einräumen würde (wie bspw. Rabatte oder günstigere Lieferkonditionen)? 4% 4% Ja 26% 66% Vielleicht Nein Weiß nicht Ja 36 Vielleicht 14 Nein 2 Weiß nicht 2 16 | S e i t e 3.3. Unterstützung durch einfache eID-Infrastrukturen 20. Unter welchen Umständen können Sie sich eine Nutzung der eID-Funktion durch E-CommercePlattformen vorstellen? (Mehrfachnennungen möglich) Wenn dies von den Kunden gewünscht wird 66% Wenn dies von den Kreditinstituten/Banken unterstützt wird 50% Wenn dies von Zahlungsdienstleistern (Payment Service Providern wie bspw. PayPal) unterstützt wird 61% Wenn es dafür gesetzlich Vorschriften gibt (wie die Altersverifikation) 70% Wenn der Einsatz zu einem darstellbaren betriebswirtschaftlichen Nutzen führt 80% Gar nicht 0% Weiß nicht 0% Wenn dies von den Kunden gewünscht wird 36 Wenn dies von den Kreditinstituten/Banken unterstützt wird Wenn dies von Zahlungsdienstleistern (Payment Service Providern wie bspw. PayPal) unterstützt wird Wenn es dafür gesetzlich Vorschriften gibt (wie die Altersverifikation) 27 Wenn der Einsatz zu einem darstellbaren betriebswirtschaftlichen Nutzen führt 43 33 38 Gar nicht 0 Weiß nicht 0 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 17 | S e i t e 21. Welche der nachfolgend genannten Faktoren würde die Akzeptanz für die Nutzung der eIDFunktion bei E-Commerce-Anbieter und der Zahlungsdienstleister erhöhen? (Mehrfachnennung möglich) Einfache Integration in bestehende Prozesse 81% Einfache und kostengünstige Integration in bestehende IT-Infrastrukturen 89% Einfachere Prozesse für die Beantragung und Erneuerung von Berechtigungszertifikaten 54% Kostensenkung der Berechtigungszertifikate 52% Einfachere Handhabung für die Kunden Weiß nicht 80% 0% Einfache Integration in bestehende Prozesse 44 Einfache und kostengünstige Integration in bestehende IT-Infrastrukturen 48 Einfachere Prozesse für die Beantragung und Erneuerung von Berechtigungszertifikaten 29 Kostensenkung der Berechtigungszertifikate 28 Einfachere Handhabung für die Kunden 43 Weiß nicht 0 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 18 | S e i t e 22. Würde es die Akzeptanz der E-Commerce-Anbieter für die Nutzung der eID-Funktion erhöhen, wenn diese die hierfür erforderliche eID-Infrastruktur (Berechtigungszertifikate, eID-Service, Anwendungsintegration) nicht selbst handhaben müssten, sondern diese an einen beauftragten Dritten (einen „eID-Dienstleister“ i. S . einer Auftragsdatenverarbeitung) auslagern können? 4% 9% 50% 37% Ja Vielleicht Nein Weiß nicht Ja 27 Vielleicht 20 Nein 2 Weiß nicht 5 19 | S e i t e 23. Welche der genannten oder möglichen Prozessbeteiligten sollten aus Ihrer Sicht die Funktion des „eID-Dienstleisters“ für mittelständische Unternehmen übernehmen? (Mehrfachnennung möglich) E-Commerce Plattformbetreiber 46% Payment Service Provider und Banken / Kreditinstitute ERP- und CRM-Systemanbieter 44% 4% IT-Service-/ IT-Netz-Anbieter 35% Trustcenter als eID-Spezialisten 56% Andere nicht genannte Weiß nicht 15% 9% E-Commerce Plattformbetreiber 25 Payment Service Provider und Banken / Kreditinstitute 24 ERP- und CRM-Systemanbieter 2 IT-Service-/ IT-Netz-Anbieter 19 Trustcenter als eID-Spezialisten 30 Andere nicht genannte 8 Weiß nicht 5 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 20 | S e i t e 24. Was würde Ihrer Meinung nach die Nutzung der eID-Funktion des neuen Personalausweises durch die Internetkunden positiv beeinflussen? (Mehrfachnennung möglich) Die Unterstützung der Funktion durch Online-Anbieter 65% Die Unterstützung der Funktion durch Zahlungs- und Finanzdienstleister 63% Zusätzliche Anreize beim Einsatz der Funktion durch Online Händler 57% Einfache und benutzerfreundliche Handhabung 76% Kostengünstige Anschaffung der für die Nutzung notwendigen Hard- und Software (bspw. die Anschaffung von Lesegeräten) 70% Einfache Einrichtung (Installation) und Inbetriebnahme 63% Ein erkennbarer und nachvollziehbarer Sicherheitsgewinn Weiß nicht 70% 0% Die Unterstützung der Funktion durch Online-Anbieter 35 Die Unterstützung der Funktion durch Zahlungs- und Finanzdienstleister 34 Zusätzliche Anreize beim Einsatz der Funktion durch Online-Händler 31 Einfache und benutzerfreundliche Handhabung 41 Kostengünstige Anschaffung der für die Nutzung notwendigen Hard- und Software (bspw. die Anschaffung von Lesegeräten) 38 Einfache Einrichtung (Installation) und Inbetriebnahme 34 Ein erkennbarer und nachvollziehbarer Sicherheitsgewinn 38 Weiß nicht 0 Befragte konnten mehr als eine Auswahl treffen, daher kann die Gesamtsumme mehr als 100% betragen. 21 | S e i t e 25. Würde eine mobile Nutzungsmöglichkeit der eID-Funktion im Zusammenwirken mit dem Handy, Smartphone oder Tablet-PC (mit eingebautem Lesegerät und vorkonfiguriertem eIDClient) Ihrer Meinung nach die Akzeptanz der Internetnutzer für den Einsatz der eID-Funktion erhöhen? 0% 6% 26% Ja Vielleicht 68% Nein Weiß nicht Ja Vielleicht Nein Weiß nicht 37 14 3 0 22 | S e i t e Anlage B: Potentielle Ansprechpartner 1. Industrie- und Handelskammern (IHKs) IHKs IHK München und Oberbayern IHK Nord Westfalen IHK Schwerin IHK Südlicher Oberrhein (u. a. Freiburg) Südwestfälischen Industrie- und Handelskammer (SIHK) zu Hagen Handelskammer Hamburg 2. Produktentwickler / eShop Betreiber / Payment Service Provider Produktentwickler Atos Worldline Bit-Soft (PersoPay) Bremen Online Services GmbH (bos) Bundesdruckerei CardContact Software & System Consulting CSC Deutschland Solutions GmbH DATEV DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH Deutsche Bahn Deutsche Telekom DSV-Gruppe Easycash ebay Identive GmbH Ingenico IKEA Deutschland GmbH Co KG Intershop ]init[ AG Metro Systems Microsoft OpenLimit Payment network Paypal SAP SIZ Informatikzentrum der Spakassen-Organisation GmbH Strato Telecash VeriFone Vodafone 1|Seite 3. eID Service Anbieter eID Service Anbieter AGETO Atos Wordline Bremen Online Services GmbH Bundesdruckerei DataClearing NRW (KZRN) Deutsche Post - SignTrust epa connect GmbH ]init[ AG Kommunale Datenverarbeitung Region Stuttgart (KDRS) media transfer AG OpenLimit 4. Verbände & Forschungseinrichtungen Verbände & Forschung Arbeitsgemeinschaft Mittelstand Bundesverband deutscher Banken (BDB) Bundesverband des Deutschen Versandhandels e.V. (bvh) Bundesverband der Dt. Volks- und Raiffeisenbanken (BVR) Bundesverband der deutschen Fluggesellschaften Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) Bundesverband Interaktive Unterhaltungssoftware e. V. (BIU) Bundesverband der Computerspielindustrie e.V. (GAME) Deutsches Institut für Vertrauen und Sicherheit im Internet (DIVSI) Dt. Sparkassen- und Giroverband (DSGV) DEHOGA Bundesverband Electronic Commerce Center Stuttgart E-Commerce-Center Handel Fraunhofer FOKUS Handelsverband Deutschland (HDE) Hotelverband Deutschland (IHA) Ibi Research Universität Regensburg Institut für Informationsmanagement Bremen GmbH (ifib) ISPRAT Mittelstandsverbund (ZGV) Universität Bochum – Lehrstuhl für Internet- und Datensicherheit Union Mittelständischer Unternehmen e. V. (UMU) 2|Seite