Die eID-Funktion als Vertrauensanker

Transcription

Die eID-Funktion als Vertrauensanker
O. Keitzel*, Dr. W. Zimmer*, E. de Vries*,
Prof. Dr. H. Kubicek**, Dr. M. Wind**
* CSC Deutschland Solutions GmbH
** Institut fu r Informationsmanagement Bremen (ifib)
GmbH
Mittelstandsoffensive Neuer Personalausweis
Expertise und Handlungsempfehlungen für die Etablierung
zentraler eID-Infrastrukturen für den Mittelstand
Die eID-Funktion als Vertrauensanker im E-Commerce
Berlin 2012
1
Eine Expertise der CSC Deutschland Solutions GmbH und
des Instituts für Informationsmanagement Bremen
Im Auftrag und mit Unterstützung des BMI
Berlin, 29.10.2012
2
Zusammenfassung
Das Internet verändert die Welt für die Unternehmen wie für die Verbraucher. Das
World Wide Web wird in einem atemberaubenden Tempo zum Knotenpunkt sozialer
und wirtschaftlicher Aktivitäten. Vor allem Einkaufen über das Internet wird von den
Verbrauchern zunehmend als Verbesserung der Lebensqualität empfunden, es spart
Zeit und in vielen Fällen auch Geld. Trotz aller Begeisterung aber, herrscht bei den
Verbrauchern wie auch den Unternehmen nach wie vor eine große Verunsicherung.
Verbraucher wie Unternehmen fürchten den Missbrauch ihrer Daten und den daraus
entstehenden wirtschaftlichen Schaden. Neben modernen physischen Infrastrukturen
wie Cloud Computing ist daher Sicherheit eine wesentliche Voraussetzung für die Akzeptanz und damit auch für die weitere Entwicklung von E-Commerce.
Der neue Personalausweis eröffnet mit der eID-Funktion die Möglichkeit, sich
auch im Internet verlässlich auszuweisen und die gegenseitige Vertrauensbasis beim
Online-Einkauf zu stärken sowie den Missbrauch von Daten bei der Kommunikation
über das Internet zu verhindern. Darüber hinaus ist die Nutzung der eID-Funktion des
neuen Personalausweises imstande, den Unternehmen eine hohe und zuverlässige Datenqualität zu verschaffen, und auf dieser Basis eigene Geschäftsprozesse zu verschlanken und effizienter zu gestalten.
Die Ergebnisse einer Online-Umfrage unter 54 Schlüsselanwendern von Verbänden, eID-Serviceanbietern, Produktentwicklern und Forschungseinrichtungen bestätigen, dass Identitätsdiebstahl und Identitätsmissbrauch im Internet den Wunsch der
Verbraucher wie der Händler nach verlässlichen und sicheren Instrumenten und Prozeduren zur zuverlässigen Feststellung elektronischer Identitäten im Netz verstärken.
Neben dem Datenschutz und der Datensicherheit wird vertrauenswürdigen elektronischen Identitäten im E-Commerce eine besondere Bedeutung zugerechnet. Jeder zweite der Teilnehmer an der Umfrage hält bspw. die bestehenden Sicherheitsmechanismen für die Registrierung/Anmeldung von Kunden auf E-Commerce-Plattformen für
nicht ausreichend. Das unterstreicht die Relevanz des Themas und des Engagements
des BMI.
Im E-Commerce kommt der Nutzung der eID-Funktion damit vor allem die Rolle
einer präventiven Innovation zu. Sie erhöht die Sicherheit der Transaktion über das
Internet, indem sie die Authentizität der Transaktionsteilnehmer wie auch der Transaktion selbst stärkt, auf Seiten der Händler bspw. durch die Erfassung fälschungssicherer und fehlerfreier Kundendaten. Der mit dem Einsatz der eID-Funktion in Aussicht gestellte Sicherheitsgewinn durch die Bereitstellung zuverlässiger und geschützter elektronischen Identitäten kann jedoch nur eingelöst werden, wenn ausreichend
Leistungen und Produkte zur Verfügung stehen, die die Nutzung unterstützen bzw. eine Unterstützung erwarten lassen. Ohne eine breite Allianz der Stakeholder über die
3
gesamte Wertschöpfungskette im Kontext von E-Commerce ist deshalb ein nachhaltiger Erfolg im Einsatz und der Nutzung der eID-Funktion kaum zu erwarten. EGovernment alleine ist kein ausreichender Treiber für den Einsatz der eID-Funktion.
Gleichwohl, ohne anspruchsvolle E-Government Anwendungen, die die eID-Funktion
nutzen, ist eine überzeugende Nachfrage nicht gegeben.
Darüber hinaus unterstreichen die Umfrageergebnisse, dass im Zusammenhang
mit der Zusicherung einer Erhöhung des Datenschutzes und der Datensicherheit eine
mobile Nutzungsmöglichkeit der eID-Funktion derzeit die aus Sicht der Verbraucher,
und hier vor allem im Kundensegment der internetaffinen Verbraucher, die attraktivste Lösung darstellt. Das entscheidende Argument ist hier vor allem Komfort, der sichere Einkauf „anywhere“ and „anytime“.
Insgesamt legen die von Autoren ausgewerteten Quellen und die Online-Umfrage die
folgenden Schlussfolgerungen nahe:



4
Bürger wie Wirtschaft gehen berechtigterweise davon aus, dass der mit dem
Einsatz der eID-Funktion zugesicherte relative Nutzengewinn (Sicherheit und
Komfort bei Online-Transaktionen für Unternehmen wie Nutzer) vornehmlich
auch in attraktiven Anwendungsszenarien von eGovernment seinen Niederschlag finden sollte. Bund, Länder und Kommunen sollten daher mit attraktiven Angeboten für die Nutzung der eID-Funktion vorangehen.
Die Nutzung der eID-Funktion im Handel mit Waren und Dienstleistungen
über das Internet ist ohne die Etablierung eines Akzeptanznetzwerkes und
Anreizen über die gesamte Wertschöpfungskette hinweg wenig erfolgversprechend. Die Etablierung eines solchen Akzeptanznetzwerkes von E-Commerce
Stakeholdern sollte durch das BMI politisch initiiert und moderiert werden. Es
ist naheliegend, sich in einem solch vertieften politischen Dialog vor allem der
aktiven und öffentlichkeitswirksamen Unterstützung der Unternehmens- und
Branchenverbände zu versichern. Eine konzertierte oder zumindest abgestimmte Aktion mit dem BMWi (Stichwort: Mittelstandpolitik) und dem BMF
(Stichwort: SEPA) sowie der deutschen Kreditwirtschaft (Stichwort: SEPA Begleitgesetz ab 2014) wäre dabei sicher hilfreich und könnte einem solchen Dialog eine angemessene Bedeutung und in der Folge auch ein angemessenes Interesse auf Seiten der Unternehmens- und Branchenverbände verleihen.
Der Einsatz der eID-Funktion beim Kauf von Waren oder Dienstleistungen
über das Internet erlaubt eine sichere Altersverifikation der Konsumenten.
Damit ist nicht nur eine Prüfung der Geschäftsfähigkeit beim Verkauf hochpreisiger Waren oder Dienstleistungen (i. S. von § 110 BGB – „Taschengeldparagraph“) möglich, sondern kann zudem der Verkauf altersbeschränkter Medien, Waren und Dienstleistungen zuverlässig verhindert und hieraus folgend
auch ein wirksamer Beitrag zur Suchtprävention (Stichworte: Genussmittel
und Spielsucht) geleistet werden. Davon ausgehend sollten durch das BMI Gespräche zwischen den betroffenen Internetdienstleistern, eID-ServiceProvidern, den zuständigen Aufsichtsbehörden und Ressorts in Gang gebracht
und ggf. auch moderiert werden, die dazu beitragen, die Bereitschaft der Online-Dienstleister wie auch der Offline-Dienstleister zur Nutzung der eID-



Funktion für eine sichere und zuverlässige Altersverifikation nachhaltig zu befördern.
Die Expansion internetfähiger Mobilgeräte in allen gesellschaftlichen Bereichen ist nicht zu übersehen. Nahezu jeder nutzt heute ein Smartphone oder
ein Tablet, um mobil ins Internet zu gehen. Die Umfrageergebnisse bestätigen,
dass mobile Nutzungsmöglichkeiten der eID-Funktion des neuen Personalausweises die Akzeptanz bei den Verbrauchern deutlich erhöhen würde. Das
BMI sollte daher Entwicklungen fördern und unterstützen, mit denen es möglich wird die Sicherheit der elektronischen Identität des neuen Personalausweises auf mobilen Endgeräten zu nutzen oder gar zu übertragen.
Der Einsatz der eID-Funktion als Authentifikationsinstrument an POSTerminals ist technisch an eine ganze Reihe sehr voraussetzungsvoller Annahmen geknüpft, deren Umsetzung einen deutlichen Aufwand auf Seiten der
Händler nach sich ziehen würde. In diesem Zusammenhang sollte das BMI daher auch die Möglichkeit prüfen, die eID-Funktion des neuen Personalausweises auch offline, d. h. ohne augenblicklichen Anschluss an einen eID-Service
Provider, an Automaten, Terminals und Zugangssystemen einsetzen zu können. Das würde dem Handel neue Handlungsoptionen für kundenfreundliche
und zugleich sichere Lösungen eröffnen. Das BMI könnte für eine solche Prüfung das BSI mit der Durchführung technischer Machbarkeitsstudien beauftragen
Die Bewerbung der eID-Funktion als sicheres und zuverlässiges Instrument
zur wechselseitigen Authentifikation im Internet findet bis heute überwiegend
über „Nischen“medien, wie dedizierte Ausweisportale oder auf Webseiten der
in diesem Umfeld tätigen IT-Unternehmen statt. Jeder Schokoriegel wird heute
aggressiver beworben, als neue und vor allem sichere Geschäftsmodelle rund
um den neuen Personalausweis. Nötig wäre daher die Wiederaufnahme einer
aktiven und öffentlichkeitswirksamen (und darum auch nicht vorrangig technisch getriebenen) Kommunikationsstrategie, die bewusst auch auf die Einbeziehung traditioneller Print- und elektronischer Medien setzt, und vor allem
die Sicherheitseigenschaften der eID-Funktion zielgruppengerecht erläutert.
5
6
Inhaltsverzeichnis
1.
Einführung ................................................................................................................................................. 9
2.
Retail is detail & goes mobile .......................................................................................................... 11
2.1.
Trends und Entwicklungen von E-Commerce im Mittelstand ......................................... 11
2.2.
Optionen für den stationären Handel.......................................................................................... 17
2.3.
E-Payment............................................................................................................................................... 18
3.
E-Commerce – aber sicher? ............................................................................................................. 24
3.1.
Sichere elektronische Identitäten ................................................................................................. 25
3.2.
Schutz personenbezogener Daten im Netz ............................................................................... 29
3.3.
Schadensbegrenzung für die Händler? ....................................................................................... 41
3.4.
Sichere Altersverifikation ................................................................................................................ 43
3.5.
Der Ausweis als „Vertrauensanker“ ............................................................................................. 46
4.
IT Roadmap im E-Commerce .......................................................................................................... 47
5.
Ein erstes Fazit...................................................................................................................................... 55
6.
Explorative Umfrage........................................................................................................................... 61
7.
Schlussfolgerungen ............................................................................................................................. 71
8.
Empfehlungen ....................................................................................................................................... 74
8.1.
Nachhaltige Verankerung der eID-Funktion in attraktiven E-Government
Anwendungen ........................................................................................................................................ 74
8.2.
Aktionsbündnisse und Anreize entlang der gesamten Wertschöpfungskette des
E-Commerce schaffen ......................................................................................................................... 74
8.3.
eID für den Jugendschutz und die Suchtprävention einsetzen ......................................... 75
8.4.
Mobile elektronische Identitäten unterstützen ...................................................................... 76
8.5.
Die eID-Funktion an POS-Terminals?.......................................................................................... 77
8.6.
Die Kommunikation spürbar verbessern .................................................................................. 78
9.
Quellen ..................................................................................................................................................... 79
9.1.
Bücher ...................................................................................................................................................... 79
9.2.
Studien ..................................................................................................................................................... 79
10.
Anlagen .................................................................................................................................................... 81
7
8
1.
Einführung
Das Internet verändert die Welt für die Unternehmen wie für die Verbraucher. Der
Anschluss in das World Wide Web wird in einem atemberaubenden Tempo zum Knotenpunkt sozialer und wirtschaftlicher Aktivitäten. Der digitale Lifestyle ist längst kein
Randphänomen mehr. Einkaufen über das Internet wird von den Verbrauchern zunehmend als Verbesserung der Lebensqualität empfunden, es spart Zeit und in vielen
Fällen auch Geld. Immer mehr auch traditionelle Offline-Händler nutzen daher das Internet als zusätzlichen Kommunikations- und Vertriebskanal für ihre Kunden. Die
Verbraucher ihrerseits schätzen komfortable und reibungslose Prozesse beim Einkauf
auf Distanz: Breite des Angebots, Lieferbedingungen und Zahlungsmodalitäten beeinflussen dabei in erheblichem Maße die Gesamtbeurteilung des Einkaufs im Internet.
Durch den enormen Erfolg von Smartphones und Tablet-Computern gewinnt diese
Entwicklung noch einmal zusätzlich an Dynamik und Relevanz.
Gleichzeitig aber herrscht, trotz aller Begeisterung, sowohl bei den Verbrauchern
als auch den Unternehmen nach wie vor eine große Verunsicherung. Verbraucher wie
Unternehmen fürchten den Missbrauch ihrer Daten und den daraus entstehenden
wirtschaftlichen Schaden. Neben modernen physischen Infrastrukturen wie Cloud
Computing ist daher Sicherheit eine wesentliche Voraussetzung für die Akzeptanz und
damit auch für die weitere Entwicklung von E-Commerce.
Der neue Personalausweis eröffnet mit der eID-Funktion die Möglichkeit, sich
auch im Internet verlässlich auszuweisen und die gegenseitige Vertrauensbasis beim
Online-Einkauf zu stärken sowie den Missbrauch von Daten bei der Kommunikation
über das Internet zu verhindern. Darüber hinaus ist die Nutzung der eID-Funktion des
neuen Personalausweises imstande, den Unternehmen eine hohe und zuverlässige Datenqualität zu verschaffen, und auf dieser Basis eigene Geschäftsprozesse zu verschlanken und effizienter zu gestalten. Vor diesem Hintergrund beschäftigt sich die
vorliegende Expertise mit der Frage, welche Hemmnisse zu überwinden, resp. Voraussetzungen zu schaffen sind, um Online-Händlern wie Verbrauchern einen verstärkte Nutzung der eID-Funktion nahelegen zu können.
In Kapitel 2 versuchen die Autoren absehbare Trends im E-Commerce darzustellen, um daraus schlussfolgernd im Kapitel 3 vor allem sicherheitsrelevante Themen
im Kontext des Online-Handels zu würdigen. Kapitel 4 widmet sich aktuell absehbaren
Entwicklungen im IT-Dienstleistungssektor. In Kapitel 5 unternehmen die Autoren
den Versuch, ausgehend von den in den vorangegangenen Kapiteln beschriebenen
Trends und Entwicklungen in einem vorläufigen Fazit (Thesen) Chancen und Anreize
für die Etablierung einer eID-basierten Infrastruktur im E-Commerce zusammenzufassen.
Ziel der Expertise sind Handlungsempfehlungen zum Vorgehen bei der Gewinnung
von Stakeholdern für die Erweiterung eines Aktionsbündnisses des BMI zur Förderung des Einsatzes des neuen Personalausweises im E-Commerce, hier insbesondere
im Mittelstand. Die in Kapitel 5 formulierten Thesen sind daher Ausgangspunkt und
Grundlage für die Planung und Durchführung explorativer Interviews mit ausgewählten Stakeholdern, insbesondere Vertretern von Handelsorganisationen, Finanzinstitu-
9
ten und E-Payment-Plattformen sowie IT-Dienstleistern. Ziel dieser Expertengespräche ist die Prüfung der in Kapitel 5 formulierten Thesen. Den Expertengesprächen
liegt ein gemeinsamer mit dem BMI ausgearbeiteter Fragenkatalog zugrunde (Kapitel
6), die Ergebnisse der Gespräche werden in Kapitel 7 dargestellt und bewertet. Kapitel
8 schließlich beschreibt Handlungsempfehlungen, gruppiert nach möglichen Zielgruppen (Ansprechpartnern wie Verbraucher, Online-Händler und IT-Dienstleister)
und denkbaren Konstellationen (Szenarien), mit denen das Aktionsbündnis zur Förderung des neuen Personalausweises im E-Commerce verbreitert werden kann.
10
2.
Retail is detail & goes mobile
2.1. Trends und Entwicklungen von E-Commerce1 im
Mittelstand
Einkaufen über das Internet ist eine Entwicklung, die alle Demographien in Deutschland durchdringt. Selbst bei den 55- bis 65-jährigen haben neun von zehn bereits online eingekauft.2 Auch so genannte „Traditionalisten“, bei denen der traditionelle Offline-Einkauf, nicht zuletzt wegen des besonderen haptischen Erlebnisses und persönlicher Beratung, immer noch hoch im Kurs steht, nutzen zunehmend das Internet als
Quelle für Informationen über Produkte und Dienstleistungen. So ist es heute selbstverständlich, dass Übernachtungsangebote von Hotels oder Pensionen die Möglichkeit
bieten, sich vorab über das Internet über die Zimmerausstattung und jahreszeitlich
gestaffelte Preisangebote zu informieren. Das bedeutet, nicht nur die InternetBestellung, sondern auch der Web-induzierte Kauf, stationär oder online, spielt im interaktiven Handel mit Produkten und Dienstleistungen eine wichtige Rolle. Grundlage
hierfür sind die Internetpenetration im Allgemeinen sowie die zunehmende Breitbandversorgung im Besonderen. Unübersehbar ist dabei auch, dass die überdurchschnittlich wachsende Verbreitung mobiler Geräte, wie Tabletcomputer und immer
leistungsfähigerer Smartphones, die Affinität zur Online-Information und zum OnlineEinkauf von Produkten wie auch Dienstleistungen weiter verstärkt.3 Dabei stellt sich
gar nicht die Frage, ob der eine Kanal den anderen verdrängt, sondern Internetpräsenz ist ein Service den Unternehmen ihren Kunden anbieten, indem sie sich informieren und kaufen können wann sie wollen und von wo aus sie wollen.
Die Gründe für die unübersehbare auch emotional positive Aufladung des OnlineEinkaufs sind vor allem
1
2
3
E-Commerce (auch Electronic Commerce, elektronischer Geschäftsverkehr, elektronischer
Handel) bezeichnet alle Formen von Handel und Dienstleistungen sowie die dazugehörigen
Geschäftsprozesse (z. B. die Zahlungsabwicklung) im Internet (Quelle: E-CommerceLeitfaden, Universitätsverlag Regensburg 2009, S. 291) Nach dem Gabler Wirtschaftslexikon (siehe unter: http://wirtschaftslexikon.gabler.de/Definition/e-commerce.html) ist ECommerce Teil des E-Business und umfasst jede Art von geschäftlichen Transaktionen bei
denen die Beteiligten auf elektronischem Wege (z. B. über das Internet oder Netzwerke von
Mobilfunkanbietern) miteinander verkehren und nicht durch physischen Austausch in indirektem physischen Kontakt stehen.
Steffens, D. (TNS Infratest): Digitalisierung meets Commerce meets neue Konsumtrends in:
Einkaufen 4.0. Der Einfluss von E-Commerce auf Lebensqualität und Einkaufsverhalten,
Deutsche Post-DHL und tns infratest 2012, S. 22 ff., abgerufen am 17.05.2012 unter:
www.dp-dhl.com
Eine aktuelle, gemeinsame Studie von Otto und Google kommt zu dem Ergebnis, das die
Grenzen zwischen E-Commerce und M-Commerce (also der elektronischen Interaktion
zwischen Unternehmen und ihren Kunden mithilfe mobiler elektronischer Endgeräte) in
den nächsten Jahren zunehmend verschwinden werden (Quelle: Go smart 2012. Always in
Touch, Studie zur Smartphone Nutzung 2012, abgerufen am 26.05. 2012 unter:
http://www.ottogroup.com/media/docs/de/studien/go_smart.pdf
11



die Vielfalt des Angebots und damit einhergehend die Möglichkeit der auf die
jeweilige Lebenssituation zugeschnittenen individuellen Auswahl,
die selbstbestimmte und flexible Informations- bzw. Kaufsituation sowie
ein wachsendes Kompetenzgefühl durch Preistransparenz und Käuferbewertungen: der so genannte „empowered user“ kann selbstbestimmt und sicherer
in dem Universum der Möglichkeiten agieren.
Das Internet ist für die Deutschen zum ebenso beliebten wie geschätzten Einkaufsmarkt geworden und aus Sicht der Dienstleister ein bedeutsamer Marketing – und
Vertriebskanal mit den höchsten Wachstumsraten. Auf Internetpräsenz zu verzichten,
erweist sich immer mehr als Wachstumsbremse. Und, längst ist Produktinformation
bis hin zum Kauf auf Distanz auch ein Thema für Dienstleister die ihre Heimat bislang
vor allem im stationären, eher regional-orientierten Angebot von Produkten und
Dienstleistungen bzw. im traditionellen, Katalog-basierten Versandhandel hatten und
wohl auch weiterhin haben werden. Der Kauf von Produkten „vor Ort“ oder aus dem
Katalog wird in absehbarer Zeit – nicht zuletzt vor dem Hintergrund der demographischen Entwicklung – kaum vollständig vom Online-Handel abgelöst werden.
Der E-Commerce-Markt wächst nach einer Studie der KPMG und des EHI Retail
Institutes in Deutschland seit Jahren und hat im Jahr 2009 erstmalig einen größeren
Umsatz als der Katalogversandhandel aufgewiesen (siehe Abbildung 1).4
Entwicklung im deutschen Versandhandel
(in Mrd. Euro, *Prognose)
40
35
30
25
20
Katalogversand
15
E-Commerce
10
5
0
2006
2007
2008
2009
2010
2011
2012*
Abbildung 1: Gesamtentwicklung im deutschen Versandhandel (Quelle: KPMG)5
Eine vom EHI Retail Institute durchgeführte Marktstudie der 1.000 größten Onlineshops für physische und digitale Güter macht dabei deutlich, dass der größte Umsatzanteil durch solche Shops erwirtschaftet wird, die in mehreren Produktsegmenten
4
5
12
Quelle: www.kpmg.de/docs/20120418-Trends-Handel-2020.pdf
Fn. 4, ebenda S. 20
vertreten sind. Diese so genannten Generalisten bzw. „All-Arounder“ erwirtschafteten
in 2010 mit 8,3 Milliarden Euro rund 36,6% des gesamten deutschen E-CommerceUmsatzes.6
Online-Vertrieb (inkl. Logistik), -Banking, -Kundenservice und –Werbung fristen
natürlich auch im Mittelstand kein Nischendasein mehr, sondern werden längst als
zusätzlicher und ergänzender Vertriebskanal zur Vorteilsgewinnung im Wettbewerb
eingesetzt, wie eine Studie des Bundesministeriums für Wirtschaft und Technologie
zum elektronischen Geschäftsverkehr in Mittelstand und Handwerk für das Jahr 2011
ausweist.7 Danach sehen Mittelstandunternehmen die Nutzung des Internet in der Zukunft für Marketing und Vertrieb nicht zuletzt in innovativen Webangebote und die
stärkere Einbettung von Web 2.0 Elementen in ihre Internetauftritte. Während 2011
die durchschnittlichen Werte dieser E-Commerce-Anwendungen in der Bewertung bei
circa zwei Skalenpunkten liegen, steigen sie in der Einschätzung für 2013 allesamt auf
gut drei von fünf Skalenpunkten an.
0
0,5
1
1,5
2
2,5
Online Werbung
2,12
Innovative Technologien
2,09
Elektronische Rechnungslegung
2,09
Innovative Web-Angebote
2,07
3
3,5
3,28
3,16
Nutzung heute
Web 2.0-Elemente auf der
Webseite
3,11
Nutzung in 2 Jahren
3,09
1,85
3,04
Abbildung 2: Top-Aufsteiger der E-Business Anwendungen (Quelle: BMWi, Fn. 7)
Die erwartete und wohl auch geplante stärkere Einbettung von Web 2.0 Elementen in
die E-Commerce-Plattformen ist vor allem der Tatsache geschuldet, dass sich mit der
Nutzung des Internet ein Wandel vom Verkäufer- über den Käufermarkt hin zum
Marktplatz des individuellen Kunden vollzieht. Die persönlichen Konsumwünsche
werden vor dem Hintergrund kurzlebiger Lifestyle-Zyklen immer differenzierter. Hinzu kommt, dass die Konsumenten dank des Internet die digitale Selbstbestimmung
6
7
EHI Retail Institute, E-Commerce Markt Deutschland 2011, unter:
http://www.ehi.org/geschaeftsbereiche/forschung/e-commerce/marktstudie.html.
http://www.bmwi.de/BMWi/Navigation/Service/publikationen,did=459830.html. Etwa
36% der E-Commerce-Anbieter ihre Wurzeln im reinen Online-Geschäft, ca. 33% haben ihre Heimat im Versandhandel und 21% im stationären Handel (siehe Fn. 6)
13
und –findung nutzen, um sich untereinander zu beraten und auf diese Weise ungefragt zu freien Mitarbeitern der Unternehmen aufsteigen, die mit einem einfachen „Gefällt-mir“-Button imstande sind, die Wertschöpfungsketten maßgeblich beeinflussen.
Die Konsumenten werden zum Impulsgeber für Dienstleistung, Handel und Produktion, denn Kunden informieren Kunden über die Qualität von Produkten und Dienstleistungen (bis hin zum Lieferservice) im Millisekundentakt und das weltweit. Soziale
Medien gehören deshalb unter dem Begriff des „Social Commerce“ bei vielen OnlineHändlern und -dienstleistern immer häufiger zum Portfolio der Kommunikation mit
Kunden. Über die Hälfte der E-Shops hat inzwischen ein Facebook-Profil, fast ein Drittel verfügt über einen Twitter-Account, und elf Prozent nutzen einen eigenen Kanal
bei Youtube. Rund 34 Prozent der Händler bieten Shop- und/oder Produktbewertungen an.8
Die von Management- und Marketingstrategen auch unter dem Stichwort „Consumer Centricity“ zusammengefasste Entwicklung verschiebt die Wertschöpfung zusehends von der industriellen Massenfertigung hin zum individualisierten Produkt“erlebnis“ und gelebten Kundenbeziehungen, die in Empfehlungen wie „das könnte ihnen auch gefallen“ münden.9 Aus einer reinen produktorientierten Dienstleistungsökonomie wird so immer mehr eine Netzwerkökonomie, die imstande ist, die
Bedürfnisse und Wünsche der Konsumenten über die gesamte Wertschöpfungskette
hinweg, d. h. von der Idee über die Herstellung, die Präsentation bis hin zum Vertrieb
zu erfüllen.10 Voraussetzung dafür ist natürlich die Bereitschaft und die Fähigkeit der
Hersteller und Dienstleister zur horizontalen und vertikalen Kooperation. Das Stichwort ist Coopetition, Zusammenarbeit auf Augenhöhe bei gleichzeitigem Wettbewerb.
Mit dieser, ausschließlich auf den Kundennutzen fixierten, Organisationsstrategie ist
es bspw. für Amazon oder Otto überhaupt kein Problem neben den traditionellen
8
9
10
14
E-Commerce Markt Deutschland 2011, Fn. 6, ebenda. Kundengezielte Ansprache in sozialen
Netzwerken unterliegt natürlich naturgemäß anderen Regularien als die bei üblichen Content-Portalen der Fall ist. Denn hier geht es nicht nur um die Animation zum direkten Konsum, sondern auch darum die persönlichen Netzwerke einzubeziehen.
Auch als „Cross-Selling bezeichnet, d. h. das gezielte Angebot zusätzlicher Waren oder
Dienstleistungen als Ergänzung zu einer vom Kunden nachgefragten Leistung. Up-Selling
auf der anderen Seite dagegen bezeichnet das Angebot eines höherwertigen Produktes als
Substitutionsgut zu der nachgefragten Leistung. Die Ziele von Cross-Selling und Up-Selling
stimmen mit denen im stationären Handel überein. Während aber im stationären Handel
der Verkäufer in der persönlichen Interaktion die für ihn relevanten Informationen über
die Wünsche und Vorlieben des Kunden einfach einholen kann, fehlt dem Online-Händler
diese Option und wird durch eine verhaltensbasierte, d. h. in der Regel auf der Analyse des
bisherigen Kaufverhaltens fußende, Zielgruppenansprache ersetzt.
Unternehmen, die ihre E-Commerce-Strategie erfolgreich umsetzen wollen, müssen ihr Geschäftsmodell auf einem integrierten Service aufbauen. E-Commerce, das bedeutet vor allem Logistik und einen außergewöhnlichen Kundenservice. Die entscheidende Serviceleistung beginnt mit der Bestellung, die der Kunde aufgibt, die Bestätigung der Bestellung, über
den Versand bis zur Auslieferung und natürlich die Möglichkeit einer Retoure, all diese
Prozesse werden bestmöglich von einem reaktionsschnellen Kundenservice begleitet. In
der kommunikativen Unterstützung dieser Prozesse liegt der Erfolg eines exzellenten Kundenservices, der Nähe zum Kunden, Zufriedenheit und Vertrauen in das Unternehmen
schafft. E-Commerce stellt deshalb auch besondere Anforderungen an die Logistik.
Marken auch andere Produkte und verschiedene Hersteller oder Lieferanten auf der
eigenen Homepage zu vermarkten.11
Auf diese Weise ist es nicht nur gelungen, Online-Marktplätze zu etablieren, die für die
beteiligten Hersteller und Vertriebspartner auch die Kundenbeziehungen professionalisieren, sondern mit der Erreichung bestimmter Umsatzschwellen kommen natürlich
die üblichen Skaleneffekte hinzu. Die Fixkosten im Vergleich zum Umsatz sinken, was
solche branchen-übergreifenden oder auch branchenspezifischen (wie bspw. das Portal für Herrenmarkenbekleidung http://www.herrenausstatter.de oder der Hotelreservierungsservice http://www.hrs.de) E-Commerce-Plattformen noch wettbewerbsfähiger macht. Im deutschen Internethandel gewinnen daher die großen OnlineHändler immer mehr an Boden. Der Marktanteil der zehn größten E-CommerceAnbieter stieg in den allein in den Jahren 2010 und 2011 von 27 auf 31,5 Prozent. Das
geht aus der von dem auf Handelsthemen spezialisierten Forschungsinstitut EHI und
Statista veröffentlichten Untersuchung "E-Commerce-Markt Deutschland 2011" hervor.12
Ein Ende dieses Konzentrationsprozesses ist nicht abzusehen, nicht zuletzt auch
vor dem Hintergrund, dass viele, vor allem kleine mittelständische Unternehmen
kaum auf Dauer imstande sind, die bei einem Kauf einer E-Shop-Software für die Errichtung und den professionellen Betrieb von E-Commerce-Plattformen notwendige
Kapitalbindung, mit Blick auf die wachsenden Anforderungen hinsichtlich Usability,
Integration
von
Online-Bezahlsystemen,
Logistik,
Customer-RelationshipManagement oder auch Datenschutz und Datensicherheit, einzugehen. Und so drängt
sich natürlich die Frage auf, mit welchen Strategien („kaufen“ und den Online-Shop im
Eigenbetrieb zu vermarkten oder „mieten“) mittelständische Wettbewerber im ECommerce-Umfeld dem noch Paroli bieten könnten.
Der aus betriebswirtschaftlicher Perspektive langfristig attraktivste und von vielen Herstellern und Dienstleistern gewählte Weg ist, sich auf den großen branchenübergreifenden oder auch branchenspezifischen E-Commerce Plattformen „einzumieten“ und so an der deren weiteren Professionalisierung vermittels eines „FullServices“ unmittelbar teilzuhaben.13 Die stationären „Vorbilder“ sind unter Namen
wie bspw. Kauf- oder Versandhaus oder auch Baumarkt geläufig. Sie bilden auch die
11
12
13
Viele, auch klassische Versandhändler, praktizieren online seit langem den so genannten
Long-Tail-Ansatz und binden Vertriebspartner ein, um ihr Sortiment konsequent zu erweitern und Nischensortimente nicht selber beschaffen zu müssen. Amazon bspw. arbeitet
mittlerweile mit 1,2 Millionen kleineren Händlern zusammen, die fast ein Drittel des Amazon-Umsatzes auf sich vereinen (Heinemann, G.: Aktuelle Situation und zukünftige Herausforderungen im E-Commerce, in: Heinemann, G., Haug, A.: Web-Excellence im E-Commerce,
Gabler Verlag Wiesbaden 2010, S. 9).
E-Commerce Markt Deutschland 2011, Fn. 6, ebenda. Neben den beiden Spitzenreitern
amazon.de und otto.de gehören zu den Top zehn des deutschen Online-Handels der Studie
zufolge: neckermann.de, telekom.de, der Elektronikhändler conrad.de, der Textilhändler
bonprix.de, der Buchhändler weltbild.de, das Musikhaus thomann.de, der Computerhändler
notebooksbilliger.de und der Versandhändler baur.de.
Immerhin 33% der Online-Händler sind auf eBay und 30% auf dem Amazon-Marktplatz
präsent.
15
große Gruppe des so genannten Hybrid-Handels, der in beiden Welten, online wie stationär, zu Hause ist. 14
Eine zweite Möglichkeit bietet die wachsende Rolle von Social Media wie bspw.
Facebook zu nutzen, um sich vor allem durch eine intensivere Kundenbeziehung oder
in so genannten Community-Shops, ggf. kombiniert mit stationären „Erlebniswelten“
gegenüber den Branchenriesen zu profilieren.15 Stationäre „Vorbilder“ liefern bspw.
Biomärkte oder auch spezialisierte Handelsketten.
Tabelle 1: Kauf- und Mietshop Vertreiber16
Name
Internetadresse
Art
absofort Erfolg im Internet
GmbH & Co.KG
Data Becker web to date
Da Vinci Technology GmbH
Gambio GmbH
Mondo Shop
Smartstore
Intershop
1&1 Shop
Strato
T-Online
Rakuten Deutschland GmbH
Yagato Shopping
Magento
osCommerce
Oxid
xt:Commerce
www.absofort.de
Kaufshop
www.databecker.de
www.davinci-tec.de
www.gambio.de
www.mondo-media.de
www.smart-store.de
www.intershop.de
www.1und1.de
www.strato.de
www. t-online.de
www.rakuten.de
www.yatego.com
www.magentocommerce.com/de
www.oscommerce.de
www.oxid-esales.com
www.xt-commerce.com
Kaufshop
Kaufshop
Kaufshop
Kaufshop
Kaufshop
Kauf-/Mietshop
Mietshop
Mietshop
Mietshop
Mietshop
Mietshop
Open Source Shop
Open Source Shop
Open Source Shop
Open Source Shop
Eine dritte und ebenfalls zunehmend genutzte Möglichkeit ist der Zusammenschluss
mittelständischer Unternehmen zu einer eher regional orientierten E-Commerce14
15
16
16
Nach einer aktuellen Studie des ECommerce Center – Handel aus dem Jahre 2010 betreibt
fast jeder der befragten Händler einen eigenen Online-Shop, ca. ein Drittel sind auf Internet-Marktplätzen, wie Ebay oder Amazon präsent, selbständige Kleinsthändler bevorzugen
so genannte zShops (Quelle: www.ecc-handel.de/)
In einem Umfeld, in dem der Wettbewerb nur einen Klick entfernt ist, müssen vor allem
hochpreissegmentige Marken darauf setzen, mehr als nur ein Katalog im Internet zu sein.
Hier ist eine Differenzierung zum Wettbewerb nur durch eine kreative und qualitativ
hochwertige Darstellung von Produkten und außergewöhnlichen Service möglich. Käufer
hochwertiger Marken bevorzugen es, online zu shoppen, mehr als die Hälfte besuchen die
Website einer Marke, bevor sie einen Kauf tätigen. Webshops, die vor allem Premium- und
Luxus-Marken anbieten, stellen daher nicht den reinen Abverkauf in den Mittelpunkt ihrer
Strategie für eine Online-Präsenz, sondern versuchen einen „Ort“ zu schaffen, an dem die
Marke mit all ihren Facetten erlebt werden kann und die Identifikation mit einem bestimmten Lifestyle erlaubt.
Quellen: http://www.esales4u.de/2010/e-commerce-markt-analyse-ehi-statista.php,
http://www.netzwelt.de/news/82010_2-erfolgreich-verkaufen-netz-bestenwebshops.html, http://www.2bguide.com/business/20110709/onlineshop-systeme.html
Plattform, die mit der Vermarktung vor allem regionaler Produkte eine besondere
Kundennähe herzustellen imstande ist. Klassisches stationäres „Vorbild“ ist der regionale Wochenmarkt.
2.2. Optionen für den stationären Handel17
Lange Zeit galt das Internet als Bedrohung des stationären Einzelhandels. Der Anteil
des E-Commerce steigt unaufhörlich und in großen Teilen zu Lasten der Marktanteile
der Offline-Händler. Trotzdem werden nach wie vor über 90% des Handelsumsatzes
offline erwirtschaftet.18 Zugleich aber finden „immer mehr mittelständische Facheinzelhändler den Weg ins Internet und kombinieren ihr stationäres Ladengeschäft mit
einem Online-Shop“, so der Hauptgeschäftsführer des Handelsverbands HDE. „Damit
folgen sie den Verbrauchern, die heute ganz selbstverständlich mehrere Einkaufskanäle neben einander nutzen“19. Gerade die Online-Produktrecherche über Suchmaschinen oder Preisvergleichs- bzw. Produktinformationsportalen gehört für große
Teile der Verbraucher mittlerweile zum Alltag. Über zwei Drittel der Online-Händler
möchten deshalb in 2012 ihr Suchmaschinen-Ranking verbessern.20
Obwohl dabei lokale Angebote für den Verbraucher u. U. wichtige Informationen
darstellen, sind diese online immer noch unterrepräsentiert. Im Jahre 2011 betrieben
nach Angaben des Handelsverbandes HDE gerade mal 15% der deutschen Einzelhändler sowohl ein Ladengeschäft wie auch einen Online-Shop.21 Dabei stellt das Internet auch für den stationären Handel ein durchaus relevantes Kommunikationsund Transaktionsmedium dar und im Online-Marketing gelten die gleichen Spielregeln wie im traditionellen Offline-Marketing




Eine gute Lage (Sichtbarkeit) ist von großer Bedeutung
Das Kaufinteresse (Relevanz) des potenziellen Kunden muss geweckt werden
Der Kunde muss die Ware umstandslos erwerben können (Komfort)
Der Kunde muss zurückkommen und nicht die Ware (Zufriedenheit)
Dank der Lokalisierung von Diensten und Inhalten im Netz ist vor allem der Faktor
„Standort“ zu neuem Leben erweckt worden. Die klassische Homepage spielt dabei
nach wie vor eine große Rolle muss jedoch als relevante Ergebnisseite in Suchmaschinen um eine Reihe von Zusatzinformationen ergänzt werden, die bspw. die Verbindung von Angeboten mit physischen Orten (Länder, Regionen, Städte) unterstützen.22
17
18
19
20
21
22
Da der stationäre Handel nicht im Fokus der Expertise stand, werden die Optionen an dieser Stelle ohne Anspruch auf Vollständigkeit nur kurz gestreift.
Quelle: Mittelstand goes Internet, abgerufen am 26.95.2012 unter
http://www.einzelhandel.de/pb/site/hde/node/1368975/Lde/index.html
Siehe Fn. 18, ebenda
E-Payment Barometer 4-2011 der ibi Research an der Universität Regensburg GmbH, abgerufen am 26.05.2012 unter: http://www.ibi.de/e-payment-barometer.html
Siehe Fn. 18, ebenda
In der Regel erfolgt dies mit so genanntem „Geotagging“, bei dem Dokumente oder ganze
Webseiten mittels „Metatags“ oder „Microformats“ mit Geokoordinaten versehen werden,
oder durch einfache Ortsangaben. Auf diese Weise ist es vor allem dem mobilen Nutzer
rasch möglich das für ihn nächstgelegene, lokale Angebot zu finden.
17
Neben der eigenen Homepage kommen für Adressierung (Verlinkung) von Online-Angebote natürlich auch zahlreiche lokale oder auch regionale Portale in Betracht,
die häufig eine Mischung aus den klassischen „Vorbildern“ Branchenverzeichnis und
Reiseführer darstellen. Einige dieser Portale haben auch schon mit Erfolg eine mobile
Version bzw. Apps für mobile Endgeräte etabliert. Die eigene Homepage des stationären Einzelhändlers hat vor allem den Vorteil gegenüber den reinen Online-Händlern,
dass sie dem Verbraucher auch gewohnte und direkte Kommunikationskanäle wie Telefon oder Fax bereithalten halten kann.
Eine weitere Form der Vermarktung lokaler, stationärer Angebote stellen digitale
Anzeigen von Prospekten und Beilegern dar, die in lokalen Internetseiten – bspw. Auftritten von Regionalzeitungen im Netz – eingebracht werden können. Prominente Beispiele hierfür sind das Start-up kaufda.de oder allesnebenan.de Portal der Deutschen
Post. Der klare Vorteil: derartige Angebote können nahtlos auf bestehende Kampagnen oder Formate aufsetzen, die dem Verbraucher schon aus dem Offline-Alltag hinlänglich vertraut sind. Kombiniert mit dem klassischen Format der Coupons und Gutscheine lässt sich nicht nur der Anreiz das Ladengeschäft zu besuchen, erhöhen sondern zudem dank Barcode eine lückenlose Nachverfolgung des Coupons vom Ursprung bis zur Ladentheke bewerkstelligen und so der Erfolg von OnlineMarketingkanälen messen.
2.3. E-Payment
Das fehlende Angebot des aus der Perspektive des Kunden bevorzugten Zahlungsverfahrens ist nach dem E-Commerce-Leitfaden23 eine der häufigsten Ursachen für den
Abbruch von Online-Käufen. Etwa 80% der Kunden brechen den Kauf ab, wenn nur
die Zahlung per Vorkasse angeboten wird. Sichere und zuverlässige, effiziente, kostengünstige und vor allem bequem zu bedienende elektronische Zahlungssysteme und
–verfahren sind also eine wesentliche Voraussetzung für die weitere Entwicklung des
elektronischen Handels.
Zu den „Klassikern“ – offline wie online – zählen Rechnung, Vorkasse und Nachnahme. Der Kauf auf Rechnung hat in Deutschland eine ebenso lange Tradition wie
Akzeptanz bei den Kunden, weil er aus ihrer Sicht die Risiken eines Kaufs (hier insbesondere Liefer- und Gewährleistungssicherheit) minimiert und asymmetrisch dem
Händler aufbürdet. Umgekehrt verhält es sich beim Kauf auf Vorkasse, hier ist das Risiko einer verspäteten, unvollständigen oder fehlerhaften Lieferung eindeutig auf der
Seite des Kunden, der Händler dagegen ist gegen Zahlungsausfälle oder auch nur verspätete Zahlungen besser geschützt. Kauf auf Nachnahme ist für beide Seiten misslich,
denn sie bindet die Zahlung stringent an den Lieferzeitpunkt. Ähnlich lassen sich nach
Dannenberg/Ulrich24 auch elektronische Zahlungsverfahren unterscheiden:
Bei den als „Pay-Before“ (oder auch „Pre-Paid) bezeichneten Modellen erfolgt eine Belastung des Kunden vor der eigentlichen Zahlung, indem er sein Zahlungsmedi23
24
18
E-Commerce-Leitfaden der ibi Research an der Universität Regensburg GmbH, Universitätsverlag Regensburg 2009, S. 108
Dannenberg, M., Ulrich, A.: E-Payment und E-Billing. Elektronische Bezahlsysteme für Mobilfunk und Internet, Gabler Verlag Wiesbaden 2004
um (Hard- oder Software) mit Bar- oder Buchgeld auflädt. Prominente Beispiele sind
die elektronische Geldbörse oder ein virtuelles Kundenkonto wie bspw. im Falle
PayPal, einem der, gemessen an der Nutzerzahl, bislang erfolgreichsten Zahlungssysteme im Internet.
„Pay-Now“ Modelle sind dadurch bestimmt, dass der Kunde zu dem Zeitpunkt belastet wird, zu dem der Einkauf im Netz erfolgt. Beispiele hierfür sind Zahlungen per
Online-Überweisung (wie bspw. bei dem von zahlreichen Banken und Sparkassen unterstützten Verfahren giropay bzw. PayPal via Bankkonto) oder elektronische Lastschriftverfahren.
„Pay-Later“ Modelle legen den Belastungszeitpunkt nach dem der Zahlung. Beispielhaft hierfür sind „Inkassosysteme“ (wie Firstgate, T-Pay oder im weiteren Sinne
auch Kreditkarten-basierte Zahlungsverfahren wie bspw. American Express gehören),
die auf der Basis eines vereinbarten Kreditrahmens die Zahlung an den Lieferanten
vorab übernehmen, und dann die über einen gewissen Zeitraum (in der Regel über einen Monat) angesammelten Beträge per Lastschrift vom Referenzkonto des Kunden
abbuchen.
Umsatz unter 500.000 €
Umsatz über 500.000 €
Vorkasse (Zahlung per Überweisung vor Lieferung)
PayPal
55%
52%58%
46%
Rechnung
Kreditkarte
Sofortüberweisung
Lastschrift
Moneybookers
11%
13%
7%
0%
7%
8%
3%
3%
ClickandBuy
tradoria Checkout
mpass
Google Checkout
Bezahlen über Amazon
DHL Checkout
Debitkarte (z. B. Maestro E-Commerce)
Sonstiges
83%
41%
43%
40% 53%
39%
58%
Nachnahme
giropay
88%
83%
77%
1%
3%
1%
0%
0%
3%
0%
0%
0% 8%
2%
5%
Abbildung 3: Zahlungsverfahren im Online-Shop (Quelle: E-Payment Barometer ibi Research25)
25
E-Payment Barometer ibi Research, Fn.20 , ebenda
19
Aus Sicht des Händlers sind sowohl Pay-Before als auch Pay-Now gewissermaßen
„Vorkasse“, denn die Zahlung erfolgt sofort, und darum auch in hohem Maße akzeptiert. Selbst Pay-Later, das aus Sicht des Verbrauchers am ehesten noch dem Kauf auf
Rechnung gleichkommt, ist aus der Perspektive des Händlers auch „Vorkasse“, weil
das Risiko des Zahlungsausfalls durch das „Inkassounternehmen“ getragen wird. Nach
dem E-Payment Barometer der ibi Research26 bevorzugen kleine Händler vor allem
Vorkasse, große auch die Kreditkarte.
Die Entscheidung für ein oder mehrere der angebotenen Zahlungsverfahren ist für
Online-Händler keine leichte Aufgabe, insgesamt stehen allein in Deutschland 40 Zahlungsverfahren mit je spezifischen Vor- und Nachtteilen zur Auswahl. Die wesentlichen Bewertungskriterien aus Sicht der Händler sind vor allem Zahlungssicherheit,
Kosten für die Integration und Kundenfreundlichkeit.
Zu den Erfolg versprechenden Zahlungsmitteln gehören nach Ansicht des Arbeitskreises E-Payment des Bundesverbandes der Dienstleister für Online-Anbieter
(BDOA) e. V. neben den klassischen Zahlungsmitteln, wie Kauf auf Rechnung oder
Vorkasse, die Kreditkarte, das elektronische Lastschriftverfahren und das OnlineBanking giropay.27 Die Kreditkarte ist das weltweit am meisten genutzte Zahlungsmittel, Lastschrift und Zahlung auf Rechnung zählt zu den bevorzugten OnlineZahlungsmitteln deutscher „Netzbürger. Sowohl für die Zahlung mit Kreditkarte wie
auch per Lastschrift oder auf Rechnung ist das Zahlungsrisiko freilich nicht zu übersehen. Nicht zuletzt, weil überraschenderweise nach wie vor mehr als die Hälfte der Online-Händler Lastschriften immer noch manuell – ohne Abfragen von Sperrdateien
oder die Nutzung von Adress- und Bonitätsprüfsystemen.28
Im Durchschnitt bieten deutsche Online-Händler 4,4 Zahlungsverfahren an. Die
Ergebnisse der aktuellen Studie des E-Commerce-Center – Handel über die Bewertung von Internet-Zahlungsverfahren aus Sicht der Händler aus dem Jahre 201029 zeigen, dass zwar weiterhin die traditionellen Zahlungsverfahren wie Überweisung und
Lastschrift dominieren, doch zeigt der Vergleich mit Ergebnissen der letzten Befragungswellen in 2005 und 2007 ein deutliches Plus bei alternativen Verfahren. Vor allem PayPal hat in den letzten Jahren an Bedeutung gewonnen. Ebenfalls zu den Gewinnern zählen die Kreditkarte, Sofortüberweisung.de, Giropay und ClickandBuy.
Wie nicht anders zu erwarten, wird in Bezug auf Kundenfreundlichkeit die Bezahlung auf Rechnung am besten bewertet, gefolgt von der Kreditkarte. Als wenig
kundenfreundlich dagegen gelten Nachnahme, T-Pay und die Vorauskasse.
E-Payment Barometer 4/12, Fn. 20, ebenda
E-Commerce-Leitfaden 2009, Fn. 23, ebenda S. 110. Ob sich das Angebot der B.I.T. Soft
GmbH & Co KG aus Bückeburg künftig auch mit dem neuen Personalausweis bezahlen zu
können (persopay.de), im Internet-Zahlungsverkehr oder am Point-of-Sales etablieren
kann, bleibt abzuwarten. Nicht zuletzt, weil sich das Verfahren hinsichtlich des Bezahlvorgangs durch Hinterlegung eines Referenzkontos wenig von den eingeführten InternetZahlungssystemen unterscheidet. Ein Besuch der Webseite (www.persopay.de) lässt derzeit auch weder Anbieter noch Partner für dieses Vorhaben erkennen.
28 E-Commerce-Leitfaden 2009, Fn. 23, ebenda
29 Quelle: Internet-Zahlungssysteme aus Sicht der Händler, E-Commerce-Center (ECC)-Handel,
www.ecc-handle.de/
26
27
20
0
0,5
1
1,5
2
2,5
3
3,5
Rechnung
Kreditkarte
Finanz-/Ratenkauf
Lastschrift
PayPal
Giropay
Sofortüberweisung.de
Treuhandverfahren
Amazon Flexible PS
Geldkarte
Mobiles Bezahlen
ClickandBuy
PaySafecard
Nachnahme
T-Pay Micro Money
Vorauskasse
Abbildung 4: Bewertung der Kundenfreundlichkeit. Skala von 1 = "Sehr kundenfreundlich" bis 5 =
"Überhaupt nicht kundenfreundlich"30
Mit Blick auf Zahlungssicherheit wird natürlich Vorauskasse am besten bewertet. Das
gilt auch hinsichtlich der Kosten, hier gefolgt von der Lastschrift, Sofortüberwüberweisung.de und der Zahlung nach Rechnung. Bemerkenswert ist dabei, dass sich Lastschrift und Zahlung nach Rechnung trotz des Ausfallrisikos unter den Top 4 befinden.
Eine deutliche Verbesserung in der Kostenwahrnehmung haben in den letzten Jahren
PayPal und giropay erfahren.31
Am E-Payment-Geschäft sind in der Regel mehrere „Akteure“ beteiligt, wie die
nachfolgende Abbildung für das Kreditkarten-basierte Transaktionen veranschaulicht.

30
31
32
Der Acquirer (Kartenakzeptanzunternehmen ist ein Unternehmen, das mit
Händlern (Ladengeschäfte, Online-Shops) einen Kreditkartenakzeptanzvertrag für Zahlungsgeschäfte abschließt. Er benötigt hierfür die Autorisierung
(Lizenz) der entsprechenden Kartenorganisation (MasterCard, Visa, American
Express). Der Händler erhält eine Vertragsunternehmernummer für jede Kreditkarte, die dazu dient, den Händler gegenüber den Kreditkarteninstituten zu
identifizieren.32
Quelle: Internet-Zahlungssysteme aus Sicht der Händler, Fn. 29, ebenda
Quelle: Internet-Zahlungssysteme aus der Sicht der Händler, Fn. 29, ebenda
Ein nicht ganz unumstrittenes Urteil des BGH vom 16. April 2002 hat allerdings dazu geführt, dass Kartenakzeptanzunternehmen keine Verträge mehr mit Online-Händlern abschließen oder bestehende kündigen, resp. sich wie bspw. Eurokartensysteme ganz aus
dem Markt zurückziehen. Nach diesem Urteil gilt ein solcher Vertrag als allgemeines
Schuldanerkenntnis, das bedeutet ein Akzeptanzhändler muss den Händlern für sämtliche
Kreditkartenumsätze
eine
Zahlungsgarantie
einräumen
(siehe
dazu
http://www.netlaw.de/urteile/bgh_19.htm).
21


Der Issuer ist ein Unternehmen, i. d. R. die Bank bei der die Kreditkarte beantragt wird, dass mit dem Kunden einen Kreditkartenvertrag abschließt und
ihm eine Kreditkarte des Unternehmens aushändigt.
Der Payment Service Provider (PSP) ist ein Unternehmen (in der Regel ein ITDienstleister), das Zahlungsdienstleistungen anbietet, wie etwa die Übermittlung von Kreditkarten- und sonstigen Zahlungsdaten, und die technische Anbindung von Online-Shops (oder auch stationären Ladengeschäften) zur elektronischen Abwicklung von Zahlungstransaktionen ermöglicht.
Abbildung 5: Beteiligte an Kreditkartenzahlungen (nach E-Commerce-Leitfaden, Fn. 23, S. 138 )
Den Markt für Kreditkarten teilen sich in Deutschland im Wesentlichen vier Unternehmen: Euro/Master-Card, Visa, American Express und Diners Club. Dabei sind die
Kreditkarten am Gesamtumsatz des deutschen Einzelhandles nur mit 5% beteiligt, die
Deutschen zahlen am liebsten bar.33
Die Einschaltung eines Payment Service Providers hat den Vorteil, dass er die
Transaktionen im Netz abwickelt und auch Plausibilitäts- und Gültigkeitsprüfungen
durchführt. Der Händler erhält lediglich einen Report über die vorgenommenen
Transaktionen und die Gutschriften auf sein Konto.
33
22
http://de.statista.com/themen/108/kreditkarten/
Tabelle 2: Payment Service Provider für Kreditkartenabrechnung (Quelle: E-Payment und EBilling, Fn. 24, S. 106)
Anbieter
Zahlarten
Pago eTransaction Services
www.pago.de
Kreditabrechnung (SSL, Verified by Visa-VbV )
Elektronisches Lastschriftverfahren
Online Überweisung
Paybox
Rechnung, Nachnahme, Vorauskasse
Kreditabrechnung (SSL, Verified by Visa, MasterCard Secure
Code)
Elektronisches Lastschriftverfahren
Geldkarte
Kreditkartenabrechnung (SSL, SET, VbV)
Elektronisches Lastschriftverfahren
Mobile Payment (Street Cash)
Prepaid (paysafecard)
Kreditkartenabrechnung (SSL)
Kreditkartenakzeptanz-Vermittlung
Elektronisches Lastschriftverfahren
Globale Abrechnung
Micropaymentsysteme
Kreditkarten Clearing (SSL und SET)
Elektronisches Lastschriftverfahren
Internationales Lastschriftverfahren
Paysafecard, Paybox
Innovative Verfahren, wie z. B. D2 Vodafone Pay (Mobile)
Computop
Wirtschaftsinformatik GmbH
www.computop.de
Inatec GmbH
www.powercash21.de
WebTRADE.NET GmbH
www.webtrade.net
Wire Card AG
www.wirecard.com
Am Point of Sale werden die meisten Umsätze, neben der klassischen Barzahlung mit den von
Kreditinstituten ausgegebenen Debitkarten (ec-Karten oder Maestro-Karten) getätigt (73%),
gefolgt von den klassischen Kreditkarten Visa, MasterCard, American Express und Diners Club
(20%) sowie Tank- und Handelskundenkarten (7%).34 Etwa die Hälfte des Kreditkartenumsatzes stammt dabei nach Godschalk aus dem genannten Travel & Entertainment Bereich: Hotels,
Restaurants, Tankstellen, Bahn- und Fluggesellschaften. Der Umsatz mit Handelskundenkarten
stagniert nach seiner Einschätzung. Bei einigen Kartenportfolios wird die Zahlungsfunktion
durch ein Co-Branding mit Visa oder MasterCard ersetzt. Belastbare Aussagen über mögliche
substituierende Wirkungen von Kartenzahlungen gegenüber dem Bargeld sind aber auch nach
Godschalk mangels fundierten Datenmaterials kaum möglich. 35
34
35
Godschalk, H.: Zahlungsverhalten am Point of Sales in Deutschland –aktuelle Entwicklungen, in: Lammer, T. (Hrsg.): Handbuch E-Money, E-Payment & M-Payment, Physica Verlag
Heidelberg 2006, S. 35.
Godschalk, H. (2006), Fn. 34, ebenda, S. 41
23
3.
E-Commerce – aber sicher?
Entscheidende Erfolgsfaktoren für die Akzeptanz elektronischer Bezahlsysteme und –
verfahren sind für den Verbraucher wie für den Händler Sicherheit (Schutz vor Zahlungsausfällen sowie Sicherheit und Vertrauen für den Konsumenten), geringe Transaktionskosten, einfache Handhabung und flexible Einsatzfähigkeiten. Nicht zuletzt
auch vor diesem Hintergrund ist erklärlich, warum offline initiierte Bezahlverfahren
wie Rechnung, Nachnahme oder Vorauskasse ungeachtet zahlreicher elektronischer
Alternativen die Bezahlung im Internet immer noch dominieren.36
Im elektronischen Zahlungsverkehr wird Sicherheit – von den Verbrauchern wie
den Händlern - vor allem mit den Begriffen Authentizität, Integrität und Vertraulichkeit (Abhörsicherheit) assoziiert.
Authentizität im elektronischen Zahlungsverkehr bestimmt sich aus der Fähigkeit, die an der Transaktion Beteiligten eindeutig identifizieren zu können. Eine Anforderung, die Verbraucher ebenso haben wie Händler, denn Risiken bestehen diesbezüglich für beide. Die einfachsten Verfahren begnügen sich mit der Abfrage von speziellem Wissen, wie bspw. Benutzername (resp. E-Mail-Adresse) und Passwort. Passwortsysteme sind nicht sehr sicher, da sie bei systematischen Angriffsversuchen oder
gar Schadprogrammen auf dem netzverbundenen Endgerät des Benutzers leicht zu
entschlüsseln oder abzugreifen sind. Die Kombination aus Persönlicher Identifikationsnummer (PIN) und Transaktionsnummer (TAN) verspricht zwar ein Mehr an Sicherheit, allerdings ist auch sie vor Schadprogrammen nicht gefeit, es sei denn der
Kommunikationskanal zur Übermittlung der TAN ist – wie beim mTAN Verfahren –
strikt physikalisch separiert.
Im stationären Handel hat sich eine Kombination aus Besitz (der Karte) und Wissen (PIN) durchgesetzt. Eine zuverlässige (vollständige) Identifikation ist aber auch
hier nicht zu erreichen, wie Betrugsfälle mit gestohlenen Kreditkarten belegen. Für
den Internet-Handel scheitert eine solche Kombination schon an der Tatsache, dass
geeignete Kartenlesegräte bei den Verbrauchern, zumindest nicht in der Fläche, vorausgesetzt werden können. Einen deutlich sicheren Authentifizierungsmechanismus
bieten elektronische Signaturen und Zertifikate, sie sind aber in der Regel zu umständlich und kostspielig für alle Parteien.
Vertraulichkeit und Abhörsicherheit beschreiben die Anforderung, dass vor allem Transaktions- und Zahlungsinformationen, wie Kreditkartennummern und Zahlbetrag eines gekauften Produktes, jederzeit vor unbefugter Kenntnisnahme geschützt
sind. Das größte Interesse an einem solchen Schutz haben naturgemäß die Kunden,
aber auch Händler sind im Besitz von Informationen, die geschützt werden wollen.
Folglich geht es nicht nur um den Schutz bei der Übertragung, sondern auch um den
Schutz gespeicherter Daten, um zu verhindern, dass bei einem „Einbruch“ in eine
Händlerdatenbank Kreditkarteninformationen in unbefugte Hände gelangen und so
einen Schaden zu Lasten des Verbrauchers ermöglichen. Abhörsicherheit bei der
Übertragung lässt sich erreichen, wenn für die Übertragung der Zahlungsinformationen isolierte Netzwerke installiert werden oder die Zahlungsinformationen grund36
24
Dannenberg, M., Ulrich, A., Fn. 24, ebenda S. 67 ff.
sätzlich verschlüsselt werden. Bei der letzteren Lösung bestimmt sich das erreichbare
Sicherheitsniveau vor allem aus den eingesetzten Verschlüsselungsalgorithmen und
den verwendeten Schlüssellängen.
Integrität im elektronischen Zahlungsverkehr meint, dass Zahlungsinformationen unverändert zum Empfänger gelangen, d. h. sowohl vor beabsichtigten wie unbeabsichtigten Manipulationen geschützt werden. Geschützt werden muss dabei der
Zahlbetrag wie auch die Angabe des Zahlungsempfängers. Auch hier eignen sich kryptographische Maßnahmen zur Kontrolle der Integrität wie bspw. die Berechnung und
Übermittlung von Hashwerten über die zu schützenden Daten.
Eine besonders wünschenswerte Anforderung aus Sicht des Verbrauchers ist die
Möglichkeit anonymer Zahlungsvorgänge, die sich vollständig jedoch nur bei Barzahlung, im Internet dagegen kaum realisieren lässt. Aus der Perspektive des Verbrauchers ist ein solcher Wunsch verständlich, um vor allem Profilbildungen über sein
Kaufverhalten zu entgehen. Der Händler dagegen hat ein natürliches Interesse an zuverlässigen Kundeninformationen, wie Name und Adresse, nicht nur um die gekauften
Leistungen auch liefern zu können, sondern darüber hinaus auch, um Zahlungsausfälle rückverfolgen zu können. Im Zusammenhang mit dem elektronischen Zahlungsverkehr wäre ein daraus entstehender Interessenkonflikt möglicherweise zu vermeiden,
wenn man Anonymität im weiteren Sinne als die Fähigkeit versteht, Kundeninformationen soweit vertraulich zu behandeln, dass die Erstellung von Kundenprofilen, wenn
schon nicht verhindert, so doch wenigsten erschwert werden könnte.
3.1. Sichere elektronische Identitäten
Immer neue Formen des Identitätsdiebstahls und des Identitätsmissbrauchs im Umfeld des E-Commerce verunsichern Händler wie Verbraucher gleichermaßen. Vertrauenswürdige elektronische Identitäten als Grundlage einer korrekten und verlässlichen
Authentifikation einer (natürlichen oder juristischen) Person sind daher für die Akzeptanz und die Nutzung transaktionaler Dienste aus dem Netz unverzichtbar.
Aus struktureller Perspektive ist die elektronische Identität einer Person eine
Abbildung (Repräsentation) der charakteristischen Eigenschaften auf eine Menge von
Attributen, die dazu dienen, die Person hinreichend und zuverlässig zu beschreiben.
Aus Prozessperspektive dient eine elektronische Identität der Identifikation einer
Person durch die Auskunft (Offenlegung) der für die Ausführung einer oder mehrerer
Operationen erforderlichen Informationen (i. d. R. eine Untermenge der strukturellen
Perspektive). Vertrauen ist die subjektive Überzeugung von der Wahrhaftigkeit bzw.
Redlichkeit der Handlungen oder Aussagen zwischen einem Vertrauensgeber (engl.
trustor) und einem Vertrauensnehmer (engl. trustee) in einem grundsätzlich unsicheren Beziehungskontext. Sie gründet in den meisten Fällen auf eine erfahrene oder
wahrgenommene Vertrauenswürdigkeit (eigenschaftsbasiertes Vertrauen) oder auf
gemeinsam geteilte Normen (identifikationsbasiertes Vertrauen). Aufgabe der Authentifikation ist, die Korrektheit (und damit Wahrhaftigkeit) einer behaupteten Identität zu kontrollieren.
In der Anonymität des Internet braucht es beides. Denn, so Carlos Solari, früher
Computerspezialist beim Federal Bureau of Investigation (FBI), danach CIO der US-
25
Regierung und heute Vice President Cyber Technology and Services bei CSC warnt:
“Cloud Computing, Mobility, Apps und Big Data hinterlassen große Löcher in der gesamten IT-Infrastruktur, die wir aufgrund der vernetzten Abhängigkeit zwischen den
Applikationen immer weniger schließen können”.37 In einer aktuellen Untersuchung
des Fraunhofer Instituts für Sicherheit in der Informationstechnik von mehreren
Cloud-Speicherdiensten fanden die Experten erhebliche Sicherheitslücken.38 Davon
betroffen waren u. a. die Registrierung, d. h. die unzureichende Authentifikation, die
Transportsicherheit, sowie fehlende Verschlüsselungsfunktionen für den Schutz vertraulicher Daten.
Für die Überprüfung der behaupteten Identität werden i. d. R. so genannte „Credentials“ benutzt, die eine Person zum Nachweis ihrer Identität vorzulegen hat. Derartige „Credentials“ sind in den einfachsten Fällen Benutzerkennung und zugehöriges
Passwort, Tickets (wie bspw. TANs oder softwarebasierte Zertifikate) oder hardwarebasierte Tokens, die von einer vertrauenswürdigen Stelle ausgestellt werden und die
Identität des Benutzers bestätigen. Im Falle hardwarebasierter Tokens muss sich der
Benutzer durch Wissen (PIN) und durch Besitz eines Tokens ausweisen.
In Unternehmensstrukturen wird für die Authentifikation häufig ein RSA
SecureID-Token eingesetzt. Der Authentifikation liegt dabei eine zeitgesteuerte Synchronisation zwischen einem Token und einen internen Server zugrunde. Token und
Server erzeugen in festgelegten Zeitintervallen ein Einmal-Passwort (Tokencode) der
mit einer Kennung des Benutzers (der PIN) kombiniert wird.
Für unternehmensübergreifende, nationale oder gar internationale Authentifikationsprozesse ist ein solches Szenario nicht vorstellbar. Die Europäische Union hat
sich daher auf die Herausgabe nationaler, hoheitlicher eID-Dokumente, der European
Citizen Card (ECC), auf der Basis von Smardcarts verständigt. Die ECC ist eine „smartcard issued under the authority of a government institution, either national or local
and carries credentials in order to provide all or part of the following services:
1) verify the the identity
2) act as an Inter-European Union travel document
3) facilitate logical access to eGovernment or local administration services“.39
Die Spezifikation der ECC umfasste eine Sammlung von ECC Profilen, die jeweils konkrete Kartenanwendungsmodule für die Implementierung spezifizieren. Hinsichtlich
der Herausgeber und Zielgruppen (nationale eID-Karte, Gesundheitskarte, Bürgerkarten oder einfach nur Tickets für den öffentlichen Nahverkehr) macht die ECC Spezifikation keine Einschränkungen. Die Erwartungshaltung der Beteiligten ist jedoch eine
37
38
39
26
Carlos Solari bei der Eröffnung des Security Operations Center (SOC) beim Fraunhofer
Institut FOKUS am 16.05.2012 in Berlin. Am SOC sind neben CSC und Fraunhofer auch
EMC/RSA, McAfee, HP und Sourcefire beteiligt.
SIT Technical Reports: On the security of cloud storage services, March 2012, abgerufen am
25.05.2012 unter: http://www.sit.fraunhofer.de/de/cloudstudy.html
prCEN/TS 15480: Identification card systems – European Citizen Card, Part 1: Physical,
electrical and transport protocol characteristics, Part 2: Logical data structures and security
services, Part 3: ECC Interoperability using an application interface, Part 4: Recommendations for European Citizen Card issuance, operation and use, 2010
begrenzte Anzahl an Kartenprofilen, die in den jeweiligen Mitgliedsstaaten allgemein
und mit vergleichbaren Absichten herausgegeben werden.
Die Entwicklung der European Citizen Card wird durch das europäische Projekt
STORK – Secure identity across bordes linked40- begleitet Ziel von STORK ist die Etablierung einer europäischen Interoperabilitätsplattform, die es Bürgern und Wirtschaft
ermöglicht, ihre nationale elektronische Identität in jedem Mitgliedsstaat für EGovernment-Dienste zu nutzen. Kern des Konzepts ist, eine verteilte Architektur, die,
ungeachtet der teilweise unterschiedlichen Konzepte und Sicherheitsarchitekturen in
den teilnehmenden Mitgliedsstaaten den vertrauenswürdigen und interoperablen
Umgang mit den nationalen eID-Karten und eID-Lösungen unterstützt.
Die deutsche kontaktlose eID-Karte mit einer eID-Funktion, für eine zuverlässige
und kryptographisch geschützte, wechselseitige Authentifikation eines Benutzers und
eines E-Commerce-Partners, sowie einer optionalen elektronischen Signatur, ist das
erste im Kontext der ECC akzeptierte Profil.41
Die Authentisierung zwischen dem „Netzbürger“ und einem Online-Händler auf
Basis der eID-Funktion des neuen Personalausweises veranschaulicht die folgende
Abbildung 6. Hieraus wird vor allem ersichtlich, dass für den zuverlässigen und reibungslosen Einsatz der eID-Funktion eine komplexe PKI-Infrastruktur unerlässlich ist,
die imstande ist, eine sichere bi-direktionale, elektronische Authentisierung auf der
Basis vertrauenswürdiger elektronischer Zertifikate zu gewährleisten.
Abbildung 6: Authentisierungsprozedur mit der eID-Funktion (Quelle: BSI)
40
41
www.eid-stork.eu/
Vgl. hierzu: Eckert, C., Herfert, M., Waldmann, U.: Trends in eID-Security –Public Sector
View. In: Fumy, W., Paeschke, M. (Eds): Handbook of eID-Security, Publicis Publishing Erlangen 2011, S. 73 ff.
27
Ein zentraler Bestandteil dieser PKI-Infrastruktur, neben dem Personalausweis selbst,
ist der eID-Service (Provider). Der eID-Service ermöglicht – aus Sicht des OnlineHändlers – die kryptographisch gesicherte Kommunikation mit dem Ausweis, prüft
dessen Gültigkeit und erhält durch Vorlage eines durch eine vertrauenswürdige Stelle
ausgestellten Berechtigungszertifikates, mit dem sich der Online-Händler gegenüber
dem Personalausweis zu „erkennen gibt“, mit Zustimmung des Ausweisinhabers, die
„Erlaubnis“ Daten aus dem Personalweis auszulesen und dem Online-Händler zu
übermitteln.
Aus Sicht des Personalausweisinhabers ist die Wahrnehmung von Bedeutung,
dass mit der Vorlage des Berechtigungszertifikats dem Auskunft verlangenden Händler ein gewisses Vertrauen entgegengebracht werden kann und er zudem mit der auf
seinem Endgerät installierten Ausweisanwendung die Hoheit über die Bekanntgabe
seiner persönlichen Daten behält. Der eID-Service (Provider) verknüpft auf diese Weise alle Elemente der eID-Architektur - also neuer Personalausweis, Ausweisanwendung auf dem Endgerät des Verbrauchers und Berechtigungszertifikat - sinnvoll miteinander. Er sorgt für ein leistungsfähiges Management und übernimmt die Rolle einer vermittelnden Vertrauensinstanz.
Die Einsatz und die Nutzung elektronischer Identitäten (eID) setzen natürlich voraus, dass der Austausch von Informationen zwischen Anwendern und Anbietern
durch ebenso verlässliche, d. h. vertrauenswürdige und vor potenziellen Angreifern
ausreichend geschützten Hard- und Softwarekomponenten korrekt ausgeführt wird.
Dafür stehen zwei Lösungsmodelle zur Verfügung:


Entweder implementiert der Online-Anbieter die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten Komponenten des eIDService selbst. Er übernimmt damit sowohl die Kommunikation mit der Ausweisanwendung auf dem Endgerät seiner Kunden als auch alle notwendigen
Verwaltungsprozesse.
Alternativ nutzt der Anbieter die Dienste eines externen IT-Dienstleisters, der
einen eID-Service für mehrere Anbieter betreibt und für diese Dienstleistung
vom BSI akkreditiert wurde. Da der Aufbau und Betrieb eigenständiger eIDServices einen hohen finanziellen und personellen Aufwand bedeuten (wie z.
B. die Anschaffung und den Betrieb benötigter und vorgeschriebener sicherer
Hard- und Softwarekomponenten), nutzen Diensteanbieter i. d. R. lieber einen
vorhandenen eID-Service, wie er derzeit durch verschiedene IT-Dienstleister
(siehe Tabelle 3) angeboten wird.
Vor dem Hintergrund, dass allein für Ersteinrichtung eines eID-Service - so Experten
der Branche - mit Fixkosten in Höhe von wenigsten 80.000 € zu rechnen ist und hierzu noch hochspezialisierte Personal- und Wartungskosten für einen 365x24 h Betrieb
hinzukommen, ist der Eigenbetrieb vor allem für Mittelständler kaum eine betriebswirtschaftlich sinnvolle Option. Sinnvoller ist der Einkauf dieser Leistungen von spezialisierten und mit entsprechendem Know-how und qualifizierter sowie durch das
BSI zertifizierter Infrastruktur ausgestatteten EID-Dienstleistern.42
42
28
Die Preismodelle der eID-Dienstleister für die Bereitstellung von eID-Services schwanken
geringfügig um 9.000 € pro Jahr (Quelle: http://www.ccepa.de)
Tabelle 3: eID Service Anbieter (Quelle: http://www.ccepa.de/eid-service-anbieter )
Name
Internetadresse
Atos Wordline GmbH
bremen online services GmbH & Co KG
Bundesdruckerei GmbH
DataClearing NRW
Deutsche Post Com GmbH
epa connect GmbH
]init[ AG für Digitale Kommunikation
Kommunale Datenverarbeitung Region
Stuttgart (KDRS)/ Rechenzentrum Region
Stuttgart GmbH (RZRS)
media transfer AG43
www.atosworldline.de
www.bos-bremen.de
www.bundesdruckerei.de
www.dataclearing-nrw.de
www.signtrust.de
www.epa-connect.de
www.trusted-eid-services.de
www.kdrs.de
www.mtg.de
3.2. Schutz personenbezogener Daten im Netz
Vier Fünftel aller Deutschen ab 14 Jahren, so eine Milieustudie des SINUS-Instituts
Heidelberg im Auftrag des Deutschen Instituts für Vertrauen und Sicherheit im Internet, sind heute im World Wide Web unterwegs, bei den unter 30-Jährigen sind es fast
alle (98%).44
Wer im Internet unterwegs ist, erzeugt – gewollt oder ungewollt – natürlich bei
jeder Handlung in der Online-Welt Datenspuren, die unmittelbar elektronisch weiterverarbeitet werden können. Das Internet ist daher in doppelter Hinsicht für den
Schutz personenbezogener Daten45, d. h. den Schutz von Personen über die Informationen (Daten) verarbeitet werden, von Bedeutung: Zum einen werden immer mehr
Offline-Aktivitäten in die Online-Welt verlagert, wie Online-Einkäufe oder soziale Kontakte. Hinzu kommen die zunehmenden Möglichkeiten, diese Datenspuren - häufig
ohne Kenntnis oder gar Zustimmung des Betroffenen - zu vielfältig nutzbaren und
aussagekräftigen Bewegungsprofilen zu aggregieren sowie die begrenzten Kontrollmöglichkeiten der Nutzer hinsichtlich des Umgangs mit ihren Daten.
43
44
45
Der deutsche IT-Sicherheitsanbieter media transfer AG bietet den eID-Service gemeinsam
mit dem europaweit agierenden norwegischen online ID-Service-Provider Signicat AS an.
Signicat AS betreibt den von media transfer AG entwickelten Identitätsserver mtg-eID.
DIVSI Milieustudie zu Vertrauen und Sicherheit im Internet 2012, S. 9, abgerufen am
17.05.2012 unter: www.divsi.de/divsi-milieu-studie
Der Begriff der personenbezogenen Daten umfasst dabei alle Informationen über eine bestimmte oder bestimmbare natürliche Person, d. h. alle Informationen, die mit einer natürlichen Person in Verbindung gebracht werden können. Maßgebliches Kriterium für die Bestimmbarkeit einer Person ist nach Kühling et al. (Kühling, J. Seidel, C., Sivridis, A.: Datenschutzrecht, C. F. Müller Verlag Heidelberg 2011, ebenda, S. 25) die Möglichkeit ihrer direkten oder indirekten Identifizierbarkeit.
29
Nach der DIVSI Milieustudie, fühlen sich 39% der deutschen Bevölkerung beim
Thema Datenschutz und Datensicherheit im Internet überfordert und verunsichert.
Die Befürchtungen gelten vor allem dem Ausspähen persönlicher Daten (Identitätsdiebstahl) und ihrer missbräuchlichen, kriminellen Verwertung (Identitätsmissbrauch). Verständlich, wenn man bedenkt, dass Kreditkarte und Vorauskasse zu den
verbreitetsten Zahlungsverfahren im Webshop gehören. Dabei sind Internetnutzer
durchaus bereit, persönliche Daten in eine Transaktion einzubringen, wenn sie im
Austausch einen Nutzengewinn erwarten können und ihre Risikowahrnehmung gesenkt wird, indem ihnen das Gefühl vermittelt werden kann, die Kontrolle über die
zur Verfügung gestellten Daten zu behalten.46
Abbildung 7: Internet-Profil verantwortungsbedachter Etablierter (Quelle: DIVSI Milieustudie
2012, Fn. 44, S. 117)
Dass die Skepsis gegenüber der Art und Weise wie im Internet derzeit immer noch mit
diesem Thema umgegangen wird nicht ganz unbegründet ist, illustrieren Beispiele
wie der Datendiebstahl bei der Firma Sony Online Entertainment im Frühjahr 2011
oder der regelmäßig erscheinende Malware-Report der Firma GData, der feststellt,
dass die Anzahl der im Internet kursierenden Schadsoftware allein im 2. Halbjahr
2011 um 6,8% gestiegen ist (siehe Abbildung 8). Vor allem Angriffe mittels professioneller Trojanischer Pferde, die direkt auf den Rechnern der Betroffenen platziert werden, haben in den letzten Jahren rapide zugenommen.47
46
47
30
Meckel, M., Hoffmann, P. von Kaenel A, C.: Sicherheit vs. Privatheit, Studie ISPRAT und des
Instituts für Medien- und Kommunikationsmanagement, St. Gallen Nov. 2011, S.41
Die unter dem Begriff der Trojanischen Pferde subsumierte Schadsoftware ist heute nicht
nur imstande, Eingaben des Computerbesitzers bei Anmeldevorgängen oder Transaktionen
Abbildung 8: Anzahl neuer Schadprogramme seit 2006 pro Jahr (Quelle: GData Malware-Report
2011)
Der britische Journalist Misha Glenny, ein anerkannter Experte für das internationale
organisierte Verbrechen, kommt aufgrund eigener Recherchen zu dem Schluss, dass
sich im Cyberspace längst eine neue Unterwelt gebildet hat, die sich im Netz über
Tricks und Techniken austauscht, Zubehör für das Auslesen von Kreditkarten verkauft
und rund um den Globus gestohlene Daten verschiebt.48 Die heutige Malwareindustrie
ist auch nach Einschätzung von Borges et al. gut aufgestellt und „bietet vom Hosting
der Malware über Infektionskits für Trojanische Pferde bis zu CashoutDienstleistungen ein breites Feld an Dienstleistungen an.“49 In Anlehnung an Begriffe
rund um das Cloud Computing sprechen IT-Sicherheitsexperten daher schon von
„Fraud-as-a-Service“.50
Vor dem Hintergrund dieser Entwicklung ist verständlich, dass 60% der Deutschen die Verantwortung für das Thema Datenschutz und Datensicherheit im Internet
vor allem bei der Wirtschaft und/oder beim Staat sehen, die hierfür die erforderlichen
(technischen und rechtlichen) Rahmenbedingungen schaffen sollen.51 Ori Eisen, ITSicherheitsexperte bringt es auf den Punkt: „Everybody who is part of the network
48
49
50
51
mitzulesen, sondern durch die Infizierung des Master-Boot-Records Kontrolle über das Betriebssystem zu erlangen und so Desktopfirewalls und Virenscanner zu umgehen. Über eine
im Hintergrund agierende Infrastruktur (so genannte Dropzones) werden die gestohlene
Daten und Informationen abgespeichert, bevor sie dort vom Angreifer abgeholt werden. Eine BSI-Auswertung exemplarischer Dropzone-Datensätze aus dem Jahr 2010 zeigt, dass es
Tätern besonders häufig gelang, an Zugangsdaten für deutsche Anbieter von WebmailDiensten sowie für weit verbreitete Handelsplattformen zu gelangen. Das BSI hat allein
2010 86.000 digitale Identitäten im Bereich des Online-Banking gefunden, die zum größten
Teil durch den Einsatz von Schadsoftware erlangt wurden (Quelle: www.bsi.bund.de, Die
Lage der IT-Sicherheit in Deutschland 2011)
Glenny, M.: Cyber-Crime – Kriminalität und Krieg im digitalen Zeitalter, Deutsche VerlagsAnstalt München 2012
Borges, G. Schwenk, J., Stuckenberg, C.-F., Wegener, C.: Identitätsdiebstahl und Identitätsmissbrauch im Internet, Springer Berlin Heidelberg 2011, S. 55
Zit. nach Borges et al., Fn. 49, ebenda
DIVSI Milieustudie, Fn. 44, S. 9
31
needs to care about it. But if everybody cares about it, nobody cares about it, because
there’s is no leadership. The Internet really doesn’t belong to anybody. … but at the
end of the day, the people who need the Internet to survive – Google, Amazon, eBay,
Microsoft, financial institutions and the government - should care about it.“52
Befeuert durch die nicht ganz uneigennützige Lobby- und Pressearbeit der Antiviren-Softwareindustrie belässt es jedoch die Wirtschaft i. d. R. bei dem Versuch die
Verantwortung hierfür an den „Netzbürger“ zurück zu delegieren. Bis heute beschränken sich deshalb Maßnahmen zum Schutz von Daten und Informationen in weiten Teilen auf Schutzfunktionen einzelner Produkte oder Add-on-Technologien, deren
Nutzung letzten Endes dem Endkunden überlassen bleibt. Ein solcher Ansatz funktioniert heute nicht mehr, wenn er es überhaupt je getan hat. Unter IT-Experten ist es
längst ein offenes Geheimnis, dass der Rüstungswettlauf im Bereich der CyberKriminalität auf Basis vornehmlich reaktiver Gegenmaßnahmen kaum zu gewinnen
ist.53 So konnten Greveler und Puls in einem Beitrag zum 11. Deutschen Sicherheitskongress des BSI im Jahre 2009 überzeugend darstellen, dass der technische Aufwand, eine Schadsoftware zu entwickeln, die von keinem der zum Zeitpunkt der Untersuchung mit aktuellen Virensignaturdateien ausgestatten Antivirenprogramme erkannt werden konnte, sich in Grenzen hält.54 Hinzu kommt, dass auch der Internetaffine Normalbürger, kaum in der Lage ist, die Qualität der in einer von Werbeeinnahmen abhängigen IT-Medienwelt beworbenen unterschiedlichen Antivirenprogramme realistisch zu beurteilen, und sich häufig genug bereits mit der sachgerechten
Konfiguration derartiger Werkzeuge überfordert fühlt. Ein Drittel der deutschen
„Netzbürger“, so die DIVSI Milieustudie, bekennt, dass sie ohne die Hilfe kompetenter
Freunde und Bekannter im Internet verloren wären.
Was also fehlt, sind vor allem übergreifende proaktive Konzepte, die sowohl
kryptographische Gegenmaßnahmen in Schutzparadigmen einbeziehen als auch an
die bisherigen Erfahrungen und Gewohnheiten der Nutzer anknüpfen. Gewohnte Mechanismen und Abläufe erzeugen nach Meckel et al. Vertrauen, Brüche in den bisheri52
53
54
32
Eisen, O. in a roundtable discussion; The Future of Authentication, IEEE Security and Privacy, Vol. 10, No. 1, January/February 2012, p. 24
Eine wesentliche Eigenschaft informations-technischer Systeme ist ihre strukturelle und
dynamische Komplexität. Viele Teile und Komponenten interagieren auf der Basis algorithmisierbarer Prozeduren mit vielen anderen auf unterschiedlichen Ebenen und sind so
imstande, auf unterschiedliche Ereignisse in verschiedener Art und Weise zu reagieren. Die
Kehrseite derart komplexer und interdependenter Systeme ist allerdings, dass sie in der
Regel schlecht oder auch gar nicht mit unvorhergesehenen Ereignissen oder auch uneindeutigen Situationen umgehen können. Das macht sie ebenso verletzlich wie angreifbar.
Vernetzung steigert die Komplexität und Interdependenz informationstechnischer Systeme
natürlich um ein Vielfaches und erhöht damit in gleichem Maße die möglichen Angriffsvektoren für ausreichend motivierte und ausgestattete Angreifer. Vernetzte Informationssysteme erleichtern auch die Angriffsmultiplikation, d. h. gleichzeitige Angriffe auf viele Ziele
im Netzwerk von einem einzigen Knoten aus. (Eisen et al.: Cybersecurity – strategische
Herausforderung im Web 2.0, in: Krallmann H., Zapp, A. (Hrsg.): Bausteine einer vernetzten
Verwaltung, Erich Schmidt Verl. Berlin 2012, S. 199)
Greveler, U. Puls, C.: Über den Aufwand Malware auf einem privaten PC zu installieren –
Wie einfach lassen sich Virenscanner und Personal Firewalls umgehen?, in: Tagungsband
zum 11. deutschen Sicherheitskongress „Sichere Wege in einer vernetzten Welt“, SecuMedia 2009, zit. nach Borges et al., Fn. 49, S. 74
gen Gewohnheiten verbunden mit einem hohen Lern- und Umstellungsaufwand dagegen verringern die Bereitschaft, sich mit technischen Innovationen auseinander zu
setzen.55 Alle Erfahrungen zeigen, die Bereitstellung stärkerer Authentisierungsverfahren, wie eben der eID-Funktion des neuen Personalausweises, allein lösen noch
keine größere Nachfrage aus.56 Aus Sicht des „Netzbürgers“ ergibt sich der Nutzen einer solchen Funktion weniger aus einem sicheren, für ihn aber weitgehend abstrakten, Identitätsmanagement, sondern vor allem aus der erkennbaren Fähigkeit im
Rahmen einer gewohnten Infrastruktur einen nachvollziehbaren Zugewinn für die Sicherheit von Transaktionen im Internet – vom Shopping über Banking bis hin zum
Networking – zu realisieren. Die Einführung und Kommunikation innovativer Applikationen für den Einsatz zuverlässiger elektronischer Identitäten hat ohne diesen
Nachweis kaum Aussicht auf Verbreitung. Zukunftsfähige Konzepte sollten dabei zugleich auch neue Trends im Internetverhalten angemessen adaptieren. Dazu gehört
zweifelsohne die Tatsache, dass der Kauf von Dienstleistungen via mobiles Internet
zunehmend an Bedeutung gewinnt. Nach Angaben des Bundesverbandes des Deutschen Versandhandels (bhv) haben bereits 2011 rund ein Drittel aller Smartphonebesitzer Dienstleistungskäufe via mobilem Internet getätigt.57
Wichtigster Anknüpfungspunkt für den Schutz personenbezogener Daten ist der
Begriff der Verarbeitung, im weitesten Sinne also jeder Vorgang im Zusammenhang
mit personenbezogenen Daten, angefangen von der Erfassung, über die Speicherung,
die Weitergabe, bis hin zur Sperrung oder Löschung, unabhängig von der Wahl der
zur Verarbeitung der Daten eingesetzten Technik.
0
10
20
30
40
50
60
Infizierung des Computers mit Malware
61
Ausspähung, illegale Nutzung persönlicher…
43
Betrug beim Online-Banking
33
Betrug beim Online-Einkauf
24
Beleidigungen oder Belästigungen im Internet
10
Mobbing im Internet
7
Andere negative Erfahrungen
6
Ich fühle mich nicht bedroht
70
21
Abbildung 9: Wodurch fühlen sie sich im Internet bedroht? (Quelle: BITKOM, Fn. 58, S. 29)
Dass ihre persönlichen Daten im Internet von Ausspähung und missbräuchlicher
Verwendung bedroht sind glauben nach einer Studie des Branchenverbandes BITKOM
aus dem Jahre 2011 in Deutschland mittlerweile 43% der Internetnutzer (siehe dazu
55
56
57
Vgl. Meckel et al., Fn. 46, ebenda S. 54
Kubicek, H., Noack, T.: Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis, LIT Verlag Dr. W. Hopf Berlin 2010, S. 268
http://www.versandhandel.org/bhv/aktuelles/details/artikel/
33
auch Abbildung 9)58. Dass diese Befürchtungen nicht unbegründet sind, zeigen u. a. die
neuen Datenschutzrichtlinien des Suchdienstes Google 59 , aber auch die Tatsache,
dass nach wie vor Diensteanbieter die Erfassung personenbezogener Daten im Internet ungenügend (kryptographisch) schützen, oder die Nutzer, wie bereits dargestellt,
auf den Selbstdatenschutz in Form von Passwörtern und Betriebssystem-gestützte
Firewalls verwiesen werden. Immerhin 16% der in der BITKOM-Studie befragten Internetnutzer verzichten daher auf jegliche Transaktionen über das Internet.
Eine ebenso sichere wie zuverlässige Selbstvergewisserung auf beiden Seiten der
Internetkommunikation durch eine nachhaltige Integration des Datenschutzes in die
Technik selbst (security by design), wird bis heute jedoch nur sehr zögerlich und zumeist lediglich auf der Basis technischer Hilfskonstrukte umgesetzt.60 Ein ausreichender Selbstvergewisserungsgrad oder Datenhoheit wie durch die eID-Funktion des
neuen Personalausweises wird damit aber nicht erreicht. Ebenso wenig kann mit gewissermaßen „ex post“ aufgesetzten Sicherheitswerkzeugen und Schutzfunktionen
einzelner Produkte dem „Rüstungswettlauf“ mit der Malwareindustrie, wie bspw. dem
so genanntem „Spoofing“, d. h. dem Vortäuschen einer Tatsache, um bspw. über gefälschte Internetadressen, E-Mail oder Kurznachrichten an Daten eines InternetBenutzers zu gelangen, auf Dauer nachhaltig und wirkungsvoll begegnet werden.
Die Situation wird insbesondere durch den Umstand verschärft, dass, um im Internet erfolgreich agieren zu können (von E-Mail Nutzung, über Online-Shopping bis
hin zu Online Banking und der Teilnahme an sozialen Netzwerken), es in den meisten
Fällen notwendig ist, sich auf den entsprechenden Webseiten zu registrieren. Dabei
werden unterschiedlichste persönliche Angaben, nicht selten auch sehr sensible Daten, wie Adresse oder gar Kreditkarteninformationen, an verschiedenen „Orten“ im
Internet hinterlegt. Vor allem Online-Transaktionen sind bei „Netzbürgern“ mit einer
Risikowahrnehmung hinsichtlich des Schutzes der Privatsphäre belegt.
Nach einer Onlineuntersuchung des E-Commerce-Center Handel (ECC Handel) im
Dezember 2011 sind 22% der befragten Internetnutzer auf mehr als 20 Webseiten
mit persönlichen Daten registriert, 4% sogar auf mehr als 50 Webseiten.61
58
59
60
61
Datenschutz im Internet, Quelle: BITKOM 2011, www.bitkom.org
Die wichtigste Änderung ist, dass Google die Nutzerdaten aus allen Produkten verknüpft,
die unter die neue Datenschutzbestimmung fallen - und das sind, mit wenigen Ausnahmen,
so ziemlich alle Angebote des Konzerns. Der Konzern verfolgt dabei vor allem zwei Ziele:
Mit den korrelierten Daten will das Unternehmen zum einen die Werbung effektiver machen, zum anderen die eigenen Produkte verbessern. Die Hoffnung, dass dann mehr Leute
auf die Annoncen klicken und die beworbenen Produkte kaufen, lässt sich gut an die Werbetreibenden verkaufen. De facto handelt es sich dabei um eine Vorratsdatenspeicherung
mit unklarer Aufbewahrungsfrist. CNIL, die französische Datenschutzbehörde, befindet daher, dass die von Google angezeigte „Vereinfachung“ der Nutzungsbedingungen gegen europäisches Recht verstößt (http://t3n.de/news/)
Dazu gehört bspw. auch das nachträglich in den Internet-Protokollstack integrierte Secure
Socket Layer Protokoll (SSL)
Identitätsmissbrauch im Online-Handel – Status quo in Deutschland, eine Studie des ECommerce-Center Handel (ECC Handel) über Sicherheitsrisiken bei der Internetnutzung
aus Verbrauchersicht in Zusammenarbeit mit der SCHUFA Holding AG, März 2012, abgerufen am 06.06.2012 unter http://www.ecc-handel.de/
34
1 bis 5
27,1%
6 bis 10
27,0%
11 bis 20
23,5%
21 bis 30
10,7%
31 bis 50
mehr als 50
7,3%
4,4%
Abbildung 10: Frage-Auf wie vielen Webseiten sind sie mit persönlichen Daten, wie bspw. Name
oder E-Mail-Adresse registriert? (Quelle ECC-Handel, Fn. 61, S. 22)
Bei der Vielfalt der genutzten Dienste und Anwendungen fällt es natürlich selbst erfahrenen „Netzbürgern“ immer schwerer, den Überblick darüber zu behalten, wo sie
vor allem welche Daten abgelegt haben. Die Folge: Zugangsdaten (elektronische Identitäten) auf Handelsplattformen und Online-Shops gehören zu den präferierten Angriffszielen von Internetkriminellen, häufig genug ohne dass dies von den Betroffenen
rechtzeitig bemerkt wird.62 Immerhin 44% der durch die Studie Befragten sind besorgt, dass ihre persönlichen Daten ausspioniert und missbraucht werden könnten.
Dennoch, so die Studie, bringen die wenigsten Internetnutzer ihre Befürchtungen
mit Begriffen wie Identitätsdiebstahl und Identitätsmissbrauch in Verbindung. Eigenangaben, wonach jeder Zehnte Internetnutzer nach seiner Wahrnehmung bereits Opfer eines Identitätsmissbrauchs geworden sei, sind vor diesem Hintergrund daher mit
Vorsicht zu genießen. Die meisten Betroffenen können das was ihnen widerfahren ist,
nicht oder kaum in diesen Zusammenhang einordnen. Auf die Frage welchen Institutionen die „Netzbürger“ am ehesten einen wirkungsvollen Schutz ihrer persönlichen
Daten zutrauen, landen Banken und Kreditinstitute hinter der Polizei überraschenderweise bereits auf dem zweiten Platz. Bei sozialen Netzwerken wird ein sorgsamer Umgang mit persönlichen Daten am wenigstens vermutet. Aber mehr als 40 %
trauen niemandem im Netz einen verantwortungsvollen Umgang mit ihren Daten zu,
mit der Konsequenz, dass sie für den Schutz ihrer persönlichen Daten letztlich selbst
die Verantwortung übernehmen und ggf. auch geeignete Maßnahmen treffen müssen,
bis hin zum Verzicht, sich überhaupt aktiv im Internet zu bewegen.
62
Eine große Gefahr bei Bezahlsystemen wie PayPal bspw. besteht dann, wenn das Bezahlsystemkonto ungenügend geschützt ist. Bringen Betrüger das Passwort eines Kunden in Erfahrung, können sie direkt über sein Konto verfügen.
35
Die Entscheidung über die Preisgabe persönlicher Daten fällt in der Regel vor dem
Hintergrund einer Abwägung über den Umfang erforderlicher Daten einerseits und
dem erwarteten Nutzengewinn andererseits.63
Dabei zeigen Internetnutzer, so Meckel et al., „ein erstaunlich ambivalentes Verhältnis zu ihren persönlichen Daten: Einerseits werden in fast schon exhibitionistischer Weise sensible Daten in vermeintlich privaten Foren und sozialen Netzwerken
publiziert und getauscht … Andererseits regt sich massiver Widerstand, wenn staatliche Ansätze des Identitätsmanagements den Eindruck erwecken, einen Zugriff auf
persönliche Daten zu ermöglichen“64
Polizei
34,2%
Kreditinstitut/Bank
30,7%
Staatliche Behörden
30,3%
Verbraucherzentrale
19,3%
Online-Händler
15,1%
Bundesnetzagentur
11,8%
Wirtschaftsauskunfteien
8,5%
Versicherungen
Soziale Netzwerke
Anderen
Keinem der Genannten
7,2%
3,7%
1,7%
41,8%
Abbildung 11: Frage - Wem trauen sie einen wirkungsvollen Schutz vor dem Missbrauch ihrer Daten zu? (Quelle: ECC Handel, Fn . 61 , S. 27)
Vor diesem Hintergrund ist es wenig überraschend, dass, obwohl seit dem 01.10.2010
mit dem neuen Personalausweis ein Instrument zur Verfügung steht, mit dem das Risiko Opfer einen Identitätsdiebstahls und in der Folge eines Identitätsmissbrauchs zu
werden, deutlich verringert und bei Nutzung der elektronischen Identitätsnachweises
(eID-Funktion) mittels des neuen Personalausweises auch die Gefahr Opfer eine
Phishing-Attacke im Rahmen einer eID-basierten Transaktion zu werden, sogar aus-
63
64
36
Persönliche Daten können nach Meckel et al. (siehe Fn. 46, ebenda S. 33) als eine Art „Währung“ des Internetzeitalters betrachtet werden, denn Online Transaktionen berühren regelmäßig mehr oder weniger die Privatsphäre. Aus dieser Perspektive auf persönlichen Daten als „Tauschmittel“, ist eine Kalkulation möglicher „Gewinne“ und „Verluste“ geradezu
zwangsläufig.
Vgl. Meckel et al., Fn. 46, ebenda S. 2
geschlossen werden kann65, lediglich jeder Zehnte der Befragten, die bereits im Besitz
des neuen Personalausweises sind, die neue eID-Funktion bereits freigeschaltet hat.
Rund 44% dagegen können sich auch in Zukunft eine Nutzung der eID-Funktion nicht
vorstellen. Nicht zuletzt auch, weil sie weder wissen, bei welchen Stellen oder OnlineShops sie die Online-Funktion wofür nutzen könnten, noch verstehen, welche Schutzmöglichkeiten die eID-Funktion zu leisten imstande ist, noch bereit sind die dafür erforderlichen Investitionen (wie der Kauf eines sicheren Lesegerätes) zu tätigen. Hinzu
kommt, dass vor allem die jungen und häufig mobilen Internetnutzer, kaum zu motivieren sind, ein solches - aus ihrer Sicht unhandliches - Lesegerät als ständigen Begleiter zu akzeptieren.
Abbildung 12: Nutzung der eID-Funktion (Quelle: ECC Handel, Fn. 61, S. 31)
Die Ergebnisse zeigen: Vertrauen durch Technik setzt Vertrauen in und Verständnis
von Technik voraus. Technische und ggf. auch verbürgte Zuverlässigkeit ist daher gewiss imstande, das Vertrauen der Nutzer in ihren Gebrauch zu erhöhen. Andererseits
kann man nicht davon ausgehen, dass technische Prozesse und Architekturen des Internet von allen Verbrauchern gleichermaßen oder gar in der erforderlichen Tiefe
verstanden werden. Die in allen Umfragen geäußerten Bedenken hinsichtlich Sicherheit und Datenschutz im Internet führen deshalb auch keineswegs zwingend zu einer
verstärkten Nutzung der zweifellos beeindruckenden kryptographischen Fähigkeiten
des neuen Personalausweises. Kubicek und Noack mahnen daher zu Recht, dass die
65
Borges et al. (Fn. 49 , ebenda S. 191) kommen sogar zu dem Schluss, dass Identitätsdiebstahl, d. h. das unbefugte Sichverschaffen einer Identität (ebenda, S. 11) „mithilfe des neuen
Personalausweises, sofern er keine gravierenden kryptographischen oder technischen
Schwächen aufweist, wirkungsvoll unterbunden werden [kann]. Dies ist eine direkte Folge
aus der Tatsache, dass zum Nachweis der Identität jetzt Besitz (neuer Personalausweis)
und Wissen (PIN) erforderlich ist.“
37
vor allem von IT-Sicherheitsexperten gepflegte Fiktion des „homo securitus“, der nicht
nur willens, sondern auch noch imstande ist, sämtlichen Sicherheitsempfehlungen zu
folgen, wenig hilfreich bei der Erklärung tatsächlichen Verhaltens und der Entwicklung kritischer soziotechnischer Systeme ist.66 Diese Annahme hinterlässt jedoch einen circulus vitiosus von Erwartungen und Verantwortungszuweisung der Bürger an
die Wirtschaft und den Staat und umgekehrt, der so nicht aufgelöst werden kann.67
Die Vollzugswahrscheinlichkeit einer Online-Transaktion könnte jedoch vielleicht gesteigert werden, wenn die Risikowahrnehmung des Nutzers hinsichtlich eines
denkbaren Missbrauchs abgesenkt wird, indem man ihm das Gefühl („zurück“) gibt,
die Kontrolle über die Entscheidung welchen dritten Parteien er bereit ist, persönliche
Daten preiszugeben, zu behalten. Einen Ausweg aus diesem Dilemma böte daher möglicherweise ein Szenario, das imstande wäre einen pragmatischen Kompromiss zwischen dem Bedürfnis der Verbraucher nach größerer Anonymität einerseits, wie dem
Interesse des Händlers an der Minimierung des Risikos eines Zahlungsausfalls andrerseits, zu bewerkstelligen. Ausgangspunkt dabei ist die gewiss nicht ganz ungerechtfertigte Annahme, dass dem Verbraucher nicht daran gelegen ist, jedem OnlineHändler seine Bank- oder Kreditkarteninformationen offenzulegen zu müssen. Bei einem erfolgreichen „Einbruch“ in die Händlerdatenbank würden sensible Informationen Unbefugten ohne Umwege offenbar werden. Hinzu kommt, dass bei jeder Registrierung ein Passwort fällig wird, das i. d. R. in einer Fortschreibung bereits bestehender Passwörter endet und somit alles andere als sicher gelten kann. Auf der anderen
Seite ist dem Händler vornehmlich daran gelegen, das Risiko eines Zahlungsausfalls
zu minieren. D. h. für den Fall, dass in dieses Risiko ein Dritter eintritt, der zugleich
imstande ist, eine Bonitätsprüfung vorzunehmen, wäre dem Händler eine große Sorge
abgenommen. Vor diesem Hintergrund wäre folgendes Szenario denkbar (siehe auch
Abbildung 13): zu dem Zeitpunkt an dem der Kunde beabsichtigt den Besuch einer
Webseite mit einem Kauf eines Produktes oder einer Leistung abzuschließen, wird er
vom Händler, resp. dem in seinem Auftrag agierenden Payment Service Provider zur
Login-Seite seiner Hausbank umgelenkt. Der Kunde muss für diesen Fall lediglich die
Bankleitzahl (BLZ) angeben (hinterlegen). Auf dem Wege dorthin werden die Kaufdaten (Zahldaten, Händler- und Produktbezeichnungen) gleich mitgeliefert und nach
dem Einloggen in die Webseite seiner Bank angezeigt. Anschließend kann er den Kauf
mit einer durch die Bank bereitgestellten TAN bestätigen, der Händler wird von der
erfolgreichen Transaktion informiert und der Zahlbetrag seiner Hausbank gutgeschrieben. Der Vorteile für den Händler sind: die Bonitätsprüfung (Kreditrahmen) des
Kunden wird direkt von der beteiligten Bank des Kunden geprüft, die Benachrichtigung über den erfolgreichen Abschluss erklärt die Zahlungsgarantie durch die Bank.
66
67
38
Kubicek, H., Noack, T., Fn. 56, ebenda S. 289
So soll gemäß § 27 Abs. 3 PAuswG der Ausweisinhaber „durch technische und organisatorische Maßnahmen gewährleisten dass der elektronische Identitätsnachweis … nur in einer
Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist.“ Eine Anforderung, die für den durchschnittlichen Internetnutzer ebenso vage wie
darum auch kaum zu erfüllen sein dürfte.
Abbildung 13: "Anonymisiertes" Online-Bezahlverfahren (Quelle: E-Commerce-Leitfaden, Fn. 23 ,
S. 114)
Die Nachteile eines solchen Verfahrens, aus Sicht des Kunden, sind: hierbei handelt es
sich – im Übrigen ähnlich der Online-Zahlung mittels Kreditkarte - um eine Bezahlung
vor Lieferung, und das notwendige und wiederkehrende Login auf der Bankseite ist
nicht unbedingt komfortabel.
Ein solches Verfahren wird derzeit von 1.500 Banken und Sparkassen unter dem
Namen „giropay“ angeboten (www.giropay.de), eine wirkliche Marktdurchdringung
konnte damit aber bislang noch nicht erreicht werden (siehe auch Abbildung 3). Dabei wird, wie bereits beschrieben der Kunde aus dem Bestellvorgang im Online-Shop
über eine sichere Verbindung direkt mit seinem Online-Banking-Konto verbunden.
Die Vorteile für den Händler liegen auf der Hand: Der Kunde vertraut seiner Bank, das
Verfahren garantiert eine hohe Sicherheit durch die PIN/TAN-Abfrage, und der Händler kommt schnell an sein Geld und erhält eine Zahlungsgarantie.
Völlig anders und vor allem aus Sicht des Kunden komfortabler, gestaltet sich
möglicherweise die Situation, wenn man das Login auf der Bankseite des Kunden
vermittels der eID-Funktion des neuen Personalausweises ausführen kann. Voraussetzung hierfür wäre ein NFC-fähiges Endgerät, das ggf. sogar in der Lage ist, die
Kaufdaten dem Verbraucher anzuzeigen. Die Bestätigung des Kaufs würde auch in
diesem Fall mit einer durch die Bank übermittelten TAN erfolgen, sicherheitshalber
natürlich auf einem von der Verbindung des Netz-PCs getrennten Kanals. Die folgende
Abbildung versucht zu zeigen, wie man auf diese Weise - mit vergleichsweise wenig
Aufwand - imstande wäre, die eID-Funktion des neuen Personalausweises in das alltägliche Online-Geschäft zu integrieren.
39
Abbildung 14: „Mobiles“ Online-Bezahlverfahren giropay mit eID Authentisierung
Der erkennbare Vorteil für den Nutzer: durch den „Umweg“ (Ausführung der Zahlung)
über die Bank, resp. dem Kreditinstitut ist gewährleistet, dass sensible und persönliche Daten ausschließlich zwischen dem Kunden und der Bank ausgetauscht werden.
Kein Dritter erhält insbesondere Einblick in persönliche Kontoinformationen und
Transaktionsdaten. Darüber hinaus wäre ein solches Szenario auch für mobile Nutzer
eine interessante Alternative.
Die Abwicklung der Umleitung auf die Webseite der Kundenbank, wie auch die
Integration der eID-Funktion in das Login der Bank könnten von jeweils verschiedenen und auf die jeweiligen Funktionen spezialisierten Payment Service Providern und
eID-Dienstleistern im Auftrag der Händler resp. der Banken ausgeführt werden.
Ein ähnliches, wie in Abbildung 14 skizziertes Verfahren haben die Kreditkartenorganisationen VISA und MasterCard unter den Bezeichnungen „Verified by VISA“ bzw. „MasterCard
Secure Code“ installiert. In beiden Verfahren registriert sich der Nutzer zunächst bei dem jeweiligen Kartenemittenten und erhält ein spezielles Passwort. Will der Karteninhaber im Internet bezahlen, gibt er zunächst auf der Webseite des Händlers über eine SSL-verschlüsselte
Verbindung seine Kreditkartendaten ein. Das System des Händlers nimmt dann die Kommunikation mit dem Server der Kreditkartengesellschaft auf und stellt eine Authentisierungsanfrage, die vom System des Kreditkarteninstituts an das Endgerät des Karteninhabers weitergeleitet wird. Der Karteninhaber kann sich dann in der zwischen ihm und dem Kreditkarteninstitut
vereinbarten Form (Benutzerkennung, Passwort, Einsatz einer Chipkarte etc.) legitimieren. Ist
die Anfrage erfolgreich, wird die Zahlung veranlasst, anderenfalls muss der Händler die Transaktion abbrechen.
40
Die Bundesdruckerei hat zusammen mit dem IT-Dienstleister XCOM AG und dessen
Bank biw AG eine Lösung vorgestellt, bei der die eID-Funktion des neuen Personalausweises als Legitimation für Online-Banking eingesetzt werden kann.68
3.3. Schadensbegrenzung für die Händler?
Sicherheit im E-Payment bestimmt sich für Händler wie für die Kunden nicht zuletzt
auch daraus, wie sie in einem Schadensfall abgesichert sind. Während jedoch die Risiken für die Verbraucher häufiger in der Öffentlichkeit thematisiert werden, sind negative Erfahrungen der Online-Händler – sicher auch wegen des zu befürchtenden Ansehensverlustes – weniger präsent. Dabei sind es vornehmlich Zahlungsausfälle, die
Online-Händler fürchten und beklagen. In großen Teilen sind diese vor allem einer
unzureichenden Authentisierung der Käufer geschuldet. Häufig genug werden Kreditkarten oder andere Zahlungssysteminformationen von unbefugten Dritten missbräuchlich verwendet oder Adressen falsch eingegeben, um Waren oder Dienstleistungen umzulenken. Darüber hinaus ermöglich unzureichend geschützte Transaktionskanäle mit so genannten Man-in-the-Middle Angriffen, Zahlungsinformationen,
wie Zahlbeträge oder Zahlungsempfänger zu manipulieren. Hinzu kommen zudem
ungedeckte Konten oder einfach nur eine schlechte Zahlungsmoral.
Kreditkarten sind ungültig
52%
Kreditkarte ist gesperrt / Verfügungsrahmen
ist ausgeschöpft
49%
Kunde gibt an, Ware nicht erhalten zu haben
23%
Kreditkarte wurde missbräuchlich verwendet
20%
Kunden reklamiert die Ware
17%
Kunde kann Abbuchung nicht zuordnen
Sonstige Gründe
Gutschrift aufgrund einer Rücksendung wurd
nicht rechtzeitig erstellt
15%
10%
9%
Abbildung 15: Gründe für Zahlungsausfälle bei Zahlungen mit Kreditkarte (Quelle: E-CommerceLeitfaden, Fn. 23, S. 164 )
Ein großer Teil derartig verursachter Zahlungsausfälle lässt sich vermeiden, wenn
durch geeignete Maßnahmen Authentizität, Vertraulichkeit (bei der Übertragung) und
Integrität der Zahlungsinformationen gesichert werden können. Und natürlich können
Online-Händler nur solche Zahlverfahren anbieten, bei denen das Risiko eines Zah68
Quelle: http://www.egovernment-computing.de/fachanwendungen/articles/356018/
41
lungsausfalls eingeschränkt werden kann. Allerdings, selbst im Lastschriftverfahren,
bei dem eine Zahlung unmittelbar eingeleitet wird, hat der Kunde ein Widerspruchsrecht und kann Geld zurückfordern. Überdies sind - wie bereits ausgeführt – Vorkasse-Zahlverfahren bei den Verbrauchern wenig beliebt, so dass sie eher noch den Online-Shop wechseln, als es zu nutzen. Selbst im Falle eines Kreditkartenmissbrauchs ist
der Verbraucher nach geltendem Recht besser gestellt als der Händler, da eine wirksame Weisung ohne Vorlage der Karte und Belegunterzeichnung nicht nachgewiesen
werden kann.69
0
0,5
1
1,5
2
2,5
3
3,5
Vorauskasse
Sofortüberweisung.de
Giropay
Kreditkarte
PayPal
Nachnahme
Treuhandverfahren
Geldkarte
ClickandBuy
Amazon Flexible PS
PaySafecard
T-Pay Micro Money
Mobiles Bezahlen (Handy/PDA)
Lastschrift
Finanz-/Ratenkauf
Rechnung
Abbildung 16: Bewertung der Zahlungssicherheit bei Internet-Zahlungsverfahren Skala von 1 =
"Sehr kundenfreundlich" bis 5 = "Überhaupt nicht kundenfreundlich"70
Das Fazit der ibi Research an der Universität Regensburg GmbH lautet:71 die besten Kundendaten nützen nichts, wenn sie falsch sind. Zahlungsunwillige Kunden oder
gar Betrüger werden immer versuchen, ihre wahre Identität zu verschleiern. Auch
Plausibilitätsprüfungen helfen wenig, wenn es sich nicht um erkennbare falsche Daten
handelt, also die angegebene Adresse oder die angegebene Kredit- oder Kontonummer ggf. tatsächlich existieren, die Karte oder die Informationen jedoch in falschen
Händen sind. Was Not tut, ist eine zweifelsfreie Authentisierung des Kunden, die zuverlässig mit der Autorisierung des Online-Kaufs einer Ware oder Dienstleistung verknüpft werden kann, ergänzt um eine vertrauenswürdige Prüfung der Bonität, bspw.
69
70
71
42
Vgl. BGH Urteil vom 24.09.2002 AZ: Xl ZR 42 0/01, unter www.bundesgericht.de. Mit den
neueren Bezahlmethoden der Kreditkartenorganisationen (Visa 3D-Secure, MasterCard
SPA/UCAF) wird eine Haftungsumkehr (liability shift) vollzogen, durch die eingesetzte Sicherheitsarchitektur wird im Schadensfall zunächst ein Verschulden des Kunden angenommen.
Quelle: Internet-Zahlungssysteme aus der Sicht der Händler, Fn. 30, ebenda
Vgl. E-Commerce-Leitfaden, Fn. 23, ebenda S. 171
4
durch spezialisierte externe Dienstleister. Beides ließe sich bspw. mit dem in Abbildung 14 veranschaulichten Verfahren realisieren.
Umso erstaunlicher ist, dass das Risiko hinsichtlich Zahlungssicherheit bei Zahlung via
Kreditkarte oder PayPal im deutschen Online-Handel als eher gering eingeschätzt
wird.
Zwar wird in den Medien häufig vermutet, dass E-Commerce in hohem Maße von Risiken bei der Zahlungsabwicklung betroffen ist. Die Beobachtungen der durch das ECommerce-center –Handel befragten Unternehmen vermitteln jedoch andererseits
den Eindruck, dass die Mehrheit der Händler eher selten negative Erfahrungen gemacht hat.
1 = sehr häufig
2
3
Rechnung nicht oder nicht vollständig bezahlt
4
5 = nie
20,5
21,0
28,1
22,9
Falsche Kundenadresse
19,4
Nicht-Annahme bei Nachnahme
16,9
19,0
25,1
33,3
Ungedecktes Konto
19,1
18,1
25,0
33,8
Unberechtigte Rückbuchung bei Lastschrift
16,2
Kontoverbindung des Kunden falsch
14,0
Kreditkartennummer des Kunden falsch
8,7
Betrug (z. B. mit fremder Kreditkartennummer)
22,9
14,7
37,7
33,0
18,0
23,0
6,1 14,6
Verlust der Ware bei Zahlung per Nachnahme 4,1 11,8
15,9
26,7
16,7
Unberechtigte Rückbuchung bei… 7,3 13,4
37,9
22,7
23,5
24,6
34,0
45,4
50,5
54,5
59,0
Abbildung 17: Negative Erfahrungen im Internet-Zahlungsverkehr (Angaben in Prozent)72
3.4. Sichere Altersverifikation
Sicherheit im E-Commerce bedeutet auch einen sicheren Jugendschutz – und zwar
sowohl im Sinne eines wirksamen Schutzes der Jugendlichen als auch im Sinne von
Rechtssicherheit für die Anbieter von altersbeschränkten Waren und Dienstleistungen. Für Angebote im Internet (Telemedien) ist rechtlich der JugendmedienschutzStaatsvertrag (JMStV) von 2002 maßgeblich. Danach sind dort näher bezeichnete inhaltliche Angebote (z.B. pornografischer, erniedrigender oder Gewalt verherrlichender Art) nur zulässig, „wenn der Anbieter sicherstellt, dass sie nur Erwachsenen zugänglich gemacht werden.“ (§ 4, Abs. 2) Dasselbe gilt für die abgestufte Altersfreigabe
für entwicklungsbeeinträchtigende Inhalte nach § 5.
Im noch nicht von allen Ländern ratifizierten Novellierungsentwurf von 2010
werden in § 11 die Anforderungen an entsprechende Zugangssysteme definiert. Sie
müssen „gewährleisten, dass eine Volljährigkeitsprüfung über eine persönliche Identi72
Quelle: Internet-Zahlungssysteme aus der Sicht der Händler, Fn. 30, ebenda
43
fizierung erfolgt und beim einzelnen Nutzungsvorgang nur identifizierte und altersgeprüfte Personen Zugang erhalten. Dies entspricht der bisherigen Rechtsprechung
und den Kriterien der Kommission für Jugendmedienschutz (KJM), die nach dem
Staatsvertrag Altersverfikationssysteme (AVS) daraufhin prüft, ob sie diesen Anforderungen genügen.
Bei der Altersverifikation geht es insgesamt keineswegs nur um den Zugang zu WebInhalten mit Pornografie und Gewalt, sondern auch um Online-Spiele und in jüngster
Zeit verstärkt um Glücksspiele inklusive Sportwetten sowie staatlich anerkannte Lotterien. Für diese Glücksspiele bestimmt der Staatsvertrag über das Glücksspielwesen
in Deutschland in § 4 Abs. 3: „Die Teilnahme von Minderjährigen ist unzulässig. Die
Veranstalter und die Vermittler haben sicherzustellen, dass Minderjährige von der
Teilnahme ausgeschlossen sind.“
Das in diesem Vertrag verankerte Sportwettenmonopol ist 2010 vom Europäischen Gerichtshof für unzulässig erklärt worden. 2011 haben sich die Ministerpräsidenten, bis auf Schleswig-Holstein, auf eine Novellierung verständigt, nach der eine
begrenzte Anzahl von Konzessionen für Online-Sportwetten erteilt werden soll und
auch die staatlichen Lottogesellschaften online anbieten dürfen.73 Nach der Ratifizierung durch die 15 Landtage ist das Gesetz z.B. in Nordrhein-Westfalen am 1. 7. 2012
in Kraft getreten. Die konkreten Konzessionsbedingungen sind noch nicht publiziert.
An der Altersverifikation wird auf jeden Fall festgehalten. Und der müssen sich alle
Spieler unterziehen. Von daher entsteht hier ein sehr großer Bedarf an verlässlichen
Altersnachweisen. Nach einer Meldung der Süddeutschen Zeitung hat der Deutsche
Lotto-Block im vergangenen Jahr 6,7 Milliarden Euro umgesetzt.74 Durch die Aufhebung des bisherigen Verbots wird nicht nur ein Teil dieses Umsatzes in Zukunft auf
Online-Angebote fallen. Die deutschen Veranstalter erwarten auch, dass bisher zu ausländischen Angeboten abgewanderte Umsätze wieder zurückgewonnen werden können.
Lange Zeit spielte der (alte) Personalausweis neben dem Postident-Verfahren eine wichtige Rolle bei der Altersverifikation. Häufig wurde die Ausweisnummer übermittelt, in der das Geburtsjahr enthalten ist. Das Bundesverwaltungsgericht (BVerwG)
hatte schon 2002 festgestellt, dass ein zuverlässiges AVS eine Prüfung im Rahmen eines persönlichen Kontakts beinhalten muss. Nach Auffassung des BVerwG ist eine zuverlässige Alterskontrolle anzunehmen, wenn vor oder während des Vertragsschlusses ein persönlicher Kontakt mit dem späteren Kunden und in diesem Zusammenhang
eine zuverlässige Kontrolle seines Alters anhand amtlicher und mit Lichtbild versehener Dokumente vorgenommen wird.75 Nach Ansicht des Gerichtes müssten demnach
andere Verfahrensweisen ein ähnliches Maß an Gewissheit bewirken, insbesondere
müsse “so weit wie möglich sichergestellt sein, dass die Zugangsdaten tatsächlich nur
73
74
75
44
http://de.wikipedia.org/wiki/Gl%C3%BCcksspielstaatsvertrag
http://www.sueddeutsche.de/geld/neuer-gluecksspiel-staatsvertrag-lottospielerkoennen-bald-online-tippen-1.1413368
Urteil vom 20. Februar 2002 – 6 C 13/01: http://www.jugendschutz.net/pdf/bverwg220202.pdf.
an die volljährigen Kunden gelangen”.76 Diesen Anforderungen genügen die meisten
Altersverifikationssysteme (AVS) nicht, z. B. auch nicht oft verwendete Altersverifikationssystem “Über18.de”.
Im Jahre 2007 hat die 17. Kammer des Bayerischen Verwaltungsgerichts (VG)
München (Az.: M 17 S 07.144, Beschluss vom 31.01.2007) die gängige Rechtsprechung
bestätigt, wonach ein AVS, bei dem sich der Nutzer durch seine Personalausweisnummer als Erwachsener identifiziert, keinen wirksamen Schutz im Sinne des § 4
JMStV bietet. Da die Überprüfung mit Hilfe der Ausweisnummer anonym ist und die
Möglichkeit der einfachen Umgehung besteht, stelle dieses System keine effektive
Barriere dar. Das Gericht wies darauf hin, dass für Anbieter und Nutzer von beschränkten Inhalten im Internet die Möglichkeit besteht auf das so genannte Postident-Verfahren auszuweichen. Eine andere Möglichkeit sei die Verwendung von Geldkarten, auf denen altersrelevante Informationen gespeichert sind. Bei Eröffnung des
Kontos wird die Volljährigkeit nachgewiesen. Nach diesem Prinzip wird auch der Verkauf von Zigaretten an Automaten seit dem 01.01.2007 geregelt.
Im selben Jahr hat auch der Bundesgerichtshof letztinstanzlich entscheiden, dass ein
auf der Ausweisnummer basierendes Zugangssystem die Anforderungen nach § 4 Abs.
2 JMStV nicht erfüllt77. Nach einem Beitrag in Wikipedia soll dieses De-facto-Verbot
eines sehr einfachen und kostengünstigen Verfahrens dazu geführt haben, dass Anbieter von jugendgefährdenden Angeboten ihren Firmensitz ins Ausland verlegt und sich
damit den Verpflichtungen aus dem JMStV entzogen haben. 78
Inzwischen hat die Kommission für den Jugendmedienschutz (KJM) Prüfkriterien
entwickelt und auch bereits auf mehrere Verfahren angewendet. Da der JMStV kein
konkretes Prüfverfahren und keine Zertifizierung vorschreibt, handelt es sich dabei
nicht um Genehmigungen, sondern rechtlich nur um Empfehlungen, an denen sich
aber Gerichte orientieren dürften. Nach den veröffentlichten Eckpunkten kann der
Rückgriff auf eine bereits erfolgte Face-to-Face-Kontrolle unter bestimmten Bedingungen die Prüfung im persönlichen Kontakt ersetzen.79 Darüber hinaus muss sichergestellt sein, dass bei jedem Nutzungsvorgang eine verlässliche Authentifizierung erfolgt. Die Zuweisung eines Passwortes reicht dazu nicht. Vielmehr müssen technische
Maßnahmen zur Erschwerung einer Multiplikation von Zugangsberechtigungen (Weitergabeschutz) ergriffen werden. Dazu werden insbesondere hardwarebezogene
Maßnahmen, u.a. auch ID-Chips, genannt.
Auf ihrer Internet-Seite veröffentlicht die KJM die von ihr geprüften Konzepte für geschlossene Benutzergruppen und für übergreifende Konzepte. Dazu gehören die
76
77
78
79
Sicherstellen" des Erwachsenenversandhandels nach dem Jugendschutzgesetz erfordert
einen persönlichen Kontakt im Rahmen der Zustellung der über das Internet versendeten
Ware.
http://juris.bundesgerichtshof.de/cgibin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=2007&Sort=3&nr=41423
&linked=pm&Blank=1
http://de.wikipedia.org/wiki/Altersnachweissystem
http://www.kjmonline.de/de/pub/jugendschutz_in_telemedien/geschlossene_benutzergruppen.cfm
45
Geldkarte des ZKA, eine SMS-PIN der Staatlichen Lotterieverwaltung München und
jüngst der E-Postbrief der Deutschen Post.80
Die ID-Funktion des neuen Personalausweises erfüllt alle Anforderungen der KJM
in höchstem Maße. Gegenüber dem Post-Identverfahren, der Geldkarte oder dem
Rückgriff auf SIM-Karten bietet sie aufgrund der selektiven Berechtigungszertifikate
und der Möglichkeit boolscher Abfragen (älter als 18?) sogar den Vorteil einer anonymen und trotzdem sicheren Authentifizierung.
3.5. Der Ausweis als „Vertrauensanker“
Nach Auffassung des ISPRAT Verbundes kann der Einsatz des neuen Personalausweises im Zusammenhang mit einer universellen Lösung für das Identitätsmanagement
prinzipiell eine wichtige Rolle spielen.81 Die Idee dahinter ist, den neuen Personalausweis als Instrument zu nutzen, um ggf. andere Authentisierungsinstrumente zu erstellen, bzw. erstellen zu lassen. Ein vorstellbares Szenario ist beispielsweise, dass
sich der Personalausweisinhaber gegenüber dritten Dienstleistern, die ggf. eigene
Trustcenter betreiben oder nutzen, über die eID-Funktion des Personalausweis ausweist, um sich für spezifische Anwendungen jeweils eine personalisiertes Hardwareoder Software-basiertes Authentisierungsinstrument erstellen zu lassen.82 Das kann
eine ID-Karte mit eingeschränkten Merkmalen sein, z. B. eine Karte, die mit einem
RFID-Chip ausgestattet ist und "anonyme Tokens" für Einmaltransaktionen wie Fahrten mit dem Nahverkehr oder Eintrittskarten enthält. Das kann aber auch ein software-basiertes „Token“ sein, das sich bspw. für die Nutzung mit einem mobilen Endgerät einsetzen lässt. Im ersten Fall hätten die ausstellenden Dienstleister sogar die
Möglichkeit des Brandings der Karten und könnten für die von ihnen erstellten Karten
darüber hinaus zusätzliche Mehrwertleistungen anbieten.
80
81
82
46
http://www.kjmonline.de/de/pub/aktuelles/pressemitteilungen/pressemitteilungen_2012/pm_102012.cfm
Quelle: Elektronisches Identitätsmanagement, ISPRAT White Paper, abgerufen am
20.06.2012 unter:
http://isprat.net/fileadmin/downloads/pdfs/it_gipfel_2008/ISPRAT_Whitepaper_Elektron
ische_Identitaeten.pdf
Vgl. Elektronisches Identitätsmanagement, ISPRAT White Paper, Fn. 81, ebenda S. 21
4.
IT Roadmap im E-Commerce
Die flexible Unterstützung von Beschaffungs- und Vertriebsprozessen durch moderne
Informations- und Kommunikationstechnologie ist keine wirkliche neue Herausforderung, erhält jedoch mit der stürmischen Entwicklung des Internet der Dienste eine
völlig neue Relevanz, Dynamik und Dimension hinsichtlich Wachstum und Verfügbarkeit ergänzt um neue Betriebsmodelle und Technologien. Gerade durch die zunehmende Vernetzung von Unternehmen mit ihren Kunden und Lieferanten über das Internet steigen die Anforderungen an IT-Infrastrukturen, immer effizient und bedarfsgerecht die erforderlichen Anwendungen und Dienste in ausreichender Verfügbarkeit,
Kapazität und Sicherheit bereitzustellen. Der ebenso unübersehbare wie zugleich unausweichliche Ausbau des Dienstleistungsangebotes für Privat- und Unternehmenskunden im Internet der Dienste verlangt deshalb von den Unternehmen nicht mehr
und nicht weniger, als sich künftig vermehrt mit geeigneten Liefer- und Bezugsstrategien für IKT-Anwendungen und -Infrastrukturen auseinandersetzen.
Abbildung 18: Funktionen und Komponenten von E-Commerce-Shops
Traditionelle in-house-Strategien geraten dabei natürlich angesichts der enormen Kapitalbindung wettbewerbsfähiger E-Commerce-Plattformen und E-Services für Lizenzkosten, Personal- und Sachkosten für den Betrieb sowie zu erwartende Kosten
für Pflege, Wartung und notwendige Erweiterungen, wie bspw. die Anbindung mobiler Endgeräte, zunehmend in Bedrängnis. Nicht zu vergessen, dass eine leistungsstarke und erfolgreiche E-Commerce-Plattform aus einer Vielzahl unterschiedlicher und
komplexer Funktionen und Komponenten besteht, die effizient und skalierbar miteinander „verschränkt“ werden müssen, und für die natürlich längst spezialisierte
Dienstleister bereitstehen. Ein Eigenbetrieb ist vor diesem Hintergrund, insbesondere
für KMU’s, auf Dauer keine betriebswirtschaftlich sinnvolle Option. Selbst professionelle Anbieter von E-Shop-Softwarelösungen wie Intershop (www.intershop.de) oder
ShopFactory (www.shopfactory.de) verlassen sich daher heute nicht mehr auf das
klassische on-promise Geschäft, sondern bieten ihren Kunden an, die gesamte E47
Commerce-Plattform, inklusive zugehöriger Warenwirtschaftssysteme, Finanz- und
Logistikdienstleistungen auf ihren Servern zu hosten. Ähnlich lassen sich auf Plattformen von All-Around IT-Dienstleistern wie Strato (www.strato.de) oder T-Online
(www.t-online.de) heute schon komplette E-Shops „mieten“.
Die Einbindung in derartige Diensteplattformen macht webbasierte Dienste für
potenzielle Kunden leichter auffindbar. Sie erlaubt zudem, eigene E-Services mit komplementären externen Diensten zu kombinieren. Anwendungs- und Diensteplattformen werden daher in der Internet-der-Dienste-Welt eine besondere Bedeutung einnehmen. Sie sollen Kunden in die Lage versetzen, etwa ein bedarfs- oder prozessorientiertes Komplettangebot zu finden, statt Einzelangebote suchen, vergleichen und
zusammenstellen zu müssen.
Eine Sonderform solcher Bündelungen stellen die so genannten virtuellen Shopping-Malls dar, wie bspw. unter www.rakuten.de oder auch auf facebook.com oder in
der öffentlichen Verwaltung unter dem Namen „Kaufhaus des Bundes“. Hier werden
die einzelnen Angebote verschiedener Händler zu einem Gesamtangebot zusammengeführt, der Kunde kann in diesem „virtuellen Kaufhaus“ Produkte unterschiedlicher
Händler in einem Warenkorb zusammenfassen und muss nur einen einzigen Bezahlvorgang durchlaufen, auch wenn er bei mehreren Anbietern gekauft hat.
E-Commerce in der Cloud?
Cloud Computing hat spätestens seit 2010 den IT-Markt wie kein zweites Thema bewegt. Dabei findet – vor allem in Deutschland - die größte Dynamik noch auf der verbalen Ebene statt, nicht zuletzt wegen der immer noch unzureichenden Standardisierung – jedes Unternehmen entwickelt zunächst seine eigene Cloud – sowie der nach
wie vor offenen rechtlichen Rahmenbedingungen, insbesondere für außereuropäische
Anbieter.83
Dessen ungeachtet ist natürlich Cloud Computing sowohl aus technischer wie vor
allem aus betriebswirtschaftlicher Perspektive ein viel versprechender Ansatz auch
für E-Commerce-Plattformen. Die sofortige und vor allem effiziente Bereitstellung von
Ressourcen und Diensten zur Unterstützung von Beschaffungs- oder Vertriebsprozessen auf der Basis moderner Software- und Internet-Technologien (wie Virtualisierung,
SOA, Web 2.0 und Webservices) beherrscht nur die Cloud. Die Nutzung webbasierter
Dienste aus der Cloud verspricht Unternehmen ebenso wie E-CommerceDienstleistern eine höhere Skalierbarkeit und Flexibilität der Lösungen, den orts- und
endgeräteunabhängigen Zugang sowie Kosteneinsparungen bei IT-Infrastruktur, Personal und Support.
83
48
In einer Cloud droht u. a. die Verantwortung für die Aufbewahrung und (Weiter)Verarbeitung ggf. auch personenbezogener Daten hinter grenzüberschreitenden „Wolken“
zu „verschwimmen“. Gegenstand der Verantwortlichkeit im Umgang mit insbesondere personenbezogenen Daten ist die materiell-rechtliche Zulässigkeit der Verarbeitung. Nach Art.
2 c) S. 1 EU-DSRL ist verantwortlich, wer „über die Zwecke und Mittel der Verarbeitung
entscheidet“. Nach Ansicht des Deutschen Anwaltsvereins ist deshalb Cloud Computing
auch nicht mit den EU-Datenschutzrichtlinien vereinbar, wenn die Verarbeitung auf Servern außerhalb der EU erfolgt (http://anwaltverein.de/.../.../Stellungnahmen-11/43-2011SN-Cloud-Computing.pdf.).
Aus der Perspektive von E-Commerce affinen KMU’s ist die Nutzung von Cloud Computing gegenüber „klassischen“ Lizenzlösungen für Client-Server-Anwendungen vor
allem in zweierlei Hinsicht von Interesse:


die Senkung von Betriebskosten, insbesondere die Verschiebung der Kostenstruktur von Investitionskosten hin zu operativen Betriebskosten und
der Zugang zu Ressourcen, die außerhalb des Cloud Computing-Kontextes insbesondere für KMU kaum oder gar nicht erreichbar wären.84
Das gilt insbesondere für das Management der IT-Infrastruktur und IT-Services. Dabei
erzielen die Cloud-Provider durch die schiere Größe der von ihnen betriebenen ITLandschaft Kostenvorteile, die von KMU’s kaum zu realisieren sind.
Der Zuwachs von Cloud-Geschäftsmodellen wird nach einer Studie von Berlecon Research85 im
Jahre 2010 zweifellos die Marktsituation und -strukturen der IKT-Branche tiefgreifend verändern. Denn Umsatzwachstum im Bereich Cloud Computing geht natürlich zumindest teilweise
zu Lasten anderer Marktsegmente, wie bspw. des klassischen „on-promise“ Lizenz- oder Projektgeschäfts.
25.000 €
20.000 €
IaaS
15.000 €
PaaS
BaaS
10.000 €
SaaS
5.000 €
0€
2010
2015
2020
2025
Abbildung 19: Umsätze im Public Cloud Markt nach Betreibermodellen in den Jahren 2010 bis
2020, Angaben in Mio. € (Quelle: Berlecon Research, Fn. 85 )
Bereits heute nicht zu übersehen ist, dass sich künftig neue Kooperationsmodelle entlang der
Wertschöpfungsstufen etablieren und verschiedene IKT-Anbieter in neuen Partnerschaften
enger zusammenarbeiten werden, Umsätze aus Weiterverkauf und -entwicklung von Software
werden vermutlich deutlich zurückgehen. Ähnliches gilt für Dienstleister wie Systemintegrato84
85
Holtkamp, B.: Cloud Computing für den Mittelstand am Beispiel der Logistikbranche,
Fraunhofer Institut für Software- und Systemtechnik, 2010, abgerufen am 26.05.2012 unter
2011.cebit-studio-mittelstand.de/
Das wirtschaftliche Potenzial des Internet der Dienste, Berlin, November 2010, abgerufen
am 05.06.2012 unter:
http://www.berlecon.de/studien/downloads/Berlecon_IDD_ExecSum.pdf
49
ren und Berater. Sie brauchen schlüssige Konzepte und Kompetenzen für Integrations- und
Beratungsleistungen rund um Cloud Computing, SOA und Webservices. Für kleine und mittelständische IKT-Anbieter bietet das Internet der Dienste neue Chancen, durch die Anbindung
an große Cloud-basierte E-Commerce-Plattformen. größere Kundenkreise anzusprechen und
auch international die Sichtbarkeit zu erhöhen. Nach Ansicht der Berlecon Experten wird der
Markt für Public Cloud in Deutschland von 650 Millionen Euro im Jahre 2010 auf 20,4 Milliarden Euro im Jahr 2020 wachsen.
Den größten Anteil daran hatte und hat 2010 Software-as-Service (SaaS) mit einem Umsatzvolumen von 430 Millionen Euro auf dann 11 Milliarden Euro. SaaS wird deshalb nach Einschätzung von Berlecon Research auch in absehbarer Zeit der umsatzstärkste Anwendungsbereich
im „Internet der Dienste“ bleiben. Das bedeutet, dass das Cloud-Geschäft in den nächsten 15
Jahren von Software dominiert wird. Business-as-Service (BaaS), d. h. das Outsourcing von
kompletten Geschäftsprozessen wird im gleichen Zeitraum auf 4 Milliarden Euro wachsen.
Platform-as-a-Service (PaaS) hat im Jahr 2010 etwa 20 Millionen Euro umgesetzt und soll auch
in Zukunft der kleinste Teilmarkt im Cloud-Geschäft bleiben. Auf dem Teilmarkt Infrastructure-as-a-Service (IaaS) wurden 2010 ca. 30 Millionen Euro erwirtschaftet. Die Umsätze werden nach Einschätzung von Berlecon bis 2025 um überdurchschnittliche 38% jährlich steigen,
auf dann etwas mehr als 4 Milliarden Euro.
Die Umsätze im Private Cloud Markt dagegen sind zwar heute noch 2,5 Mal so groß wie im
Public Cloud Markt, werden aber, so die Studie, in 2025 nur noch 50% des Public Cloud Marktes ausmachen.
Aus Softwareperspektive ist Cloud Computing weder eine neue noch andersartige Architektur komponentenbasierter Softwaresysteme, sondern eher orthogonal zu den
aktuellen Themen der Softwareentwicklung.86 Das Besondere an Cloud Computing ist
vielmehr der umfassende Fokus auf sämtliche Aspekte moderner IT-Betriebsmodelle.
„The key characteristics of the cloud are the ability to scale and provision computing
power dynamically in a cost-efficient way and the ability of the consumer (end user,
organization, or information technology [IT] staff) to make the most of that power
without having to manage the underlying complexity of technology.”87 Es ist zu erwarten, dass Cloud-Service-Anbieter mit zunehmend vollständigeren Portfolios und geeigneter Marktansprache die Bedürfnisse und Geschäftsmodelle von E-CommerceAnbietern und Dienstleistern noch adäquater und individueller adressieren und die
Marktdurchdringung von Cloud Computing fördern werden. Das Analystenhaus
Gartner aus Connecticut rechnet sogar damit, dass bis 2015 abgespeckte CloudVersionen in Unternehmen aller Größen Einzug halten.88 Vor diesem Hintergrund ist,
in Verbindung mit immer leistungsfähiger Mobilfunktechnik, kartenloses CloudPayment eine durchaus vorstellbare Entwicklung.
Mobile Commerce
Mit der Etablierung von modernen Datenübertragungstechnologien, benutzerfreundlichen Endgeräten und bezahlbaren Daten-Flatrates erlebt das mobile Internet derzeit
86
87
88
50
Cloud computing takes the idea of processing at a distance (not a new idea at all) and translates it to the world of the Internet (Simon, P.: The Next Wave of Technologies, Wiley Hoboken NJ 2010, p. 67.
Simon, P., Fn. 86, ebenda S. 64
http://it-republik.de/jaxenter/news/Gartners-IT-Trends-2012-061187.html
einen einzigartigen Boom. Nach einer Pressinformation des Hightech-Verbandes BITKOM vom 0.05.2012 wird für 20120 ein Umsatzplus mit mobilen Datendiensten in
den Ländern der Europäischen Union um 8,3% oder 41,7 Milliarden Euro erwartet.89
Das mobile Interneterlebnis entwickelt sich im Consumer- und im BusinessUmfeld immer häufiger zur Selbstverständlichkeit und wird maßgeblich durch die
Verbreitung von Smartphones vorangetrieben. Vor allem E-Commerce affine „Netzbürger“ aller Altersgruppen nutzen zunehmend mobile Endgeräte und SoftwareLösungen bzw. Apps, um sich über Angebote auf E-Commerce-Plattformen zu informieren. Darüber hinaus ist die Nutzung des mobilen Internet als Unterstützung für
den Außendienst und Vertrieb längst an der Tagesordnung. Mobile Endgeräte entwickeln sich zusehends zur E-Service-Plattform in den Händen von Kunden und Mitarbeitern. Nach einer Allensbacher Computer- und Technik-Analyse aus dem Jahre 2011
(ACTA 2011)90 gehen inzwischen rund zehn Millionen Deutsche im Alter zwischen 14
und 69 Jahren mittels Smartphone, Tablet-PC oder anderen mobilen Geräten ins Internet. Das entspricht 17 Prozent der deutschsprachigen Bevölkerung, Tendenz steigend. Denn laut ACTA wollen sich derzeit rund 15 Prozent der Bevölkerung in der Altersgruppe bis 39 Jahre ein Smartphone kaufen.
Die großen der Branche (Google, PayPal, Mobilfunkbetreiber, Visa, Mastercard u. a.)
hoffen vor diesem Hintergrund vor allem auf ein kräftig wachsendes Neugeschäft mit
dem so genannten M-Payment. Die Geldbörse soll zum „Mobile Wallet“ werden und
damit „Anywhere Commerce“ möglich machen. Mittels Near Field Communication
(NFC)-Technologie und hinterlegten Payment Schemata
im Secure Element91 des
Smartphones sollen Bargeld,
EC- oder Kreditkarten „virtualisiert“ werden. Von daher
ist es nur eine Frage der Zeit
bis NFC-Infrastrukturen auch
für Tablet-PC’s verfügbar
werden. Die Hauptprobleme
für eine schnelle und flächendeckende Verbreitung der Mobile Wallets sind freilich noch die fehlende Penetration
von NFC-fähigen Terminals am Point of Sales (POS) und die noch unzureichende Verbreitung von NFC-fähigen Smartphones.92 Das von Microsoft noch für 2012 angekün89
http://www.bitkom.org/.../BITKOM_Presseinfo_Datendienste_weltweit_06_05_2012.pdf
90
Internet World Business Ausgabe 21 (2011) abgerufen am 05.06 2012 unter:
http://www.ibusiness.de/.../www.ibusiness.de/files/iBusiness_Poster_Onlineshops_2011.
pdf
Ein Secure Element ist ein Mikrochip, der typischerweise denselben Aufbau und Funktionsumfang wie eine Smartcard hat und über Schnittstelle mit dem NFC-Steuerbaustein des
mobilen Endgerätes verbunden ist. Das Secure Element wird zum Speichern und Abarbeiten sicherheitskritischer Daten und Anwendungen eingesetzt.
Für den Einsatz des neuen Personalausweises im Umfeld NFC-fähiger Infrastrukturen erweisen sich vor allem die bislang fehlende Fähigkeit des NFC-Chips „extended length
APDUS“ zu verarbeiten, die geringe Feldstärke sowie das Problem der aus Sicht des Perso-
91
92
51
digte Betriebssystem Windows Phone 8 für Smartphones wird deshalb von Anfang an
die Nahfeldmobilfunktechnik NFC eingebaut haben. Dazu soll es auf allen WindowsPhone 8- Smartphones eine im Secure-Element der SIM-Karte implementierte WalletApplikation geben, um Bezahlfunktionen mit dem Handy an speziell ausgerüsteten
Kassen ausführen zu können. Darüber hinaus wird das neue Betriebssystem auch
softwarebasierte Tickets oder Nachweise für Mitgliedschaften in Vereinen oder Organisationen, mit dem Handy unterstützen. Erste Windows-Phone 8- Geräte sollen nach
den Ankündigungen großer Mobilgerätehersteller noch im Weihnachtsgeschäft 2012
auf den Markt kommen.93 Ähnlich planen auch Google für das Android-Betriebssystem
und Apple für sein iOS 6 NFC-basierte Payment- bzw. Ticketfunktionen.94 Experten
rechnen damit, dass in absehbarer Zeit das iPhone mit einem NFC-Chip und Mobile
Wallet Fähigkeiten ausgestattet sein wird. Auf der Entwicklerkonferenz WWDC 2012
stellte Apple Passbook vor.95 Dabei handelt es sich im Grunde genommen um eine virtuelle Geldbörse, die mit vorab bezahlten Gutscheinmarken etwa für Fahrkartenautomaten oder Rabattsysteme gefüllt wird. Die NFC-Technologie (Near Field Communication) macht dann in Verbindung mit iOS6-Passbook bargeldloses Bezahlen am
Bahnhof, im Supermarkt, im Kino oder in anderen geschäftlichen Einrichtungen möglich. Da der NFC-Chip auch zur Ablage beliebiger anderer digitaler Dokumente taugt,
könnte aus dem „Passbook“ schnell ein „Passport“ werden. Wenig überraschend hat
Apple zudem angekündigt, die populäre Synchronisierungs- und Musikverwaltungssoftware iTunes mit integrierter Shop-Anbindung u. U. in eine Payment Plattform zu
transformieren. Angesichts der Marktmacht von Apple & Co. gehört nicht viel Phantasie zu der Vorstellung, dass in absehbaren Zeiträumen sich ein Hersteller-getriebener
de-facto Standard für die NFC-Kommunikation am Markt etablieren wird.
Bei aller Euphorie ist jedoch nicht zu übersehen, dass obwohl Mobilfunkunternehmen und Netzbetreiber angesichts der vorhandenen technischen Infrastrukturen
und zweifellos hohen Kundenzahlen am besten geeignet scheinen, M-Payment flächendeckend zu etablieren, ihnen die hierzu erforderlichen TransaktionsInfrastrukturen und Kernkompetenzen sowie zuverlässige Authentifikationsmechanismen fehlen. Große Kreditkartenunternehmen arbeiten daher, unterstützt durch internationale IT-Dienstleister mit Verve an der Entwicklung von Kreditkarten, die einen NFC-fähigen Chip tragen, um an NFC-fähigen Kassensystemen Bezahlvorgänge zu
beschleunigen.96
Ein tatsächlicher Mehrwert für die Verbraucher wie die Anbieter kann freilich
nur entstehen, wenn übergreifende Allianzen zwischen Netzbetreibern, Banken, Handelsorganisationen und Terminal-Herstellern geschaffen werden. Die Herausforderung für M-Payment basierend auf der NFC-Technologie ist daher eine klare Vertei-
93
94
95
96
52
nalausweises erforderlichen Rückwärtskompatibilität implementierter Standards über einen Zeitraum von 10 Jahren. (Quelle: interne Mitteilung des BSI)
Quelle: http://www.spiegel.de/netzwelt/gadgets/windows-phone-8-microsoft-stelltsmartphone-windows-vor-a-840144.html
Quelle: http://arstechnica.com/gadgets/2012/06/
www.apple.com/de/ios6
Interne Mitteilung, Mobile Division CSC Deutschland GmbH
lung von Rollen und Anreizen entlang der gesamten Wertschöpfungskette.97 Eine Unterscheidung zwischen E- und POS-Commerce ist dann freilich nicht mehr nötig.
Standardisierung
Die Leistungsfähigkeit und damit Akzeptanz von E-Commerce-Plattformen wird in
Zukunft noch viel stärker davon abhängen, wie unterschiedliche Anwendungen nicht
nur imstande sind, Beschaffungs- und Vertriebsprozesse optimal zu unterstützen,
sondern vor allem auch wie sie zusammenwirken, um das Einkaufverhalten der Kunden zu stimulieren. Ein nachhaltiger Erfolg der Integration der Unternehmens-IT in
neue Vertriebskanäle wie E- oder M-Commerce-Plattformen und die Kollaboration
unterschiedlicher Unternehmen entlang einer gemeinsamen Wertschöpfungskette
wird dabei maßgeblich von der Verfügbarkeit und Bereitstellung standardisierter
Schnittstellen beeinflusst werden. Dies gilt insbesondere für die Orchestrierung einzelner IT-Services auch unterschiedlicher Cloud Provider zu komplexen Lösungen im
Sinne einer serviceorientierten Architektur. Das Internet der Dienste wird daher die
Fortentwicklung und die Nutzung insbesondere von Kommunikations- und Sicherheitsstandards weiter vorantreiben. Dazu gehören insbesondere die grenzüberschreitende Qualifizierung elektronischer Identitäten, die unter dem Begriff der Unified
Communications98 (oft auch als Real-Time Communication bezeichnet) subsumierte
Integration von Kommunikationsmedien in einer einheitlichen Anwendungsumgebung sowie die Standardisierung der Nahfeldmobilfunktechnik (NFC).
Standardisierungsbedarf besteht natürlich nicht nur auf der technischen Ebene,
sondern gelichermaßen auf der Ebene von Prozessabläufen, der Dienstebeschreibung,
Quality-of-Service-Regelungen und Tarifierung.99
Master Data und Customer Relationship Management
Die korrekte und zuverlässige Erfassung von Kunden-, Lieferanten- und Produktdaten
(auch unter dem Begriff der so genannten „Master Data“ oder Stammdaten subsumiert) sind für die Unterstützung transaktionaler und logistischer Prozesse im Internet der Dienste von zentraler Bedeutung. Ohne eine korrekte und zuverlässige (digitale) Erfassung und Repräsentation dieser Daten sind die daraus abgeleiteten Informa97
98
99
Karlsson, J., Taga, K.: M-Payment im internationalen Kontext, in: Lammer, T.: Handbuch EMoney, E-Payment & M-Payment, Physica-Verlag heidelberg 2006, ebenda, S. 83
Unified Communication Systeme sind das Resultat der Konvergenz von Groupware, neuen
Kommunikationsmedien (VoIP und Instant Messaging) und Informations- und Kommunikationstechnik (IKT). Die Idee hinter Unified Communications (UC) ist, durch die kohärente
Kopplung aller Kommunikationsdienste unter einer logisch-technischen Steuerungsschicht
und die Integration mit Präsenzfunktionen, wie sie bspw. aus dem Instant Messaging bekannt sind, die Erreichbarkeit von Kommunikationspartnern in verteilter Arbeit zu verbessern und so geschäftliche Prozesse zu beschleunigen. UC im weiteren Sinne kann als Erweiterung von Unified Messaging verstanden werden, mit dem Ziel der Nachrichtenintegration
in einem Portal und damit auf asynchrone Medien, während UC im engeren Sinne die Integration synchroner Medien zum Ziel hat.
Das wirtschaftliche Potenzial des Internet der Dienste, Berlecon Research 2010, Fn. 85,
ebenda
53
tionen über bestimmte Sachverhalte ggf. unvollständig, können nicht oder nicht korrekt verarbeitet und verknüpft werden und letztlich zu Fehlern oder Falschaussagen
führen oder gar betrügerischen Absichten Vorschub leisten. Hier kann der Einsatz des
neuen Personalausweises im Kontext von Online-Transaktionen zweifelsohne erheblich dazu beitragen, die Qualität und Zuverlässigkeit von Kundendaten zu erhöhen Gerade Kundendaten sind heute mehr denn je ein Aktivposten, deren intelligente Auswertung und Verknüpfung in einer Welt der modularisierten Wertschöpfung Wettbewerbsvorteile erzeugen und sichern kann. Analytisch getriebene Unternehmen kennen ihre adressierbaren Märkte besser, segmentieren Zielgruppen genauer und sind
besser imstande mit ihren Kunden persönlicher zu interagieren, also bspw. den Online-Einkauf durch personalisierte Kaufempfehlungen („das könnte ihnen auch gefallen“) zu begleiten. Operative CRM–Lösungen werden deshalb zunehmend durch analytische Komponenten (Stichwort: Business Analytics100) ergänzt und Social Media
Funktionen angereichert werden.
An Daten für die „Vermessung“ der Verbraucherwelt mangelt es nicht. Smartphone &
Co. sind gerade dabei die Trennung von On- und Offlinewelt endgültig aufzuheben und
das Verbraucherverhalten in einen digitalen Datenstrom zu übersetzen, dessen Breite
und Tiefe die Grenzen unserer Vorstellungskraft längst überschritten hat. Die Erschließung und Nutzung dieses von IT-Experten mit dem Stichwort „Big Data“ 101 beschriebenen exponentiellen Wachstums verfügbarer Daten ist nur noch mit Hilfe intelligenter Speichertechnik (In-Memory-Technologie), sowie intelligenten Such- und
Auswertungsalgorithmen (Business Analytics Software) möglich. Big Data, davon sind
Bloching et al. vom internationalen Competence Center Marketing & Sales von Roland
Berger Strategy Consultants überzeugt, wird unsere Wirtschaft verändern wie der
elektrische Strom und das Internet.102 Davon wird auch die Anreicherung der NFCKommunikation um zusätzliche Kundeninformationen bspw. beim Einkauf via Handy
oder Smartphone betroffen sein.
So stellt Google für Web-Plattformen ein eigenes Werkzeug (Google Analytics) zur Verfügung mit Aktivitäten eines Besuchers protokolliert und unter die Lupe genommen werden
können (http://www.google.com/intl/de/analytics/). Aber auch die Integration und Auswertung heterogener Daten, insbesondere aus firmenexternen Datenquellen wie Internetseiten, stellt für zahlreiche Unternehmen einen signifikanten Marktvorteil dar. Um diese
Daten systemintern verwalten zu können, bedarf es eindeutiger Identifikatoren und abgestimmter Metadatenmodelle. In diesem Rahmen gewinnen auch Standards und Techniken
aus dem Bereich des Semantic Web wie beispielsweise XML, RDF und OWL immer mehr an
Bedeutung, vor allem, wenn es um die Integration unstrukturierter Daten geht. Mehr dazu
bspw. unter www.sas.com.
101 Als Big Data werden besonders große Datenmengen bezeichnet, die mit Hilfe von StandardDatenbanken und Daten-Management-Tools nicht oder nur unzureichend verarbeitet werden können. Problematisch sind hierbei vor allem die Erfassung, die Speicherung, die Suche, Verteilung, Analyse und Visualisierung von großen Datenmengen. Das Volumen dieser
Datenmengen geht in die Terabytes, Petabytes, Exabytes und Zettabytes.
(Quelle: http://de.wikipedia.org/wiki/Big_Data)
102 Vgl. Bloching, B., Luck, L., Ramge, T.: Data Unser. Wie Kundendaten die Wirtschaft revolutionieren, Redline Verlag München 2012, S. 11
100
54
5.
Ein erstes Fazit
Die in den vorhergehenden Abschnitten dargelegte Ausganglage legt folgende Schlussfolgerungen nahe, die als (vorläufige) Thesen als Ausgangsbasis für explorative Interviews mit Stakeholdern der Wertschöpfungskette im E-Commerce dienen:
1. Der Konzentrationsprozess im E-Commerce setzt sich fort.
Das Wachstum von E-Commerce ist ungebrochen. Davon profitieren vor allem
die Großen der Branche und unter ihnen besonders die Generalisten.103 Nicht
zuletzt auch, weil nur sie nennenswerte Skaleneffekte im Betrieb der erforderlichen IT-Infrastruktur (Stichwort: Cloud Computing) erreichen können. Die
Folge ist ein Konzentrationsprozess, der – begleitet von Full-ServiceAngeboten – vor allem kleinen und mittelständischen Unternehmen die Option
bietet, sich auf den großen Internetplattformen „einzumieten“ und so an der
zunehmenden Professionalisierung im Internet der Dienste bei gleichzeitiger
Minimierung ihrer Fixkosten teilzuhaben. Die Full-Service-Angebote reichen
vom Produktmarketing (Produktpräsentation und Werbemaßnahmen) bis hin
zur kaufmännischen Abwicklung (Debitorenbuchhaltung, Forderungseinzug)
und Bereitstellung logistischer Dienstleistungen (Lieferung, Versand, Retourenmanagement).
2. Zunehmender Identitätsmissbrauch im Netz verunsichert Händler wie
Verbraucher.
Immer
aggressivere
Formen
des
Identitätsdiebstahls
und
–
Identitätsmissbrauchs verstärken den Wunsch der Verbraucher wie der Händler nach verlässlichen und sicheren Instrumenten und Prozeduren zur Feststellung elektronischer Identitäten im Netz. Vor allem mit der Ausbreitung von
Web 2.0 und der damit verknüpften Kommunikationsformen steigt das Bedürfnis der Verbraucher nach einem wirksamen Schutz der Sicherheit und
Privatheit. Hierfür bietet sich der Einsatz und Nutzung der eID-Funktion des
neuen Personalausweises an.
3. Klare Rollen und Anreize entlang der gesamten Wertschöpfungskette.
Ein Mehrwert im Einsatz sicherer Identitätsinstrumente wie der eID-Funktion
des neuen Personalausweises kann für Kunden wie für Anbieter nur geschaffen werden, wenn sich klare Rollen und Anreize entlang der gesamten Wertschöpfungskette etablieren lassen.
103
Das EHI Retail Institute (siehe Fn. 6, ebenda) hat die 1.000 größten Online-Shops in
Deutschland analysiert. Danach generieren die 10 größten Anbieter mehr als ein Viertel der
Marktumsätze, die 100 größten Anbieter bereits zwei Drittel. Die Online Shops mit den
Rangnummern 501 bis 1000 machen zusammen weniger Umsatz als die Nummer 1 allein.
Vor allem im Hochpreissegment von Waren und Dienstleistungen und bei bestimmten Warengruppen werden jedoch nach wie traditionelle Vertriebswege wie das lokale Ladengeschäft bevorzugt (Quelle: Aktuelle Ergebnisse zum Kundenverhalten im Multikanalvertrieb.
Abgerufen unter www.ecommerce-leitfaden.de am 07.06.2012)
55
Ein vollständiger E-Payment Prozess im E-Commerce bspw. umfasst wenigstens die
Initiierung, die Identifikation, die Autorisierung, Clearing und Abrechnung, Bestätigung des Zahlungstransfers und die Lieferung der über das Internet gekauften Waren
und Dienstleistungen.
4. Der Nutzengewinn muss für den Verbraucher offenkundig sein
Bürgerinnen und Bürger werden die eID-Funktion nur freischalten lassen und
im E-Commerce einsetzen, wenn sie davon einen Nutzengewinn gegenüber
den bisherigen und auf absehbare Zeit weiterhin angebotenen Authentisierungs- und Zahlungsverfahren erwarten können.
a) Der Nutzengewinn kann unmittelbar aus der Art der Transaktionsabwicklung resultieren und Aspekte wie Sicherheit (Schutz vor Identitätsdiebstahl und Identitätsmissbrauch), Datenschutz und Vertraulichkeit (Privatheit) sowie komfortable Benutzbarkeit betreffen.
b) Es kann sich aber auch um einen von den Anbietern weitergegebenen materiellen oder immateriellen Vorteil bzw. Nutzen wie Rabatte oder Prämien handeln.
c) Der Einsatz der eID-Funktion für die Abwicklung von Online-Einkäufen
durch eine ausreichende Anzahl von Händlern und Online-Plattformen (EShops) akzeptiert wird.
Bei allen Varianten muss der Nutzengewinn, in der Abwägung von Gewinnen
und Verlusten (Preisgabe persönlicher Daten) unmittelbar und überzeugend
wahrgenommen werden können und den Aufwand für die Benutzung der eIDFunktion des neuen Personalausweises (Kosten, Einrichtungs- und Nutzungsaufwand) übertreffen.
Neben der Sicherheit entscheidet maßgeblich die Nutzerfreundlichkeit über die Akzeptanz eines Systems. Anwendungen müssen einfach zu handhaben und komfortabel
sein, um im Markt wahrgenommen zu werden. Komplexe Systemvoraussetzungen bei
Hard- und Software, umständliche Registrierungsprozesse oder auch stark gewöhnungsbedürftige Anwendungen, die nicht kompatibel mit den bisherigen Erfahrungen
und Bedürfnissen sind, laufen der Akzeptanz entgegen.
Hinzu kommt, so lange jedoch wichtige Anbieter den zweifellos stärkeren elektronischen Identitätsnachweis mit dem neuen Personalausweis nicht oder kaum unterstützen, entsteht bei den möglichen Nutzern eine insgesamt widersprüchliche Wahrnehmung hinsichtlich des tatsächlichen Nutzens oder auch nur Sicherheitsgewinns. 104 Bereits umgesetzte oder geplante Anwendungen stellen vor allem auf den Identitätsnachweis (Authentisierungsfunktion oder Altersverifikation) ab, ohne diese jedoch
mit – aus Sicht der Kunden wie auch der Diensteanbieter – erheblichen und komfor-
104
56
Die besondere Sicherheit des Online-Banking mit dem mobilen TAN-Verfahren (mTAN)
bspw. beruht nicht (oder zumindest nicht ausschließlich) auf der Authentisierung beim
Log-in, sondern auf der Authentisierung der einzelnen Handlung über einen getrennten
Kommunikationskanal.
tablen Transaktionen (bspw. Bezahlfunktionen bei Online-Einkäufen) über das Internet zu verknüpfen.105
5. Zuverlässige Authentifizierung verringert die Betrugschancen
Ein aus Sicht des Diensteanbieters gewichtiges Argument für die Inanspruchnahme der eID-Funktion dürfte die Tatsache sein, dass die im Anschluss an die
Chip Authentication und mit Einwilligung des Ausweisinhabers ausgelesenen
Daten korrekt und zutreffend auf einem verlässlichen hoheitlichen Dokument
gründen, die Angaben durch Besitz und Wissen geschützt und somit weder
unbeabsichtigte noch beabsichtigte Falschangaben (bspw. „Scherzbestellungen“) und in der Folge davon Zahlungsausfälle zu befürchten sind.
Die aktuelle Praxis im Online-Geschäft vermittelt jedoch den Eindruck, dass es den ECommerce-Anbietern vornehmlich um valide Kreditkarteninformationen geht, denn
um eine sichere Authentifizierung des Kreditkartenbesitzers. Das Risiko des Kreditkartenbetrugs wird damit asymmetrisch dem Kunden bzw. dem Kreditinstitut überbürdet. Die Nutzung der eID-Funktion des neuen Personalausweises bietet aus dieser
Perspektive im E-Commerce kaum zusätzliche wirtschaftliche Anreize. Davon auszunehmen, und damit mögliche Ansprechpartner, sind zweifellos spezialisierte Dienstanbieter im Netz, wie bspw. Reiseveranstalter oder Autovermietungen, die per se ein
ausdrückliches Geschäftsinteresse an einer zuverlässigen Authentifikation und ggf.
auch Altersverifikation ihrer Kunden haben.
E-Commerce-Anbieter werden aber die eID-Funktion ergänzend zu den bisherigen Authentisierungsverfahren nur einsetzen, wenn
a) sie ihnen einen zusätzlichen wirtschaftlichen Nutzen ermöglicht,
b) der Aufwand für die Nutzung (Einrichtung, Betrieb) in einem angemessenen Verhältnis zu dem erwarteten Nutzen steht,
c) sie erwarten können, dass ein hinreichend großer Anteil ihrer Kunden
über eine eID-Funktion verfügt und zudem bereit ist, diese auch für
Online-Einkäufe einzusetzen und
d) die am Forderungseinzug beteiligten Finanzinstitute willens sind, die
Rechtswirksamkeit der mit Hilfe der eID-Funktion zustande gekommenen Rechtsgeschäfte anzuerkennen.
Ausgehend vom zivilrechtlichen Begriff der Einwilligung ist ein Diensteanbieter im
rechtsgeschäftlichen Kontakt über das Internet verpflichtet, darauf hin zu wirken,
dass der einwilligende Nutzer über den erforderlichen Erklärungswillen (subjektiver
Tatbestand) verfügt und seine Erklärung auch deutlich als Einwilligung zu erkennen
ist (objektiver Tatbestand). Sowohl dem subjektiven wie auch dem objektiven Tatbestand wird die Nutzung der eID-Funktion des Personalausweises in hohem Maße
dadurch gerecht, dass die Einwilligung an Besitz (Personalausweis) und Wissen (PIN)
geknüpft ist.
Ein nachhaltiger und dauerhafter Stimulus – sowohl aus Sicht der Nutzer wie auch der
Diensteanbieter – für eine breitere Nutzung der eID-Funktion im E-Commerce aber ist
105
Dies wird natürlich durch den Umstand beschwert, dass die eID-Funktion des neuen Personalausweises per se nicht für die Autorisierung von Handlungen, sondern lediglich für einen elektronischen Identitätsnachweis ausgelegt ist.
57
nur möglich, wenn es gelingt, den elektronischen Identitätsnachweis vermittels des
neuen Personalausweises auf komfortable und verständliche Weise mit einer Autorisierung (Einwilligung) in rechtsgeschäftliche Handlungen (d. h. rechtsgeschäftliche
Transaktionen, wie eben Online-Bezahlfunktionen) zuverlässig zu verknüpfen, die zudem kompatibel mit bisherigen Erfahrungen und Bedürfnissen ist. Dies gilt insbesondere angesichts der nicht zuletzt im Lebenszyklus des Personalausweises begründeten
Annahme, dass eine mögliche Einbindung der eID-Funktion in E-CommercePlattformen mittelfristig zweifellos lediglich als Option (Alternative) zu bereits etablierten Authentisierungs- und Autorisierungsmechanismen vorstellbar ist.
6. Sicherheits- und Vertrauensgewinn für E-Shop-Betreiber
Für E-Shop-Betreiber erwächst der aus dem Einsatz der eID-Funktion erkennbare Nutzen vor allem aus dem möglichen Vertrauens- und Sicherheitsgewinn
für Verbraucher und Händler und den daraus entstehenden Möglichkeiten für
die Verbesserung und Expansion der Kundenbindung auf Verbraucher- wie
auf Händlerseite.
Sie werden jedoch die eID-Funktion nur unterstützen, wenn
e) eine aus betriebswirtschaftlicher Perspektive ausreichende Anzahl von
Verbrauchern bereit ist, die eID-Funktion für die Abwicklung von Online-Einkäufen einzusetzen,
f) sowohl Händler wie auch die beteiligten Finanzinstitute den Einsatz
und die Nutzung der eID-Funktion für die rechtswirksame Abwicklung
von Online-Geschäften zu akzeptieren,
g) die für den Einsatz und die Nutzung der eID-Funktion erforderliche
Infrastruktur und deren Betrieb sich komfortabel und kostengünstig in
die vorhandene IT-Umgebung integrieren lässt.
7. Nutzenzuwachs für Finanzdienstleister durch Nichtabstreitbarkeit
Für Finanzdienstleister (Banken, Kreditinstitute, Kreditkartenakzeptanzunternehmen) erwächst ein erkennbarer Anreiz für den Einsatzes der eIDFunktion in rechtswirksamen Online-Geschäften vornehmlich aus der mit der
an Besitz und Wissen geknüpften Nichtabstreitbarkeit der Zahlungsforderungen. Damit verringert sich auch für Finanzdienstleister das Risiko für durch
Betrug (Debit- oder Kreditkartenmissbrauch) auf Seiten der Händler entstandene wirtschaftliche Schäden einstehen zu müssen.106 Aber auch sie werden
die Nutzung der eID-Funktion wohl nur unterstützen, wenn:
a) eine wirtschaftlich relevante Anzahl von Verbrauchern wie Händlern
den Einsatz der eID-Funktion für Online-Geschäfte akzeptieren,
b) der Nutzen aus dem Einsatz der eID-Funktion (bspw. der Sicherheitsgewinn) den Aufwand für die Integration der eID-Funktion in vorhandene Abläufe und IT-Infrastrukturen übersteigt.
106
58
Siehe dazu auch Fn. 32.
8. Nutzenanreiz für Logistikdienstleister durch Reduktion von Falschlieferungen und Abnahmeverpflichtung
Für Logistik-Dienstleister entsteht ein erkennbarer Nutzen aus der Nichtabstreitbarkeit des Online-Rechtsgeschäfts und der darauf - die unbeschädigte
Zustellung vorausgesetzt - gründenden Abnahmeverpflichtung durch den
Kunden sowie der Zuverlässigkeit der Kundendaten. Das dürfte die Kosten
durch Falschlieferungen oder Retouren mindern.
Ob der Einsatz der eID-Funktion als Bestätigung für eine korrekte Lieferung akzeptabel ist, lässt sich derzeit empirisch nicht belegen. Zumal für diesen Fall die Zulieferer
zusätzlich mit den erforderlichen Lesegeräten ausgestattet werden müssten und eine
Zustellung über einen abnahmebereiten Nachbarn möglicherweise entfällt und damit
wieder zusätzliche Kosten für wiederholte Anlieferungen entstehen könnten.
9. eID-Infrastrukturen an korporative Dritte (eID-Dienstleister) auslagern.
Aus der Perspektive der E-Shop Betreiber sowie mittelständischer ECommerce-Anbieter lassen sich die Hemmnisse für die Nutzung des elektronischen Identitätsnachweises fraglos dadurch verringern, dass die Anbieter die
hierfür erforderliche prozessuale und technische eID-Infrastruktur nicht
selbst handhaben müssen, sondern diese an einen beauftragten, korporativen
Dritten („eID-Dienstleister“) auslagern können. Auf diese Weise bräuchten sie
lediglich die vermittels einer durch den „eID-Dienstleister“ ausgeführten
elektronischen Identitätsabfrage nachgewiesene Korrektheit der Angaben eines Kunden und den auf Besitz und Wissen gründenden Erklärungswillen in
ihr E-Commerce- resp. Full-Service-Angebot sowie die dahinter liegenden und
bereits bestehenden ERP- und CRM-Systeme einzubinden.
10. Der erfahrbare Nutzen ist unterschiedlich verteilt
Die Verteilung von Nutzen und Aufwand zwischen den an der Wertschöpfungskette im E-Commerce Beteiligten ist komplexer als zumeist dargestellt
wird und variiert in den unterschiedlichen Handelsformen und Waren- bzw.
Dienstleistungsbereichen. Sie muss daher für unterschiedliche Konstellationen
(Szenarien) in Form einer mehrseitigen Nutzen-Aufwands-Analyse und unter
Einbeziehung sämtlicher an der Wertschöpfkette für die unterschiedlichen
Szenarien Beteiligten ermittelt werden.
11. Sichere Altersverifikation
Die eID-Funktion auf dem neuen Personalausweis erlaubt eine sichere pseudonyme Altersverifikation. Dank der selektiven Freigabe einzelner Datenfelder in Verbindung mit entsprechenden Berechtigungszertifikaten (nur Alter,
kein Name) und der Möglichkeit boolscher Abfragen (hier: nicht Geburtsdatum, sondern Bestätigung „älter als 18 Jahre“) kann ein Anbieter altersbeschränkter Dienstleistungen ( jugendgefährdende Inhalte, Glücksspiele) den
strengen gesetzlichen Anforderungen nachkommen ohne von dem Kunden
mehr personenbezogene Daten zu verlangen als für die Erbringung der Dienstleistung erforderlich ist. Dieses Verfahren ist für den Anbieter mit deutlich ge-
59
ringeren Kosten verbunden als das Postident-Verfahren oder hardwarebezogene Maßnahmen gegen die Weitergabe von Zugangsberechtigungen. Zudem
ist es auch bei einer spontanen Nutzung ohne Einbuße an Sicherheit einsetzbar.
12. Komfort mit Mobile Commerce
Die zunehmende Leistungsfähigkeit mobiler Endgeräte wird die Entwicklung
und den Ausbau des mobilen E-Commerce-Bereichs weiter befeuern. Vor dem
Hintergrund, dass der elektronische Identitätsnachweis kontaktlos - mittels so
genannter Near Field Communication - über entsprechend ausgestattete
(Terminal-) Endgeräte (wie Handy, Smartphone oder Tablet PC) möglich ist,
liegt die Vermutung nahe, dass die Akzeptanz für die Nutzung der eIDFunktion durch die Verbraucher - zumindest aus der Perspektive einer deutlich verbesserten Benutzerfreundlichkeit (usability) - gesteigert werden kann,
wenn für die so genannte Terminal Authentication künftig auch Handy,
Smartphone oder auch in Kombination mit Tablet-PC’s eingesetzt werden
können.
60
6.
Explorative Umfrage
Der neue Personalausweis eröffnet mit dem elektronischen Identitätsnachweis (eIDFunktion) für Kunden und Dienstleister die Möglichkeit, sich im Internet, an Terminals und SB-Automaten sicher und zuverlässig gegenseitig auszuweisen. Bereits über
5 Millionen Besitzer des neuen Ausweises haben die eID-Funktion aktiviert und vermögen sie jedoch aufgrund fehlender Alltagsanwendungen nur selten einzusetzen.
Anbieter kommerzieller Internetdienste andererseits kennen häufig genug die Vorteile der eID-Funktion nicht oder scheuen den Aufwand für die Integration in ihre elektronischen Dienstleistungen.
In Abstimmung mit dem Bundesministerium des Innern haben CSC und das Institut
für Informationsmanagement Bremen im August 2012 eine explorative OnlineUmfrage bei IT-Dienstleistern, Schlüsselanwendern und Verbänden, Unternehmensgruppen und mittelständischen Unternehmen durchgeführt. Ziel der Umfrage war, die
in Abschnitt 5 dieses Dokuments formulierten Thesen an den Erwartungen und Bedürfnissen für eine Nutzung der eID-Funktion des neuen Personalausweises zu spiegeln sowie Hinweise zu erhalten, wie die Zielgruppe für die Etablierung einer eID Infrastruktur im E-Commerce auf Basis des neuen Personalausweises zu gewinnen wäre.107
Von den mehr als 100 via E-Mail angeschriebenen Kontakten von Industrie- und Handelskammern, IT-Dienstleistern und Produktenwicklern, Unternehmen und Verbänden des Online-Handels und Finanzdienstleistern, haben sich 54 an der Umfrage beteiligt. Die Antworten bestätigen weitgehend die in Abschnitt 5 formulierten Thesen.
These 1: der Konzentrationsprozess im E-Commerce setzt sich fort
Mehr als zwei Drittel der Teilnehmer an der Befragung sind der Überzeugung, dass
sich der zu beobachtende Konzentrationsprozess im Online-Handel fortsetzen wird.
4%
0%
26%
Ja
Vielleicht
70%
Nein
Weiß nicht
Abbildung 20: Sind Sie der Auffassung, dass sich der zu beobachtende Konzentrationsprozess im
Online-Handel fortsetzen wird?
107 Der für die Online-Umfrage zugrunde gelegte Fragebogen ist diesem Dokument als Anhang
A beigefügt.
61
These 2: zunehmender Identitätsmissbrauch im Netz verunsichert Händler wie
Verbraucher
Die Ergebnisse der Umfrage bestätigen, dass Identitätsdiebstahl und Identitätsmissbrauch im Internet den Wunsch der Verbraucher wie der Händler nach verlässlichen
und sicheren Instrumenten und Prozeduren zur zuverlässigen Feststellung elektronischer Identitäten im Netz verstärken. Neben dem Datenschutz und der Datensicherheit wird vertrauenswürdigen elektronischen Identitäten im E-Commerce daher eine
besondere Bedeutung zugerechnet. Das unterstreicht die Relevanz des Themas und
des Engagements des BMI. Das wird nicht zuletzt auch aus den Antworten auf die Frage „Wie wichtig ist E-Commerce Anbietern die zuverlässige Authentisierung ihrer
Kunden?“ deutlich, bei der 50% sie zumindest für wichtig und 35% sogar für sehr
wichtig halten. In die gleiche Richtung weist, dass 50% der Umfrageteilnehmer die bestehenden Sicherheitsmechanismen für die Registrierung/Anmeldung von Kunden
auf E-Commerce-Plattformen für nicht ausreichend halten. Zudem halten 67% Datenschutz und 56% die Datensicherheit auch für ein gewichtiges Verkaufsargument
(security sells).
Datenschutz
67%
Datensicherheit
56%
Social Media
37%
Datenbasierte Kundenansprache
41%
Erhebung, Verknüpfung und Auswertung von
Kundendaten (Data Mining)
52%
Datenzuverlässigkeit und Datenqualität
69%
Vertrauenswürdige elektronische Identitäten
69%
Cloud Computing
22%
Abbildung 21: Welchem der folgenden Themen messen Sie bei der künftigen Entwicklung des ECommerce besondere Bedeutung bei? (Mehrfachnennungen möglich)
Darüber hinaus ist, wie aus Abbildung 21 ersichtlich, für die Teilnehmer auch die Qualität von Identitätsdaten wichtig.
These 3: klare Rollen und Anreize entlang der gesamten Wertschöpfungskette
Fast 70% der Umfrageteilnehmer können sich vorstellen, dass es für Kunden ein Anreiz wäre die eID-Funktion für eine zuverlässige Authentifizierung und Autorisierung
von Transaktionen im Internet zu nutzen, wenn der Anbieter im Gegenzug dafür den
Kunden Sonderkonditionen einräumen würde (wie bspw. Rabatte oder günstigere
Lieferkonditionen).
62
4% 4%
Ja
26%
Vielleicht
66%
Nein
Weiß nicht
Abbildung 22: Können Sie sich vorstellen, dass es für Kunden ein Anreiz wäre die eID-Funktion
für eine zuverlässige Authentifizierung und Autorisierung von Transkationen im Internet zu nutzen, wenn der Anbieter dafür den Kunden Sonderkonditionen einzuräumen würde (wie bspw.
Rabatte oder günstige Lieferkonditionen)?
Ob andererseits die Händler bereit wären, beim Einsatz der eID-Funktion den Kunden
Sonderkonditionen einzuräumen, ist sich die Mehrheit nicht sicher.
Unter welchen Umständen man sich die Nutzung der eID-Funktion durch ECommerce-Plattformen vorstellen könnte, sind wie zu erwarten, der darstellbare betriebswirtschaftliche Nutzen sowie gesetzliche Regelungen die Favoriten. Immerhin
glauben aber auch 66% der Umfrageteilnehmer, dass der Wunsch der Kunden, die
eID-Funktion zu nutzen, die Händler ebenfalls dazu bewegen könnte, den Einsatz und
die Nutzung der eID-Funktion zu erwägen.
Wenn dies von den Kunden gewünscht wird
66%
Wenn dies von den Kreditinstituten/Banken
unterstützt wird
50%
Wenn dies von Zahlungsdienstleistern (Payment
Service Providern wie bspw. PayPal) unterstützt wird
61%
Wenn es dafür gesetzlich Vorschriften gibt (wie die
Altersverifikation)
70%
Wenn der Einsatz zu einem darstellbaren
betriebswirtschaftlichen Nutzen führt
80%
Gar nicht
0%
Weiß nicht
0%
Abbildung 23: Unter welchen Umständen können Sie sich eine Nutzung der eID-Funktion durch ECommerce-Plattformen vorstellen? (Mehrfachnennungen möglich)
These 4: der Nutzengewinn muss für den Verbraucher offensichtlich sein
Der Nutzengewinn, so die Überzeugung der Autoren dieser Expertise, muss in der
Abwägung von Gewinnen und Verlusten (Preisgabe persönlicher Daten) durch den
63
Verbraucher unmittelbar und überzeugend wahrgenommen werden können und den
Aufwand für die Benutzung der eID-Funktion des neuen Personalausweises (Kosten,
Einrichtungs- und Nutzungsaufwand) übertreffen.
Hinsichtlich der Frage, ob die zuverlässige Authentifizierung mittels der eID-Funktion
zur Unterstützung von Bezahlfunktionen genutzt werden könnte, sieht dies die überwiegende Mehrheit der Umfrageteilnehmer vornehmlich bei den Zahlungsarten, Zahlung auf Rechnung sowie Finanz- und Ratenkauf. Dieses Ergebnis ist insofern interessant, als Zahlung auf Rechnung nach wie vor zu den beliebtesten Zahlungsarten in
Deutschland zählt.
Kauf auf Rechnung
74%
Finanz- und Ratenkauf
72%
Aktuelles elektronisches Lastschriftverfahren
56%
Künftige SEPA-Lastschrift (eID soll Unterschrift für
das Mandat ersetzen)
Mobiles Bezahlen mit Handy oder Smartphone
(ohne Kleinbeträge)
Zusätzliche Absicherung von Kartenzahlungen
(Debitoren und Kreditkarten)
Andere Online-Bezahlverfahren (ClickandBuy,
Paypal, Giropay usw.)
Überweisung per Online-Banking (eID und
Sessioncode ersetzen TAN)
Weiß nicht
61%
39%
41%
54%
50%
2%
Abbildung 24: Können Sie sich vorstellen, dass die zuverlässige Authentifizierung mittels der eIDFunktion zur Unterstützung von Bezahlfunktionen genutzt werden kann? Bspw. für (Mehrfachnennungen möglich):
Neben möglichen Anreizen durch Online-Händler beim Einsatz der eID-Funktion halten mehr als zwei Drittel auch die Unterstützung durch Zahlungs- und Finanzdienstleister sowie einen für den Verbraucher erkenn- und nachvollziehbaren Sicherheitsgewinn für wichtig. So kann sich eine deutliche Mehrheit der Umfrageteilnehmer die
Nutzung der eID-Funktion des neuen Personalausweises künftig auch für die Erteilung eines SEPA-Lastschriftmandats über das Internet vorstellen.
Nicht minder bedeutsam ist für die Umfrageteilnehmer aber auch die kostengünstige
Anschaffung der für die Nutzung der eID-Funktion erforderlichen Hard- und Software
durch den Verbraucher sowie deren einfache Inbetriebnahme (Installation) und vor
allem benutzerfreundliche Handhabung. Dies unterstreicht die Feststellung in These
4, dass komplexe Systemvoraussetzungen bei Hard- und Software, umständliche Registrierungsprozesse oder auch stark gewöhnungsbedürftige Anwendungen, die nicht
kompatibel mit den bisherigen Erfahrungen und Bedürfnissen der Verbraucher sind,
für die Akzeptanz und die Bereitschaft diese auch zu nutzen, kontraproduktiv sind.
64
Die Unterstützung der Funktion durch Online-Anbieter
65%
Die Unterstützung der Funktion durch Zahlungs- und
Finanzdienstleister
63%
Zusätzliche Anreize beim Einsatz der Funktion durch Online Händler
57%
Einfache und benutzerfreundliche Handhabung
76%
Kostengünstige Anschaffung der für die Nutzung notwendigen
Hard- und Software (bspw. die Anschaffung von Lesegeräten)
70%
Einfache Einrichtung (Installation) und Inbetriebnahme
63%
Ein erkennbarer und nachvollziehbarer Sicherheitsgewinn
Weiß nicht
70%
0%
Abbildung 25: Was würde Ihrer Meinung nach die Nutzung der eID-Funktion des neuen Personalausweises durch die Internetkunden positiv beeinflussen (Mehrfachnennungen möglich)
These 5: zuverlässige Authentifizierung verringert die Betrugschancen
Mehr als drei Viertel der Umfrageteilnehmer glauben, dass die Nutzung der eIDFunktion des neuen Personalausweises für die Verbraucher wie für die OnlineHändler einen Sicherheits- und Vertrauensgewinn zur Folge haben könnte. Fast die
gleiche Anzahl ist darüber hinaus überzeugt, dass die Nutzung der eID-Funktion für
die Verbraucher die Gefahr Opfer von Identitätsdiebstahl, Identitätsmissbrauch, von
Spoofing- und Phishing-Attacken zu werden, verringern könnte. Immerhin 50% sehen
in der Nutzung der eID-Funktion für Internet-Dienstleister auch einen verbesserten
Schutz vor Internetkriminalität und können sich zudem vorstellen, dass der Einsatz
und die Nutzung der eID-Funktion im Online-Handel für Logistikdienstleister das Risiko von Falschlieferungen oder Verweigerung der Annahme vermindern könnte.
2%
9%
Ja
20%
Vielleicht
69%
Nein
Weiß nicht
Abbildung 26: Glauben Sie, dass die Nutzung der eID-Funktion des neuen Personalausweises für
die Kunden die Gefahr Opfer von Identitätsdiebstahl, Identitätsmissbrauch, von Spoofing- und
Phishing-Attacken zu werden, verringern könnte?
65
These 6: Sicherheits- und Vertrauensgewinn für E-Shop Betreiber
Für E-Shop-Betreiber, so die These, erwächst der aus dem Einsatz der eID-Funktion
erkennbare Nutzen vor allem aus dem möglichen Vertrauens- und Sicherheitsgewinn
für Verbraucher und Händler und den daraus entstehenden Möglichkeiten für die
Verbesserung und Expansion der Kundenbindung auf Verbraucher- wie auf Händlerseite.
Erhöhung der Zuverlässigkeit der Kundenangaben
85%
Erhöhung der Datenqualität
67%
Verringerung von Zahlungsausfällen durch
Nichtabstreitbarkeit der Online-Transaktionen
56%
Verringerung von Retouren durch zuverlässige
Adressangaben
63%
Verringerung des Geschäftsrisikos durch zuverlässige
Altersverifikation
71%
Keiner
0%
Weiß nicht
0%
Abbildung 27: Welcher betriebswirtschaftliche Nutzen ist aus Ihrer Sicht für E-Commerce-Unternehmen für den Einsatz und die Nutzung der eID-Funktion des neuen Personalausweises im Online-Geschäft darstellbar und ggf. ein möglicher Anreiz? (Mehrfachnennungen möglich)
Für die überwiegende Mehrheit der Umfrageteilnehmer entsteht der Vertrauens- und
Sicherheitsgewinn vor allem aus Erhöhung der Qualität und Zuverlässigkeit der Kundendaten, namentlich bei der für bestimmte Geschäftsvorfälle (wie bspw. OnlineWetten) erforderlichen Altersverifikation. Mit dem beim Einsatz der eID-Funktion anzunehmenden konkludenten Verhalten im Geschäftsverkehr über das Internet, verringert sich zudem aus Sicht der Umfrageteilnehmer das Risiko von Zahlungsausfällen
aufgrund der damit begründeten Nichtabstreitbarkeit der Online-Transaktion sowie
die Anzahl unerwünschter Retouren durch ungenaue oder auch bewusst falsch angegebene Zustellinformationen. Hiermit scheint auch ein tatsächlicher betriebswirtschaftlicher Nutzen in der Wertschöpfungskette von Online-Transaktionen darstellbar.
Zugleich bestätigen die Antworten aber auch, dass Online-Händler die Nutzung der
eID-Funktion vornehmlich dann unterstützen werden, wenn eine einfache Integration
in bestehende Prozesse und IT-Infrastrukturen möglich ist.
66
Einfache Integration in bestehende Prozesse
81%
Einfache und kostengünstige Integration in
bestehende IT-Infrastrukturen
89%
Einfachere Prozesse für die Beantragung und
Erneuerung von Berechtigungszertifikaten
54%
Kostensenkung der Berechtigungszertifikate
52%
Einfachere Handhabung für die Kunden
Weiß nicht
80%
0%
Abbildung 28: Welche der nachfolgend genannten Faktoren würde die Akzeptanz für die Nutzung
der eID-Funktion bei E-Commerce-Anbieter und der Zahlungsdienstleister erhöhen? (Mehrfachnennung möglich)
Das gilt selbstverständlich auch für Finanzdienstleister, wie in These 7 ausgeführt.
These 7: Nutzenzuwachs für Finanzdienstleister durch Nicht-Abstreitbarkeit
Wie aus Abbildung 27 ebenfalls ersichtlich sehen zumindest mehr als die Hälfte der
Umfrageteilnehmer aus der mit dem Einsatz der eID-Funktion an Besitz und Wissen
geknüpften Nichtabstreitbarkeit von Online-Transaktionen eine mögliche Verringerung von Zahlungsausfällen.
Damit verringert sich selbstverständlich auch für Finanzdienstleister das Risiko für
durch Betrug (Debit- oder Kreditkartenmissbrauch) auf Seiten der Händler entstandene wirtschaftliche Schäden einstehen zu müssen.
These 8: Nutzenanreiz für Logistikdienstleister durch Reduktion von Falschlieferungen und Abnahmeverpflichtung
Die aus der mit dem Einsatz der eID-Funktion an Besitz und Wissen geknüpften Nichtabstreitbarkeit von Online-Transaktionen erweist sich natürlich auch für LogistikDienstleister von Vorteil. Fast zwei Drittel der Umfrageteilnehmer glauben zudem,
dass der Einsatz der eID-Funktion die Anzahl unnötiger Retouren aufgrund der erhöhten Zuverlässigkeit der Adressangeben deutlich verringern dürfte (siehe dazu Abbildung 27).
These 9: eID-Infrastrukturen an korporative Dritte (eID-Dienstleister) auslagern.
Mehr als die Hälfte der Umfrageteilnehmer sind überzeugt, dass sich die Hemmnisse
für die Nutzung des elektronischen Identitätsnachweises mit dem neuen Personalausweises dadurch verringern lassen, wenn die Anbieter die hierfür erforderliche
67
prozessuale und technische eID-Infrastruktur nicht selbst handhaben müssen, sondern diese an einen beauftragten, korporativen Dritten („eID-Dienstleister“) auslagern
können.
4%
9%
50%
37%
Ja
Vielleicht
Nein
Weiß nicht
Abbildung 29: Würde es die Akzeptanz der E-Commerce-Anbieter für die Nutzung der eIDFunktion erhöhen, wenn diese die hierfür erforderliche eID-Infrastruktur (Berechtigungszertifikate, eID-Service, Anwendungsintegration) nicht selbst handhaben müssten, sondern diese an einen beauftragten Dritten (einen eID-Dienstleister) auslagern könnten.
These 10: Der erfahrbare Nutzen ist unterschiedlich verteilt
Dass die Verteilung von Nutzen und Aufwand zwischen den an der Wertschöpfungskette im E-Commerce Beteiligten komplexer ist als zumeist dargestellt, und daher für
unterschiedliche Konstellationen (Szenarien) in Form einer mehrseitigen NutzenAufwands-Analyse und unter Einbeziehung sämtlicher an der Wertschöpfkette für die
unterschiedlichen Szenarien Beteiligten ermittelt werden muss, macht die Antwort
auf die Frage deutlich, welche der Prozessbeteiligten die Rolle eines eID-Dienstleisters
übernehmen sollte. Hier sind sich die Umfrageteilnehmer wie aus der folgenden Abbildung ersichtlich nicht sicher.
68
E-Commerce Plattformbetreiber
46%
Payment Service Provider und Banken /
Kreditinstitute
ERP- und CRM-Systemanbieter
44%
4%
IT-Service-/ IT-Netz-Anbieter
35%
Trustcenter als eID-Spezialisten
56%
Andere nicht genannte
Weiß nicht
15%
9%
Abbildung 30: Welche der genannten oder möglichen Prozessbeteiligten sollten aus Ihrer Sicht
die Funktion des „eID-Dienstleisters“ für mittelständische Unternehmen übernehmen? (Mehrfachnennung möglich)
These 11: Sichere Altersverifikation
Fast alle der Umfrageteilnehmer sind sich sicher, dass die Nutzung der eID-Funktion
vor allem bei der zuverlässigen Altersverifikation einen Nutzengewinn im OnlineHandel ermöglicht.
Registrierung eines Kundenkontos
85%
Bestellannahme und Auslieferung/ Download
46%
Altersverifikation (Geschäftsfähigkeit oder
altersbeschränkte Waren und Dienste)
94%
Kundendienst (Rücksendung, Reklamation,
Rückfragen,…)
27%
als virtuelle Rabattkarte
23%
zum Bezahlen
Weiß nicht
54%
2%
Abbildung 31: Für welche Szenarien können Sie sich den Einsatz und die Nutzung der eIDFunktion im Online-Handel gut vorstellen? (Mehrfachnennungen möglich)
69
These 12: Komfort mit Mobile Commerce
Die überwiegende Mehrheit der Umfrageteilnehmer ist sich sicher, dass die Möglichkeit die eID-Funktion mit mobilen Endgeräten nutzen zu können, die Akzeptanz deutlich erhöhen würde.
0%
6%
26%
Ja
Vielleicht
68%
Nein
Weiß nicht
Abbildung 32: Würde eine mobile Nutzungsmöglichkeit der eID-Funktion im Zusammenwirken
mit dem Handy, Smartphone oder Tablet-PC (mit eingebautem Lesegerät und vorkonfiguriertem
eID-Client) Ihrer Meinung nach die Akzeptanz der Internetnutzer für den Einsatz der eIDFunktion erhöhen?
Fazit: Insgesamt lassen die Umfrageergebnisse den Schluss zu, dass der Einsatz und
die Nutzung der eID-Funktion des neuen Personalausweises aus der Sicht der Umfrageteilnehmern in der Tat geeignet wäre, die Sicherheit im E-Commerce sowohl für die
Händler als auch für die Verbraucher zu erhöhen. Die Einsatzmöglichkeiten werden
dabei vor allem bei der Eröffnung eines Kundenkontos auf E-Commerce- oder Finanzdienstleistungsplattformen im Internet sowie der Verifikation von Altersangaben zur
Überprüfung der Geschäftsfähigkeit beim Bezug altersbeschränkter Waren oder
Dienstleistungen gesehen.
Die überwiegende Mehrheit der Umfrageteilnehmer erwartet, dass die für den Einsatz
und die Nutzung der eID-Funktion erforderlichen IT-Infrastrukturen an (korporative)
Dritte ausgelagert und auf einfache Weise in bestehende Prozesse und ITInfrastrukturen eingebettet werden können. Ebenso hält eine deutliche Mehrheit der
Umfrageteilnehmer den möglichen Einsatz der eID-Funktion auf mobilen Endgeräten
für die Akzeptanz der Verbraucher für unabdingbar.
70
7.
Schlussfolgerungen
Die Adoption neuer Technologien und Innovationen wird, wenn auch nicht losgelöst,
so doch zu einem weit geringeren Anteil als häufig angenommen durch ihre objektiven Eigenschaften bestimmt. Nach Rogers (2003) ist eine Innovation „an idea, practice
or object perceived as an individual or other unit of adoption.“108 Entscheidend für
Adoption von Innovationen ist demzufolge vor allem die subjektive Wahrnehmung
der Innovation und ihrer Begründung durch potentielle Nachfrager.109 Massenmedien
vermögen zwar den Bekanntheitsgrad von Innovationen zu erhöhen, soziale Beziehungen und Erfahrungen sind jedoch weitaus bestimmender, wenn es darum geht,
Einstellungen gegenüber einer Innovation zu formen oder zu verändern und somit die
Adoptionsentscheidungen anderer Personen zu beeinflussen.
Die eID-Funktion des neuen Personalausweises gehört für den Verbraucher wie
für den Händler zu den genannten Systemgütern. Sie besitzen für die Konsumenten
nur einen derivativen Nutzen, der erst entsteht, wenn zumindest ein anderer Marktteilnehmer das Produkt auch benutzt. Mit anderen Worten, diese Güter sind, wenn
keine anderen Marktteilnehmer existieren, die das gleiche Gut benutzen, für den Besitzer vollkommen nutzlos, wie bspw. das Telefon. Dies wird von den Umfrageergebnissen zur Nutzung der eID-Funktion ausdrücklich und nachvollziehbar bestätigt.
Im E-Commerce kommt der Nutzung der eID-Funktion vor allem die Rolle einer
präventiven Innovation zu. Sie erhöht die Sicherheit der Transaktion über das Internet, indem sie die Authentizität der Transaktionsteilnehmer wie auch der Transaktion
selbst stärkt, auf Seiten der Händler bspw. durch die Erfassung fälschungssicherer
und fehlerfreier Kundendaten (siehe dazu auch Abbildung 27). Dies wird aber nur
dann als relativer Vorteil wahrgenommen, wenn sich die Anwender und Konsumenten elektronischer Identitäten über die Risiken eines Identitätsdiebstahls oder Identitätsmissbrauchs bewusst und nicht bereit sind, diese hinzunehmen. Der mit dem Einsatz der eID-Funktion in Aussicht gestellte Sicherheitsgewinn durch die Bereitstellung
zuverlässiger und geschützter elektronischen Identitäten kann folglich nur eingelöst
werden, wenn sie von den Transaktionspartnern für die Transaktion als Ganzes oder
zumindest wesentlichen Teilen davon akzeptiert werden.
Damit unterliegt der relative Vorteil sicherer elektronischer Identitäten auf Basis
der eID-Funktion so genannten indirekten Netzeffekten.110 Indirekte Netzeffekte liegen vor, wenn der Nutzen und die Verbreitung einer Innovation durch die Verfügbarkeit und Verbreitung komplementärer Netzeffektgüter (Produkte und Leistungen) erhöht wird, d. h. Leistungen und Produkte zur Verfügung stehen, die eine neue Innovation schon unterstützen bzw. eine Unterstützung erwarten lassen, also bspw. eine
Vielfalt von Softwareanwendungen für die Nutzung sicherer elektronischer Identitäten über die gesamte Wertschöpfungsbreite und –tiefe von E-Commerce (siehe dazu
108
109
110
Rogers, E. M. : Diffusion of Innovations, Free Press New York 2003, p. 12
Vgl hierzu auch: Roßnagel, H.: Mobile qualifizierte elektronische Signaturen, Gabler Verl.
Wiesbaden 2009, S. 22 ff.
Vgl. Katz, M. L., Shapiro, C.: Network Externalities. Competition and Compatibility, in: The
American Economic Review 3(1985), p. 424-440
71
auch Abbildung 25). Ohne eine breite Allianz der Stakeholder im Kontext von ECommerce ist deshalb ein nachhaltiger Erfolg im Einsatz und der Nutzung der eIDFunktion kaum zu erwarten. Das gilt insbesondere auch für den Einsatz der eIDFunktion zur fälschungssicheren Unterstützung von Bezahlaktionen (bspw. die Nutzung des neuen Personalausweises als „virtuelle Kundenkarte“ in Verbindung mit einem Lastschriftverfahren) oder der fälschungssicheren Zahlungsabwicklung (bspw.
der Lieferung auf Rechnung). E-Government alleine jedenfalls ist kein ausreichender
Treiber für den Einsatz der eID-Funktion. Gleichwohl, ohne anspruchsvolle EGovernment Anwendungen, die die eID-Funktion nutzen, ist eine überzeugende Nachfrage nicht gegeben.
Die Ergebnisse der Online-Umfrage legen den Schluss nahe, dass es für die Nutzung der eID-Funktion im E-Commerce keineswegs zwingend erforderlich ist, dass die
Nutzer (Besitzer wie Konsumenten) die Funktionsweise der eID-Funktion und der
hierfür erforderlichen Prozesse und eID-Infrastrukturen verstehen (siehe dazu auch
Abbildung 28 und Abbildung 29). Auch Geldautomaten werden von den Bürgern genutzt, obwohl ihnen die damit einhergehenden Prozesse und Sicherheitsmaßnahmen
in der Regel nicht bekannt sind. Im Unterschied zur eID-Funktion ist der relative Vorteil (hier der Komfort) für die Nutzer von Bankautomaten allerdings offensichtlich
und an keine weiteren Voraussetzungen geknüpft als den Besitz einer Bankkarte und
die Kenntnis und den Schutz des persönlichen Zugangsschlüssels (PIN). Im Falle der
eID-Funktion und ihrer Nutzung im Online-Handel ist der Verbraucher dagegen bislang nicht nur mit der Beschaffung und Installation notwendiger Hard- und Software
konfrontiert, sondern zudem gem. § 27 Abs. 3 PAuswG mit der Anforderung beschwert, durch technische und organisatorische Maßnahmen zu gewährleisten, dass
der elektronische Identitätsnachweis nur in einer Umgebung eingesetzt wird, die nach
dem jeweiligen Stand der Technik als sicher anzusehen ist. Eine erste Betrachtung der
Kosten-/Nutzenverteilung beim Einsatz der eID-Funktion hinterlässt unter diesen
Umständen daher häufig den Eindruck, dass der Nutzen vor allem den Konsumenten
elektronischer Identitäten, d. h. der Verwaltung und den Online-Händlern zugutekäme, während der größte Teil der Kosten auf die Privatkunden übergewälzt wird, ohne
das dem ein erfahrbarer Nutzengewinn gegenüber stünde. Das betrifft bspw. auch den
naheliegenden Einsatz der eID-Funktion beim Online-Handel mit altersbeschränkten
Waren oder Dienstleistungen. Eine komfortable mobile Nutzungsmöglichkeit der eIDFunktion mit Smartphones oder Tablet-PCs und den gleichen Sicherheitsgarantien
dagegen, würde die Akzeptanz bei den Verbrauchern merklich erhöhen (siehe dazu
Abbildung 32).
Der neue Personalausweis als Träger der eID-Funktion ist natürlich weder dafür
vorgesehen noch dazu geeignet, unbare Zahlungsmittel wie Kreditkarten zu substituieren. Ihm fehlt die im Rechtsverkehr von Wirtschaftssubjekten bargeldvertretende
Funktion. Diese kann ihm auch nicht ex post zugewiesen werden. Ein vorstellbares,
realistisches Szenario ist jedoch, dass die eID-Funktion des neuen Personalausweises
dafür eingesetzt werden könnte, Zahlungsvorgänge im Internet anzustoßen, resp. zu
autorisieren. Die Benutzung der eID-Funktion im Zusammenhang mit der Kauf einer
Ware oder Dienstleistung über das Internet könnte in diesem Kontext ggf. als konklu-
72
dentes Einverständnis des Personalausweisinhabers gegenüber dem Händler für die
Auslösung eines Zahlungsvorgangs, d. h. die Begleichung eines Zahlbetrages über ein
dafür „vorgesehenes/bereitgestelltes“ Konto, interpretiert werden. Ein solches Szenario ist jedoch an eine Reihe von Voraussetzungen geknüpft:
1. Die Akzeptanz des Händlers Zahlungsvorgänge auf diese Weise anzustoßen.
2. Die Akzeptanz des Kunden, jeden Zahlvorgang mit einer Bekanntgabe personenbezogener Daten zu verknüpfen.
3. Die Bekanntgabe eines für die Abwicklung (Begleichung) des Zahlvorganges
„vorgesehenen“ Zahlkontos des Kunden.
4. Die Bereitstellung der eID-Infrastruktur für Internet-Dienstleister durch korporative Dritte.
Bis hierhin unterscheidet sich eine solches Szenario wenig von bisherigen unbaren
Zahlungsvorgängen mit Kreditkarten. Der Sicherheitszuwachs für den Verbraucher Schutz vor Identitätsmissbrauch – ist ohne weiteres kaum erkennbar.
Eine alternative und für den Kunden attraktive Möglichkeit, vor allem im Distanzhandel, wäre, dass Online-Händler und –Dienstleister ihren Kunden beim Einsatz der
eID-Funktion als zuverlässiges Authentifikationsmittel Sonderkonditionen hinsichtlich der Preisgestaltung oder der Zahlungsabwicklung (Zahlung auf Rechnung, Finanzoder Ratenkauf) einräumen. Der relative Nutzen für den Händler würde dabei nicht
nur in der Erhöhung der Zuverlässigkeit und Qualität der Kundendaten, sondern ggf.
auch in einer differenzierten Kundenbindung und den damit einhergehenden Wettbewerbsvorteilen bestehen. Aber, obwohl sich drei Viertel der Umfrageteilnehmer eine solche Unterstützung vorstellen können (siehe dazu Abbildung 24), ist die Bereitschaft von Online-Händlern und –Dienstleistern zu einer derartigen Preisdifferenzierungs- und Zahlungsabwicklungsstrategie bis heute nicht erkennbar. Die mag damit
zusammenhängen, dass, anders als im Handel mit altersbeschränkten Waren und
Dienstleistungen, für Online-Händler und Online–Dienstleister in Ansehung der bislang gewohnten Zahlungsabwicklung das Kosten- / Nutzenverhältnis für die Adoption
der eID-Funktion eine wesentlichere Rolle spielt (siehe dazu auch Abbildung 23).
Ohne jeden Zweifel aber stellen die Umfrageergebnisse heraus, dass im Zusammenhang mit der Zusicherung einer Erhöhung des Datenschutzes und der Datensicherheit
eine mobile Nutzungsmöglichkeit der eID-Funktion derzeit die aus Sicht der Verbraucher, und hier vor allem im Kundensegment der internetaffinen Verbraucher, die attraktivste Lösung darstellt. Das entscheidende Argument ist hier vor allem Komfort,
der sichere Einkauf „anywhere“ and „anytime“.
73
8.
Empfehlungen
Netzeffekte sind für die erfolgreiche und breite Nutzung der eID-Funktion des neuen
Personalausweises von maßgeblicher Bedeutung.111 Voraussetzung für ihre Entstehung und Entwicklung ist, dass ausreichend Leistungen und Produkte angeboten
werden, die einerseits den Einsatz der eID-Funktion unterstützen, resp. eine Unterstützung erwarten lassen, andererseits die Nutzung der eID-Funktion nicht unnötig
durch rechtliche, organisatorische oder technische Hemmnisse sowie unkomfortable
Einsatzbedingungen erschwert wird. Dies legt, nach Auffassung der Autoren und ohne
Anspruch auf Vollständigkeit, die nachfolgend beschriebenen Handlungsempfehlungen für die Etablierung von eID-Infrastrukturen zur Nutzung der eID-Funktion nahe:
8.1. Nachhaltige Verankerung der eID-Funktion in attraktiven E-Government Anwendungen
Bürger wie Wirtschaft gehen berechtigterweise davon aus, dass der mit dem Einsatz
der eID-Funktion zugesicherte relative Nutzengewinn (Sicherheit und Komfort bei
Online-Transaktionen für Unternehmen wie Nutzer) vornehmlich auch in attraktiven
Anwendungsszenarien von eGovernment seinen Niederschlag finden sollte. Positivbeispiele wie die Unterstützung bei der Einrichtung kommunaler Bürgerkonten mit
integrierter eID-Funktion durch das Kommunale Rechenzentrum Minden-Ravensburg
/ Lippe oder elektronischen Formularen in Online-Portalen kommunaler Energieversorger in Münster belegen, dass damit „Behördengänge“ orts- und zeitunabhängig erledigt und zugleich Verwaltungsprozesse effizienter und damit auch kostengünstiger
gestaltet werden können. Dieser Weg sollte konsequent fortgesetzt und durch qualifizierte Angebote kompetenter Prozess- und IT-Beratung auch pro-aktiv beworben und
intensiviert werden. Dazu gehört selbstverständlich auch eine qualifizierte Beratung
in den Meldestellen bei der Aushändigung des neuen Personalausweises. Das mit dem
eGovernment Gesetz verfolgte Ziel mit dem Abbau rechtlicher Hindernisse, wie vor
allem der in vielen Verwaltungsverfahren geforderten Schriftform, die elektronische
Kommunikation mit der Verwaltung zu erleichtern, bietet in diesem Zusammenhang
eine Vielzahl neuer Optionen und Spielräume.
8.2. Aktionsbündnisse und Anreize entlang der gesamten
Wertschöpfungskette des E-Commerce schaffen
Die Nutzung der eID-Funktion im Handel mit Waren und Dienstleistungen über das
Internet ist ohne die Etablierung eines Akzeptanznetzwerkes und Anreizen über die
111
74
Aus diesem Grunde hat CSC dem BMI vorgeschlagen, mit einer durch CSC gesponserten und
unterstützten wissenschaftlichen Analyse, Erkenntnisse über die Informations- und Kommunikationsflüsse des Akteurs- und Stakeholdernetzwerks der für die Mittelstandsoffensive des BMI in Frage kommenden Unternehmen zu gewinnen. Durch das Aufdecken struktureller Defizite des Netzwerks sowie die Identifikation von Teilgruppen und so genannten
„Gatekeepern“, die möglicherweise aus den verschiedensten Gründen Informationsflüsse
und Entscheidungen behindern, könnten die Handlungsempfehlungen qualifiziert oder ggf.
sogar erweitert werden.
gesamte Wertschöpfungskette hinweg wenig erfolgversprechend. Ungeachtet der Tatsache, dass die Umfrageergebnisse nachdrücklich ein Interesse von Online-Händlern
und eShop-Betreibern an zuverlässigen, medienbruchfreien Kundendaten signalisieren, braucht die Unterstützung sicherer Transaktionen über das Internet vermittels
der eID-Funktion ebenso die Akzeptanz und den Support von Finanzdienstleistern
und Payment Service Providern oder auch Logistik-Dienstleistern. Insbesondere dann,
wenn der Einsatz der eID-Funktion durch Anreize für den Ausweisinhaber (wie bspw.
die Lieferung auf Rechnung) begleitet werden soll.
Die Etablierung eines solchen Akzeptanznetzwerkes von E-Commerce Stakeholdern sollte durch das BMI politisch initiiert und moderiert werden, bspw. in Form regelmäßiger Konsultationen oder Foren mit allen an der Wertschöpfungskette beteiligten Unternehmen und Dienstleistern. Natürlich mit dem Ziel, Anforderungen oder
auch Hemmnisse für den Einsatz der eID-Funktion im E-Commerce zu identifizieren
und einer Lösung zuzuführen. Eine Beschränkung auf IT-Dienstleister oder Payment
Service Provider würde für eine erfolgversprechende Mittelstandsoffensive zur Nutzung der eID-Funktion zu kurz springen (Anlage B enthält eine Zusammenstellung
von Ansprechpartnern bei denen ein nachhaltiges Interesse in der Umfrage signalisiert wurde oder zumindest angenommen werden kann).
Es ist naheliegend, sich in einem solch vertieften politischen Dialog vor allem der
aktiven und öffentlichkeitswirksamen Unterstützung der Unternehmens- und Branchenverbände zu versichern. Eine konzertierte oder zumindest abgestimmte Aktion
mit dem BMWi (Stichwort: Mittelstandpolitik) und dem BMF (Stichwort: SEPA) sowie
der deutschen Kreditwirtschaft (Stichwort: SEPA Begleitgesetz ab 2014) wäre dabei
sicher hilfreich und könnte einem solchen Dialog eine angemessene Bedeutung und in
der Folge auch ein angemessenes Interesse auf Seiten der Unternehmens- und Branchenverbände verleihen. Darüber hinaus sollten an diesem Dialog ebenso etablierte
wie auch interessierte Cloud Service Provider, eID-Dienstleister sowie Anwendungsentwickler zur Nutzung der eID-Funktion beteiligt werden. In diesem Zusammenhang könnte man bspw. gemeinsam mit Vertretern der deutschen Kreditwirtschaft prüfen, ob die eID-Funktion auch geeignet wäre, das SEPALastschriftverfahren elektronisch zu mandatieren.
Zweifellos würde es darüber hinaus den Bemühungen des BMI um mehr Sicherheit und Vertrauen im Internet Schubkraft verleihen, wenn es gelänge, einen Marktführer im E-Commerce zu gewinnen, der kraft seines Ansehens und attraktiver Angebote der Nutzung der eID-Funktion im Online-Handel zum Durchbruch verhilft.
8.3. eID für den Jugendschutz und die Suchtprävention
einsetzen
Der Einsatz der eID-Funktion beim Kauf von Waren oder Dienstleistungen über das
Internet erlaubt eine sichere Altersverifikation der Konsumenten. Damit ist nicht nur
eine Prüfung der Geschäftsfähigkeit beim Verkauf hochpreisiger Waren oder Dienstleistungen (i. S. von § 110 BGB – „Taschengeldparagraph“) möglich, sondern kann zudem der Verkauf altersbeschränkter Medien, Waren und Dienstleistungen zuverlässig
75
verhindert und hieraus folgend auch ein wirksamer Beitrag zur Suchtprävention
(Stichworte: Genussmittel und Spielsucht) geleistet werden.
Der gesetzlichen Bestimmung nach § 1 Abs. 4 JuSchG liegt die Erwägung zugrunde, dass die für einen effektiven Kinder- und Jugendschutz notwendige Sicherstellung
eines Versandes nur an Erwachsene nicht nur durch einen persönlichen Kontakt zwischen Lieferant und Besteller erreicht werden könne, sondern auch durch technische
Vorkehrungen wie z. B. sichere Altersverifikationssysteme.
Davon ausgehend sollten durch das BMI Gespräche zwischen den betroffenen Internetdienstleistern, eID-Service-Providern, den zuständigen Aufsichtsbehörden, Jugendschutz- und Suchtbeauftragten der verschiedenen Ressorts, der Bundesarbeitsgemeinschaft Jugendschutz, dem BMFSFJ und BMG sowie darüber hinaus - die
Aufstellung von Glücksspielautomaten und den Betrieb von Glücksspieleinrichtungen
(hier insbesondere Lotto und Sportwetten) betreffend - dem BMWi und den zuständigen Länderbehörden, in Gang gebracht und ggf. auch moderiert werden, die dazu
beitragen, die Bereitschaft der Online-Dienstleister wie auch der Offline-Dienstleister
zur Nutzung der eID-Funktion für eine sichere und zuverlässige Altersverifikation
nachhaltig zu befördern.
8.4. Mobile elektronische Identitäten unterstützen
Die Expansion internetfähiger Mobilgeräte in allen gesellschaftlichen Bereichen ist
nicht zu übersehen. Nahezu jeder nutzt heute ein Smartphone oder ein Tablet, um
mobil ins Internet zu gehen. Die Umfrageergebnisse bestätigen auch, dass mobile Nutzungsmöglichkeiten der eID-Funktion des neuen Personalausweises die Akzeptanz bei
den Verbrauchern deutlich erhöhen würde. Für derartige Einsatzmöglichkeiten sind
grundsätzlich zwei Szenarien denkbar:
(1) Das mobile Endgerät mit dem neuen Personalausweis zum Zeitpunkt einer
Online-Transaktion via Nahfeldkommunikation (NFC) zu verbinden. Das würde dem mobilen Endgerät erlauben, die eID-Funktion für die Authentisierung
gegenüber einem Online-Dienstleister zu nutzen.
Allerdings sind NFC-fähige Endgeräte heute noch keine Selbstverständlichkeit.
Gleichwohl kann man davon ausgehen, dass die Ausstattung mobiler Endgeräte mit NFC für die „mobile Geldbörse“ in absehbarer Zeit zu erwarten ist.112
Technische Probleme, ausgelöst durch inkompatible Protokollstandards, die
die zuverlässige Kommunikation mit dem Personalausweis heute noch möglicherweise behindern, scheinen lösbar. Das BMI sollte deshalb in geeigneter
112
76
Google startete schon im letzten Jahr seinen mobilen Bezahldienst Google Wallet, der kontaktloses Bezahlen mit einem in das Smartphone integrierten NFC-Chip ermöglicht. Auch
die eBay-Tochter PayPal hat entsprechende Pläne. Auf Basis von mpass, einem Bezahlservice der deutschen Mobilfunknetzbetreiber Telekom, Vodafone und o2, mit dem in diversen
Onlineshops bezahlt und bei dem man sich bequem und sicher mit der eID-Funktion registrieren kann, bietet o2 nun auch die Bezahlung im stationären Handel mit der NFCTechnologie an. Kunden des Anbieters, die sich unter mpass.de/o2 für den Service registrieren,
erhalten
einen
NFC-Chip
als
Sticker.
(Quelle:
http://www.telespiegel.de/news/12/1010-o2-nfc-mpass.htm)
Weise alle Aktivitäten unterstützen, die eine standardisierte interoperable
Kommunikation mit dem neuen Personalausweis via NFC ermöglichen. Dazu
gehört natürlich auch ein aktives Engagement in den in diesem Umfeld tätigen
europäischen Standardisierungsgremien, um langfristig auch den grenzüberschreitenden Einsatz der eID-Funktion zu gewährleisten.
(2) Die Nutzung von aus der eID-Funktion des Personalausweises „abgeleiteten“
elektronischen Identitäten. Diese werden als geschütztes - mit den Sicherheitsinstrumenten des neuen Personalausweises ausgestattetes - Softwaretoken, d. h. mit dem gleichen Sicherheitsniveau und funktional gleichen Sicherheitseigenschaften wie für den neuen Personalausweis, auf dem Mobilgerät
zur Verfügung gestellt und können mit NFC-Technologie genutzt werden. Dabei wären sogar „abgestufte“ elektronische Identitäten für unterschiedliche Sicherheitsanforderungen vorstellbar. Solche “abgeleiteten“ elektronischen
Identitäten könnten – wie bspw. von der Bundesdruckerei vorgeschlagen –
vermittels einer auf dem Endgerät lauffähigen Anwendung, die mit dem Ausweis über ein Lesegerät oder via NFC kommuniziert, auf dem mobilen Endgerät erzeugt und verwaltet werden. Denkbar wäre auch eine Bereitstellung „abgeleiteter“ elektronischer Identitäten zum (nachladbaren) Download auf ein
mobiles Endgerät durch eID-Dienstleister nach vorausgehender Identifikation
mit der eID-Funktion des Ausweises. Ebenso eine Ableitung zum Zeitpunkt der
Aushändigung des neuen Personalausweises in einer Meldestelle, beim Kauf
eines mobilen Endgerätes und der Inbetriebnahme der SIM-Karte oder abrufbare elektronische Identitäten in einer sicheren Cloud. Auf diese Weise ließe
sich das Konzept der „elektronischen Geldbörse“ um das fehlende Element eines überall verfügbaren und zugleich sicheren Identitätsnachweises in Form
einer Online-Ausweisfunktion ergänzen.
Das BMI sollte, unterstützt durch das BSI, derartige Entwicklungen durch die Spezifikation sicherheitstechnischer Mindeststandards begleiten und mit einem Zertifizierungsprozess und „Stresstests“ die Erfüllung der Sicherheitsziele prüfen. Damit würde
das Vertrauen der Verbraucher wie der Händler in die Nutzung solch „abgeleiteter“
elektronischer Identitäten zweifellos gestärkt. Darüber hinaus sollte das BMI seine Erfahrungen und Kompetenzen auch in die europäischen Bemühungen um grenzüberschreitende, sichere elektronische Identitäten einbringen.
8.5. Die eID-Funktion an POS-Terminals?
Ein unmittelbarer Einsatz des neuen Personalausweises als unbares Zahlungsmittel
ist von seinen Zielen nicht intendiert. Selbst der Einsatz als Authentifikationsinstrument an POS-Terminals ist technisch an eine ganze Reihe sehr voraussetzungsvoller
Annahmen geknüpft, deren Umsetzung einen deutlichen Aufwand auf Seiten der
Händler nach sich ziehen würde (siehe dazu das Whitepaper des BMI über Einsatzszenarien des nPA am Point of Sale, Version 1.3 vom 29. Mai 2012). Davon abgesehen
ist der Einsatz der eID-Funktion in Situationen vorstellbar wie bspw.

die Altersverifikation an SB-Automaten
77



die Einrichtung von Kundenkonten in Verbindung mit der Teilnahme an einem
Lastschriftverfahren (bspw. SEPA)
zur Unterstützung (Identitätsnachweis) von Retouren in den Filialen von
Handelsketten und Warenhäusern und
beim Abschluss von Kredit- und Teilzahlungsverträgen.
Das BMI sollte daher mit den Verbänden des Offline-Handels Gespräche aufnehmen,
die zu einer belastbaren Einschätzung möglicher Nutzenpotenziale führen.
In diesem Zusammenhang sollte das BMI auch die Möglichkeit prüfen, die eIDFunktion des neuen Personalausweises auch offline, d. h. ohne augenblicklichen Anschluss an einen eID-Service Provider, an Automaten, Terminals und Zugangssystemen einsetzen zu können. Das würde dem Handel neue Handlungsoptionen für kundenfreundliche und zugleich sichere Lösungen eröffnen. Das BMI könnte für eine solche Prüfung das BSI mit der Durchführung technischer Machbarkeitsstudien beauftragen.
8.6. Die Kommunikation spürbar verbessern
Die Bewerbung der eID-Funktion als sicheres und zuverlässiges Instrument zur Authentifikation im Internet findet bis heute überwiegend über „Nischen“medien, wie
dedizierte Ausweisportale oder auf Webseiten der in diesem Umfeld tätigen ITUnternehmen statt. Sie setzt eine aktive Auseinandersetzung der Nutzer voraus und
erreicht damit vor allem jene, die – gestützt auf technische Vorkenntnisse - bereits eine Nutzung in Erwägung ziehen und aus diesem Grund auf der Suche nach mehr Informationen sind. Jeder Schokoriegel aber wird heute aggressiver beworben, als neue
und vor allem sichere Geschäftsmodelle rund um den neuen Personalausweis. Nötig
wäre daher die Wiederaufnahme einer aktiven und öffentlichkeitswirksamen (und
darum auch nicht vorrangig technisch getriebenen) Kommunikationsstrategie, die
bewusst auch auf die Einbeziehung traditioneller Print- und elektronischer Medien
setzt, und vor allem die Sicherheitseigenschaften der eID-Funktion zielgruppengerecht erläutert. Eine aktive Unterstützung durch die Branchenverbände der OnlineHändler, der Finanzdienstleister und Payment Service Provider, sowie der IT-, und Telekommunikationsunternehmen wäre dabei sicher ebenso hilfreich wie überzeugend.
78
9.
Quellen
9.1. Bücher
Bertino, E., Takahashi, K. Identity Management. Concepts, Technologies and Systems, Artech
House Norwood MA 2011
Borges, G., Schwenk, J., Stuckenberg, C.-F., Wegener, C.: Identitätsdiebstahl und Identitätsmissbrauch im Internet, Springer Verl. Berlin Heidelberg 2011
Cheffey, D.: E-Business & E-Commerce Management, Prentice Hall 2011
Dannenberg, M., Ulrich, A.: E-Payment and E-Billing, Gabler Verl. Wiesbaden 2004
Fumy, W., Paeschke, M. (Hrsg.) eID Security. Concepts-Practical Experiences-Technologies,
Publicis Publishing Erlangen 2011
Funder, J., Strähle, J., Ehlbeck, M., Natkowski, T.: Online gewinnen, Deutscher Fachverlag Frankfurt a. M. 2011
Hentrich, H., Zdun, U.: Process-Driven SOA, CRC Press Boca Raton FL 2012
Kahler, T., Werner, S.: Electronic Banking und Datenschutz, Springer Verl. Berlin 2008
Krallmann, H., Zapp, A. (Hrsg.): Bausteine einer vernetzten Verwaltung, Erich Schmidt Verl.
Berlin 2012
Kubicek, H., Noack, T.: Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis?,
LIT Verl. Dr. W. Hopf Berlin 2010
Lammer, T.: Handbuch E-Money, E-Payment & M-Payment, Physica Verlag Heidelberg 2006
Langer, J., Roland, M.: Anwendungen und Technik von Near Field Communication (NFC), Springer Verl. Berlin Heidelberg 2010
Plattner, H., Zeier, A. : In-Memory Data Management, Springer Berlin Heidelberg 2011
Rannenberg, K., Royer, D., Deuker, A. (Hrsg.): The Future of Identity in the Information Society,
Springer Verlag Dordrecht 2009
Sarna, D. E. Y.: Implementing and Developing Cloud Computing Applications, CRC Press Boca
Raton FL 2011
Shark, A. R. : Seven Trends That Will Transform Local Government Through Technology, Public
Technology Institute, Alexandria VA 2012
Schönbohm, A.: Deutschlands Sicherheit. Cybercrime and Cyberwar, MV-Verl Münster 2011
Solari, C.: Security in a Web 2.0 World, Wiley & Sons Ltd. 2009
9.2. Studien
Akzeptanz von Sevurity-as-a-Service-Lösungen, BITKOM 2011, abgerufen am 17.05.2012 unter www.bitkom.org
BMWi November 2011: Monitoring-Report, Deutschland Digital 2011, abgerufen am
05.06.2012 unter:
http://www.bmwi.de/BMWi/Navigation/Service/publikationen,did=461760.html
Datenschutz im Internet – Eine repräsentative Untersuchung zum Thema Daten im Internet,
BITKOM 2011, abgerufen am 17.05.2012 unter www.bitkom.org
Cloud Computing im Mittelstand, PricewaterhouseCoopers 2011, abgerufen am 17.05.2012 unter: http://www.pwc.de/de/mittelstand/cloud-computing-im-mittelstand.jhtml
Cybercrime – Bundeslagebild 2010, htttp://www.bka.de, abgerufen am 06.06.2012
79
DIVSI Milieustudie zu Vertrauen und Sicherheit im Internet, Hamburg 2012, abgerufen am
20.05.2012 unter: www.divsi.de/divsi-milieu-studie
Einkaufen 4.0. Der Einfluss von E-Commerce auf Lebensqualität und Einkaufsverhalten, Deutsche Post-DHL und tns infratest 2012, abgerufen am 17.05.2012 unter: www.dp-dhl.com
GData Malware-Report 2011, abgerufen am 17.05.2012 unter:
http://www.gdata.de/fileadmin/01_public/Presse/Publikationen/GData_MWR_2_2011_DE.pd
f
Go smart 2012. Always in Touch. Studie zur Smartphone Nutzung 2012, abgerufen am
26.05.2012 unter: http://www.ottogroup.com/media/docs/de/studien/go_smart.pdf
Identitätsmissbrauch im Online-Handel – Status quo in Deutschland, eine Studie des ECommerce-Center Handel (ECC Handel) über Sicherheitsrisiken bei der Internetnutzung aus
Verbrauchersicht in Zusammenarbeit mit der SCHUFA Holding AG, März 2012, abgerufen am
06.06.2012 unter http://www.ecc-handel.de/
Lagebericht der IT-Sicherheit in Deutschland 2011, abgerufen am 17.05. 2012 unter:
www.bsi.bund.de
LeGuide.com. Survey on the online practices of European E-Merchants 2009, abgerufen unter:
http://www.leguide.com/press/fr/2010/Survey%20merchants.pdf
Netzgesellschaft, BITKOM 2011, abgerufen am 17.05.2012 unter: www.bitkom.org
Mittelstand im Mittelpunkt. DZ Bank Mittelstandsstudie 2012, abgerufen am 17.05. 2012 unter: www.dzbank.de
Meckel, M., Hoffmann, P. von Kaenel, A. C. : Sicherheit vs. Privatheit, Studie ISPRAT und des Instituts für Medien- und Kommunikationsmanagement, St. Gallen Nov. 2011, abgerufen am
17.05.2012 unter:
http://isprat.net/fileadmin/downloads/pdfs/Abschlussbericht%20Sicherheit%20vs%20Priv
atheit.pdf
SIT Technical Reports: On the security of cloud storage services, March 2012, abgerufen am
25.05.2012 unter: http://www.sit.fraunhofer.de/de/cloudstudy.html
Trend Topic E-Commerce, Marktstudie Axel Springer AG 2011, abgerufen am 17.05.2012 unter: http://www.axelspringer-mediapilot.de/branchenberichte/EinzelhandelEinzelhandel_703139.html?beitrag_id=459953
80
10.
Anlagen
81
Anlage A: Auswertung der Online Befragung
Inhalt
1.
Einführung (Befragungseinladung) .......................................................................... 2
2.
Teilnehmer .............................................................................................................. 3
2.1.
Industrie- und Handelskammern (IHKs) ................................................................... 3
2.2.
Produktentwickler .................................................................................................... 3
2.3.
eID-Service Anbieter................................................................................................ 4
2.4.
Verbände und Forschungseinrichtungen ................................................................. 4
2.5.
Gesamtübersicht ..................................................................................................... 4
2.6.
Kommentare ............................................................................................................ 5
3.
Auswertung der Umfrage ......................................................................................... 6
3.1.
Zur Entwicklung der Wertschöpfungskette im E-Commerce .................................... 6
3.2.
Zum Nutzen und zur Nutzung der eID-Funktion des neuen
Personalausweises .................................................................................................. 9
3.3.
Unterstützung durch einfache eID-Infrastrukturen ...................................................17
1. Einführung (Befragungseinladung)
Der neue Personalausweis eröffnet mit dem elektronischen Identitätsnachweis (eID-Funktion) für
Kunden und Dienstleister die Möglichkeit, sich im Internet, an Terminals und SB-Automaten sicher
und zuverlässig gegenseitig auszuweisen. Dabei kann sich der Kunde darauf verlassen, dass bei der
Nutzung der eID-Funktion nur die für den Geschäftszweck zwingend erforderlichen Personendaten
einem Dienstleister mit staatlichem Berechtigungszertifikat zugänglich werden. Der Dienstleister
kann sicher sein, bei der Nutzung der eID-Funktion zuverlässige und fehlerfreie Identitätsdaten des
Kunden zu erhalten, die er in hoher Qualität medienbruchfrei den anschließenden Geschäftsprozessen zugrunde legen kann. Mit der verschlüsselten sicheren Übertragung der Identitätsdaten entsteht
vor allem im Internet ein neues Vertrauensniveau.
Bereits über 5 Millionen Besitzer des neuen Ausweises haben die eID-Funktion aktiviert und vermögen sie aufgrund fehlender Alltagsanwendungen nur selten einzusetzen. Anbieter kommerzieller
Internetdienste kennen die Vorteile der eID-Funktion nicht oder scheuen den Aufwand für die Integration in ihre elektronischen Dienstleistungen.
Mit dem Ziel Sicherheit und Vertrauen in der elektronischen Welt zu stärken, sucht das Bundesministerium des Innern die Unterstützung und Initiative von IT-Dienstleistern, Schlüsselanwendern und
Verbänden, um Unternehmensgruppen und mittelständischen Unternehmen insbesondere im Bereich E-Commerce (elektronisch unterstützter Handel, Logistik, Dienstleistungsgewerbe usw.) den
Zugang zur eID-Infrastruktur zu erleichtern.
Ziel dieser Befragung ist es, Handlungsoptionen zu erkennen, die geeignet sind, den Einsatz und die
Nutzung der eID-Funktion im E-Commerce zu fördern sowie potentielle Akteure für die Unterstützung des elektronischen Identitätsnachweises im gewerblichen Bereich zu identifizieren.
Wir sind Ihnen dankbar für die Teilnahme an dieser Befragung, die im Auftrag des Bundesministeriums des Innern (BMI) durch die Computer Sciences Corporation Deutschland Solutions GmbH (CSC)
und das Institut für Informationsmanagement Bremen (ifib) durchgeführt wird. Teilnehmer an der
Befragung erhalten die exklusive Einladung zur Konferenz „Sichere Identität im E-Commerce“ am 31.
Oktober 2012 in Berlin.
Für die Beantwortung der folgenden 25 Fragen mit vorgegebenen Antwortmöglichkeiten benötigen
Sie ca. 15 Minuten. Bitte senden Sie den ausgefüllten Fragenbogen bis 30.08.2012 an uns zurück.
Kontaktinformation
Herzlichen Dank für Ihre Unterstützung. Sollten Sie noch Fragen haben, wenden Sie sich bitte an:
Dr. rer. nat. Wolf Zimmer
[email protected]
p: +49 30 206 536 683
Eric N. de Vries
[email protected]
p: +49.30.206536.803
2|Seite
2. Teilnehmer
2.1.
Industrie- und Handelskammern (IHKs)
IHKs
IHK München und Oberbayern
IHK Nord Westfalen
IHK Koblenz
IHK Schwerin
IHK Südlicher Oberrhein (u. a. Freiburg)
Südwestfälischen Industrie- und Handelskammer (SIHK) zu Hagen
Handelskammer Hamburg
2.2.
Anzahl
1
1
1
1
1
1
1
7 (Gesamt)
Produktentwickler
Produktentwickler
Atos Worldline
Telecash
Valora GmbH
VeriFone
Ingenico
Bit-Soft (PersoPay)
Deutsche Bahn
Bundesdruckerei
bos
DATEV
Deutsche Telekom
Vodafone
Strato
]init[ AG
Identive GmbH
Kobil Systems GmbH
CardContact Software & System Consulting
CSC Deutschland Solutions GmbH
Bandenburg IV (selbst. Kaufmann)
Micus Management Consulting GmbH
Zimmer IV (selbst. Kaufmann)
IKEA Deutschland GmbH Co KG
TUI 4U GmbH
eparo GmbH
DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH
Anzahl
1
1
1
1
1
1
1
1
1
1
3
1
1
2
1
1
1
1
1
1
1
1
1
2
1
30 (Gesamt)
3|Seite
2.3.
eID-Service Anbieter
eID Service Anbieter
Adesso AG
Bardenheuer GmbH
eGov Consulting and Development GmbH
HJP Consulting GmbH
Governikus AG
Steria Mummert Consulting (SMC)
2.4.
Verbände und Forschungseinrichtungen
Verbände & Forschung
Bundesverband des Deutschen Versandhandels e.V. (bvh)
Gesamtverband der Deutschen
Versicherungswirtschaft e.V. (GDV)
Bundesverband der Dt. Volks- und Raiffeisenbanken (BVR)
Mittelstandsverbund (ZGV)
Bundesverband Informationswirtschaft,
Telekommunikation und neue Medien (BITKOM)
Electronic Commerce Center Stuttgart
Institut für Informationsmanagement Bremen GmbH (ifib)
FTVT - Forschungs- und Technologieverbund
Thüringen
BVEA - Förderverein - Förderverein des Bundesverbandes Evangelischer Arbeitnehmerorganisationen e.V.
Bundesverband deutscher Banken (BDB)
2.5.
Anzahl
1
1
1
1
1
1
6 (Gesamt)
Anzahl
2
1
1
1
1
1
1
1
1
1
11 (Gesamt)
Gesamtübersicht
Befragte
Industrie- und Handelskammern (IHKs)
Produktentwickler
eID Service Anbieter
Verbände & Forschung
Anzahl
7
30
6
11
54 (Gesamt)
4|Seite
2.6.
Kommentare
Kontakte
Kommentare
Bundesverband des
Deutschen Versandhandels e.V.
Deutschland verfügt glücklicherweise über eine sehr niedrige Betrugsrate im Internethandel. Das macht den nPA unattraktiv für die Händler. Außerdem sind die Kosten
pro Transaktion zu hoch und die Anwendung auf Userseite ist nicht trivial, was zu
einer erhöhten Abbrecherquote führen würde.
Sehr geehrte Damen und Herren, wie viel haben die eSignatur beantragt? - eindeutig
viel zu kompliziert! - darum wird dieser Punkt auch nicht untersucht. Viel Erfolg.
MfG M. Schulze
Die Killeranwendung des nPA ist die Reduzierung der im Internet erforderlichen
Kennwörter für das Login auf Anbieterseiten.
FTVT e.V.
CardContact Software & System Consulting
STRATO AG
Zimmer IV (selbst.
Kaufmann)
]init[ AG
DB Mobility Logistics
AG
IKEA Deutschland
GmbHCo KG
Mit jedem neuen Anbieter wird eine neue Benutzerkennung und Passwort notwendig. Hier den nPA als reines Authentifizierungswerkzeug zur Erzeugung des RI Pseudonyms zu verwenden und eine schlanke Integration in den Browser zu haben, dass
würden viele Anwender nutzen. So wird das vermutlich irgendwann Google-ID oder
Facebook als Identity-Provider übernehmen.
Grundsätzlich wäre im Vorfeld eine Aufklärungskampagne dringend notwendig - die
schnell und klar den Nutzen für alle präsentiert.
Format wie Scheckkarte GUT. Wie Regelung bei Verlust/Diebstahl - sperren wie Kreditkarte ?
Bei jüngeren Nutzer glaube ich die Variante "alles auf eine Karte"und MOBILE Nutzung sicher interessant - ältere Nutzer möchten sicher Bank / Kreditgeschäfte und
Personalausweis weiterhin getrennt halten. Mobile Nutzung abhängig von Ausbildung
und Status Sehr geehrte Damen, sehr geehrte Herren,
Sie haben sehr interessante Fragen gestellt. Falls möglich, würde ich gerne das Ergebnis der Umfrage erfahren und freue mich über die Zusendung der Auswertung.
Mit freundlichen Grüßen, David Bury
zu 3.5:
=> Positive Darstellung bei der Ausweisbeantragung durch die zuständigen Ämter.
=> Klare (öffentlichkeitswirksame) Abgrenzung zwischen den eID Funktionen und den
Interessen zur Nachforschung durch BND, Polizeibehörden und BKA usw.
Generell ist der Ansatz, die elD-Funktion des neuen Ausweises im Handel einsetzen zu
können sehr gut. Wichtig vor dem Einsatz ist eine transparente, Verbraucherinformation / Kommunikation. Verbraucher müssen ihren Vorteil über die mögliche zusätzliche Sicherheit erkennen aber auch über die möglichen Risiken informiert werden.
Hat der Verbraucher von Anfang an Misstrauen, wird der Einsatz scheitern.
5|Seite
3. Auswertung der Umfrage
3.1.
Zur Entwicklung der Wertschöpfungskette im E-Commerce
1. Welche Strategien versprechen Ihrer Ansicht nach für das Angebot von Produkten und Dienstleistungen im Internet den größten Erfolg für mittelständische Anbieter? (Mehrfachnennungen
möglich)
Dienstleistungs- und Produktplatzierung
auf branchenübergreifenden Plattformen
39%
Dienstleistungs- und Produktplatzierung
auf branchenspezifischen Plattformen
72%
Dienstleistungs- und Produktplatzierung
auf regionalen Plattformen
39%
Dienstleistungs- und Produktplatzierung
auf eigenen Webseiten
Weiß nicht
56%
4%
Dienstleistungs- und Produktplatzierung auf branchenübergreifenden Plattformen
Dienstleistungs- und Produktplatzierung auf branchenspezifischen Plattformen
21
39
Dienstleistungs- und Produktplatzierung auf regionalen Plattformen
21
Dienstleistungs- und Produktplatzierung auf eigenen Webseiten
30
Weiß nicht
2
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
2. Sind Sie der Auffassung, dass sich der zu beobachtende Konzentrationsprozess im Online-Handel
fortsetzen wird?
4%
0%
26%
Ja
Vielleicht
70%
Nein
Weiß nicht
Ja
38
Vielleicht
14
Nein
2
Weiß nicht
0
6|Seite
3. Welche Bedeutung wird Ihrer Ansicht nach Cloud Computing auf die künftige Entwicklung von ECommerce(-Plattformen) haben?
Große Bedeutung
32%
Eher moderate Bedeutung
39%
Wenig Bedeutung
Keine Bedeutung
22%
0%
Weiß nicht
7%
Große Bedeutung
17
Eher moderate Bedeutung
21
Wenig Bedeutung
12
Keine Bedeutung
0
Weiß nicht
4
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
4. Welchem der folgenden Themen messen Sie bei der künftigen Entwicklung des E-Commerce
besondere Bedeutung bei? (Mehrfachnennungen möglich)
Datenschutz
67%
Datensicherheit
56%
Social Media
37%
Datenbasierte Kundenansprache
41%
Erhebung, Verknüpfung und Auswertung von
Kundendaten (Data Mining)
52%
Datenzuverlässigkeit und Datenqualität
69%
Vertrauenswürdige elektronische Identitäten
69%
Cloud Computing
22%
Datenschutz
36
Datensicherheit
30
Social Media
20
7|Seite
Datenbasierte Kundenansprache
22
Erhebung, Verknüpfung und Auswertung vom Kundendaten (Data Mining)
28
Datenzuverlässigkeit und Datenqualität
37
Vertrauenswürdige elektronische Identitäten
37
Cloud Computing
12
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
5. Welche Bedeutung messen Sie in der Zukunft Mobile Computing im Online-Handel zu?
Große Bedeutung
74%
Eher moderate Bedeutung
Wenig Bedeutung
Keine Bedeutung
Bleibt abzuwarten
Weiß nicht
18%
4%
0%
4%
0%
Große Bedeutung
40
Eher moderate Bedeutung
10
Wenig Bedeutung
2
Keine Bedeutung
0
Bleibt abzuwarten
2
Weiß nicht
0
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
8|Seite
3.2.
Zum Nutzen und zur Nutzung der eID-Funktion des neuen
Personalausweises
6. Sind für E-Commerce-Anbieter Datenschutz und Datensicherheit ein Verkaufsargument (security
sells)?
2%
8%
20%
Ja
Vielleicht
70%
Nein
Weiß nicht
Ja
38
Vielleicht
11
Nein
4
Weiß nicht
1
7. Wie wichtig ist E-Commerce Anbietern die zuverlässige Authentisierung ihrer Kunden?
Sehr wichtig
35%
Wichtig
50%
Weniger wichtig
Unwichtig
Weiß nicht
13%
0%
2%
Sehr wichtig
19
Wichtig
27
Weniger wichtig
7
Unwichtig
0
Weiß nicht
1
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
9|Seite
8. Werden im E-Commerce Online-Authentifizierungen vorwiegend dafür genutzt:
Die Zahlungsinformationen
des Kunden zu erfassen
(Schuldverhältnis)
0%
20%
56%
24%
Die Identität des Kunden zu
erfassen (Anlieferung,
Kundendienst, Umtausch
u.a.)
Beides
Weiß nicht
Die Zahlungsinformationen des Kunden zu erfassen (Schuldverhältnis)
Die Identität des Kunden zu erfassen (Anlieferung, Kundendienst,
Umtausch u.a.)
Beides
11
13
30
Weiß nicht
0
9. Halten Sie die bestehenden Sicherheitsmechanismen für die Registrierung / Anmeldung von
Kunden auf E-Commerce-Plattformen mit Nutzername oder E-Mailadresse und Passwort und via
HTTPS für ausreichend?
4%
22%
48%
Ja
Vielleicht
26%
Nein
Weiß nicht
Ja
12
Vielleicht
14
Nein
26
Weiß nicht
2
10 | S e i t e
10. Welche Kenntnisse haben Sie über die Möglichkeiten und technischen Erfordernisse des elektronischen Identitätsnachweises mit dem neuen Personalausweis?
2%
Umfangreiche
Kenntnisse
26%
48%
24%
Ausreichende
Kenntnisse
Wenige Kenntnisse
Keine Kenntnisse
Umfangreiche Kenntnisse
26
Ausreichende Kenntnisse
13
Wenige Kenntnisse
14
Keine Kenntnisse
1
11. Können Sie sich vorstellen, dass die Nutzung der eID-Funktion des neuen Personalausweises sowohl für Online-Handler als auch für Kunden einen Sicherheits- und Vertrauensgewinn darstellen
könnte?
2%
0%
24%
Ja
Vielleicht
74%
Nein
Weiß nicht
Ja
40
Vielleicht
13
Nein
1
Weiß nicht
0
11 | S e i t e
12. Glauben Sie, dass die Nutzung der eID-Funktion des neuen Personalausweises den Schutz der
Händlers/ Dienstleisters vor Internetkriminalität, insbesondere Angriffen auf die E-CommercePlattform erhöhen könnte?
2%
24%
48%
Ja
Vielleicht
26%
Nein
Weiß nicht
Ja
26
Vielleicht
14
Nein
13
Weiß nicht
1
13. Glauben Sie, dass die Nutzung der eID-Funktion des neuen Personalausweises für die Kunden die
Gefahr Opfer von Identitätsdiebstahl, Identitätsmissbrauch, von Spoofing- und Phishing-Attacken
zu werden, verringern könnte?
2%
9%
Ja
20%
Vielleicht
69%
Nein
Weiß nicht
Ja
37
Vielleicht
11
Nein
5
Weiß nicht
1
12 | S e i t e
14. Können Sie sich vorstellen, dass der Einsatz und die Nutzung der eID-Funktion im Online-Handel
für Logistikdienstleister das Risiko von Falschlieferungen oder Verweigerung der Annahme vermindern könnte?
11%
4%
Ja
50%
Vielleicht
35%
Nein
Weiß nicht
Ja
27
Vielleicht
19
Nein
6
Weiß nicht
2
15. Für welche Szenarien können Sie sich den Einsatz und die Nutzung der eID-Funktion im OnlineHandel gut vorstellen? (Mehrfachnennungen möglich)
Registrierung eines Kundenkontos
83%
Bestellannahme und Auslieferung/ Download
46%
Altersverifikation (Geschäftsfähigkeit oder
altersbeschränkte Waren und Dienste)
94%
Kundendienst (Rücksendung, Reklamation,
Rückfragen,…)
28%
als virtuelle Rabattkarte
20%
zum Bezahlen
Weiß nicht
52%
2%
Registrierung eines Kundenkontos
45
Bestellannahme und Auslieferung/ Download
25
Altersverifikation (Geschäftsfähigkeit oder altersbeschränkte Waren und Dienste)
51
Kundendienst (Rücksendung, Reklamation, Rückfragen,…)
15
als virtuelle Rabattkarte
11
zum Bezahlen
28
Weiß nicht
1
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
13 | S e i t e
16. Können Sie sich vorstellen, dass die zuverlässige Authentifizierung mittels der eID-Funktion zur
Unterstützung von Bezahlfunktionen genutzt werden kann? Bspw. für (Mehrfachnennungen
möglich):
Kauf auf Rechnung
74%
Finanz- und Ratenkauf
72%
Aktuelles elektronisches Lastschriftverfahren
56%
Künftige SEPA-Lastschrift (eID soll Unterschrift für
das Mandat ersetzen)
Mobiles Bezahlen mit Handy oder Smartphone
(ohne Kleinbeträge)
Zusätzliche Absicherung von Kartenzahlungen
(Debitoren und Kreditkarten)
Andere Online-Bezahlverfahren (ClickandBuy,
Paypal, Giropay usw.)
Überweisung per Online-Banking (eID und
Sessioncode ersetzen TAN)
Weiß nicht
61%
39%
41%
54%
50%
2%
40
Kauf auf Rechnung
Finanz- und Ratenkauf
39
aktuelles elektronisches Lastschriftverfahren
30
künftige SEPA-Lastschrift (eID soll Unterschrift für das Mandat ersetzen)
33
Mobiles Bezahlen mit Handy oder Smartphone (ohne Kleinbeträge)
21
Zusätzliche Absicherung von Kartenzahlungen (Debitoren und Kreditkarten)
22
andere Online-Bezahlverfahren (ClickandBuy, Paypal, Giropay usw.)
29
Überweisung per Online-Banking (eID und Sessioncode ersetzen TAN)
27
Weiß nicht
1
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
14 | S e i t e
17. Welcher betriebswirtschaftliche Nutzen ist aus Ihrer Sicht für E-Commerce-Unternehmen für den Einsatz
und die Nutzung der eID-Funktion des neuen Personalausweises im Online-Geschäft darstellbar
und ggf. ein möglicher Anreiz? (Mehrfachnennungen möglich)
Erhöhung der Zuverlässigkeit der Kundenangaben
85%
Erhöhung der Datenqualität
65%
Verringerung von Zahlungsausfällen durch
Nichtabstreitbarkeit der Online-Transaktionen
52%
Verringerung von Retouren durch zuverlässige
Adressangaben
57%
Verringerung des Geschäftsrisikos durch zuverlässige
Altersverifikation
70%
Keiner
0%
Weiß nicht
0%
Erhöhung der Zuverlässigkeit der Kundenangaben
46
Erhöhung der Datenqualität
35
Verringerung von Zahlungsausfällen durch Nichtabstreitbarkeit der Online-Transaktionen
28
Verringerung von Retouren durch zuverlässige Adressangaben
31
Verringerung des Geschäftsrisikos durch zuverlässige Altersverifikation
38
Keiner
0
Weiß nicht
0
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
15 | S e i t e
18. Können Sie sich vorstellen, dass Anbieter beim Einsatz der eID-Funktion für eine zuverlässige
Authentifizierung und Autorisierung von Transkationen im Internet bereit wären, hierfür den
Kunden Sonderkonditionen einzuräumen (wie bspw. Rabatte oder günstigere Lieferkonditionen)?
11%
20%
Ja
24%
Vielleicht
45%
Nein
Weiß nicht
Ja
11
Vielleicht
24
Nein
13
Weiß nicht
6
19. Können Sie sich vorstellen, dass es für Kunden ein Anreiz wäre die eID-Funktion für eine zuverlässige Authentifizierung und Autorisierung von Transaktionen im Internet zu nutzen, wenn der Anbieter im Gegenzug dafür den Kunden Sonderkonditionen einräumen würde (wie bspw. Rabatte
oder günstigere Lieferkonditionen)?
4% 4%
Ja
26%
66%
Vielleicht
Nein
Weiß nicht
Ja
36
Vielleicht
14
Nein
2
Weiß nicht
2
16 | S e i t e
3.3.
Unterstützung durch einfache eID-Infrastrukturen
20. Unter welchen Umständen können Sie sich eine Nutzung der eID-Funktion durch E-CommercePlattformen vorstellen? (Mehrfachnennungen möglich)
Wenn dies von den Kunden gewünscht wird
66%
Wenn dies von den Kreditinstituten/Banken
unterstützt wird
50%
Wenn dies von Zahlungsdienstleistern (Payment
Service Providern wie bspw. PayPal) unterstützt wird
61%
Wenn es dafür gesetzlich Vorschriften gibt (wie die
Altersverifikation)
70%
Wenn der Einsatz zu einem darstellbaren
betriebswirtschaftlichen Nutzen führt
80%
Gar nicht
0%
Weiß nicht
0%
Wenn dies von den Kunden gewünscht wird
36
Wenn dies von den Kreditinstituten/Banken unterstützt wird
Wenn dies von Zahlungsdienstleistern (Payment Service Providern wie bspw. PayPal) unterstützt
wird
Wenn es dafür gesetzlich Vorschriften gibt (wie die Altersverifikation)
27
Wenn der Einsatz zu einem darstellbaren betriebswirtschaftlichen Nutzen führt
43
33
38
Gar nicht
0
Weiß nicht
0
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
17 | S e i t e
21. Welche der nachfolgend genannten Faktoren würde die Akzeptanz für die Nutzung der eIDFunktion bei E-Commerce-Anbieter und der Zahlungsdienstleister erhöhen? (Mehrfachnennung
möglich)
Einfache Integration in bestehende Prozesse
81%
Einfache und kostengünstige Integration in
bestehende IT-Infrastrukturen
89%
Einfachere Prozesse für die Beantragung und
Erneuerung von Berechtigungszertifikaten
54%
Kostensenkung der Berechtigungszertifikate
52%
Einfachere Handhabung für die Kunden
Weiß nicht
80%
0%
Einfache Integration in bestehende Prozesse
44
Einfache und kostengünstige Integration in bestehende IT-Infrastrukturen
48
Einfachere Prozesse für die Beantragung und Erneuerung von Berechtigungszertifikaten
29
Kostensenkung der Berechtigungszertifikate
28
Einfachere Handhabung für die Kunden
43
Weiß nicht
0
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
18 | S e i t e
22. Würde es die Akzeptanz der E-Commerce-Anbieter für die Nutzung der eID-Funktion erhöhen,
wenn diese die hierfür erforderliche eID-Infrastruktur (Berechtigungszertifikate, eID-Service, Anwendungsintegration) nicht selbst handhaben müssten, sondern diese an einen beauftragten
Dritten (einen „eID-Dienstleister“ i. S . einer Auftragsdatenverarbeitung) auslagern können?
4%
9%
50%
37%
Ja
Vielleicht
Nein
Weiß nicht
Ja
27
Vielleicht
20
Nein
2
Weiß nicht
5
19 | S e i t e
23. Welche der genannten oder möglichen Prozessbeteiligten sollten aus Ihrer Sicht die Funktion des
„eID-Dienstleisters“ für mittelständische Unternehmen übernehmen? (Mehrfachnennung möglich)
E-Commerce Plattformbetreiber
46%
Payment Service Provider und Banken /
Kreditinstitute
ERP- und CRM-Systemanbieter
44%
4%
IT-Service-/ IT-Netz-Anbieter
35%
Trustcenter als eID-Spezialisten
56%
Andere nicht genannte
Weiß nicht
15%
9%
E-Commerce Plattformbetreiber
25
Payment Service Provider und Banken / Kreditinstitute
24
ERP- und CRM-Systemanbieter
2
IT-Service-/ IT-Netz-Anbieter
19
Trustcenter als eID-Spezialisten
30
Andere nicht genannte
8
Weiß nicht
5
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
20 | S e i t e
24. Was würde Ihrer Meinung nach die Nutzung der eID-Funktion des neuen Personalausweises
durch die Internetkunden positiv beeinflussen? (Mehrfachnennung möglich)
Die Unterstützung der Funktion durch Online-Anbieter
65%
Die Unterstützung der Funktion durch Zahlungs- und
Finanzdienstleister
63%
Zusätzliche Anreize beim Einsatz der Funktion durch Online Händler
57%
Einfache und benutzerfreundliche Handhabung
76%
Kostengünstige Anschaffung der für die Nutzung notwendigen
Hard- und Software (bspw. die Anschaffung von Lesegeräten)
70%
Einfache Einrichtung (Installation) und Inbetriebnahme
63%
Ein erkennbarer und nachvollziehbarer Sicherheitsgewinn
Weiß nicht
70%
0%
Die Unterstützung der Funktion durch Online-Anbieter
35
Die Unterstützung der Funktion durch Zahlungs- und Finanzdienstleister
34
Zusätzliche Anreize beim Einsatz der Funktion durch Online-Händler
31
Einfache und benutzerfreundliche Handhabung
41
Kostengünstige Anschaffung der für die Nutzung notwendigen Hard- und Software (bspw.
die Anschaffung von Lesegeräten)
38
Einfache Einrichtung (Installation) und Inbetriebnahme
34
Ein erkennbarer und nachvollziehbarer Sicherheitsgewinn
38
Weiß nicht
0
Befragte konnten mehr als eine Auswahl treffen,
daher kann die Gesamtsumme mehr als 100% betragen.
21 | S e i t e
25. Würde eine mobile Nutzungsmöglichkeit der eID-Funktion im Zusammenwirken mit dem
Handy, Smartphone oder Tablet-PC (mit eingebautem Lesegerät und vorkonfiguriertem eIDClient) Ihrer Meinung nach die Akzeptanz der Internetnutzer für den Einsatz der eID-Funktion erhöhen?
0%
6%
26%
Ja
Vielleicht
68%
Nein
Weiß nicht
Ja
Vielleicht
Nein
Weiß nicht
37
14
3
0
22 | S e i t e
Anlage B: Potentielle Ansprechpartner
1. Industrie- und Handelskammern (IHKs)
IHKs
IHK München und Oberbayern
IHK Nord Westfalen
IHK Schwerin
IHK Südlicher Oberrhein (u. a. Freiburg)
Südwestfälischen Industrie- und Handelskammer (SIHK) zu Hagen
Handelskammer Hamburg
2. Produktentwickler / eShop Betreiber / Payment Service Provider
Produktentwickler
Atos Worldline
Bit-Soft (PersoPay)
Bremen Online Services GmbH (bos)
Bundesdruckerei
CardContact Software & System Consulting
CSC Deutschland Solutions GmbH
DATEV
DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH
Deutsche Bahn
Deutsche Telekom
DSV-Gruppe
Easycash
ebay
Identive GmbH
Ingenico
IKEA Deutschland GmbH Co KG
Intershop
]init[ AG
Metro Systems
Microsoft
OpenLimit
Payment network
Paypal
SAP
SIZ Informatikzentrum der Spakassen-Organisation GmbH
Strato
Telecash
VeriFone
Vodafone
1|Seite
3. eID Service Anbieter
eID Service Anbieter
AGETO
Atos Wordline
Bremen Online Services GmbH
Bundesdruckerei
DataClearing NRW (KZRN)
Deutsche Post - SignTrust
epa connect GmbH
]init[ AG
Kommunale Datenverarbeitung Region Stuttgart (KDRS)
media transfer AG
OpenLimit
4. Verbände & Forschungseinrichtungen
Verbände & Forschung
Arbeitsgemeinschaft Mittelstand
Bundesverband deutscher Banken (BDB)
Bundesverband des Deutschen Versandhandels e.V. (bvh)
Bundesverband der Dt. Volks- und Raiffeisenbanken (BVR)
Bundesverband der deutschen Fluggesellschaften
Bundesverband Informationswirtschaft,
Telekommunikation und neue Medien (BITKOM)
Bundesverband Interaktive Unterhaltungssoftware e. V. (BIU)
Bundesverband der Computerspielindustrie e.V. (GAME)
Deutsches Institut für Vertrauen und Sicherheit im Internet (DIVSI)
Dt. Sparkassen- und Giroverband (DSGV)
DEHOGA Bundesverband
Electronic Commerce Center Stuttgart
E-Commerce-Center Handel
Fraunhofer FOKUS
Handelsverband Deutschland (HDE)
Hotelverband Deutschland (IHA)
Ibi Research Universität Regensburg
Institut für Informationsmanagement Bremen GmbH (ifib)
ISPRAT
Mittelstandsverbund (ZGV)
Universität Bochum – Lehrstuhl für Internet- und Datensicherheit
Union Mittelständischer Unternehmen e. V. (UMU)
2|Seite