Wie in Indien digitale Signaturen die Unterschrift mit Tinte ablösen
Mit Aadhaar besitzt Indien laut Paul Romer, Chefökonom der Weltbank, das ausgefeilteste biometrische Ausweissystem der Welt. Indien nutzt es, um rechtsgültige digitale Unterschriften für über eine Milliarde Menschen zu ermöglichen.
Aadhaar ist eine eindeutige zwölfstellige Zahl, basierend auf biometrischen (Fingerabdruck oder Iris-Scan) und demografischen Daten. Stand März 2017, wurde die Aadhaar-ID bereits über 1,1 Milliarden Menschen bereitgestellt. Das sind über 99 % der Über-18-Jährigen.
„Seit 2015 sind für digitale Signaturen keine Hardware-Tokens mehr gesetzlich vorgeschrieben. Das hat enorm zur Verbreitung von digitalen Signaturen beigetragen“, erklärt Tejas Lagad, Regional Manager Asia bei Nexus.
„Ursprünglich wurde Aadhaar entwickelt, um ein Bankkonto mit den Fingerabdrücken des Kontoinhabers verbinden zu können. Denn Unterstützungsleistungen wurden in der Vergangenheit durch Regierungsbeamte ausgezahlt, was häufig missbraucht wurde. Mit der Einführung des nationalen biometrischen Ausweissystems ergeben sich weitere sinnvolle Einsatzmöglichkeiten“, so Lagad weiter.
Eine Einsatzmöglichkeit sind digitale Unterschriften. Bereits im Jahr 2000 hat die indische Regierung den Information Technology Act (IT Act) erlassen, um rechtsverbindliche Online-Transaktionen zu ermöglichen.
Logistischer Alptraum Hardware-Tokens
„Das Gesetz sieht vor, dass für rechtsverbindliche Unterschriften bzw. Signaturen für Online-Transaktionen auf Basis der Aadhaar ID digitale Zertifikate zu verwenden sind, die auf Hardware wie Smartcards oder Krypto-Tokens bereitgestellt werden. Diese Hardware müssen die Menschen mit sich tragen. Von dieser Möglichkeit haben viele Menschen Gebrauch gemacht. Aber Indien hat eine große Bevölkerung und die Verteilung der Hardware entpuppte sich als logistischer Alptraum“, berichtet Lagad.
Ein weiteres Problem der Hardware-Tokens: Sie kosten Geld und nicht alle Menschen in Indien konnten sie sich leisten.
„Hardware-Tokens funktionieren nicht einfach so zusammen mit Mobiltelefonen. Aber 25 % der Internet-Nutzung in Indien erfolgt mittels mobiler Telefone“, erklärt Tejas Lagad.
Deshalb beschloss die indische Regierung im Jahr 2015, den Einsatz Cloud-basierter Signatur-Services und künftig Hardware-Tokens nicht mehr vorzuschreiben.
„Aktuell gibt es in Indien acht Unternehmen, die lizenziert wurden, um als Certificate Authority (CA) digitale Zertifikate auszustellen“, so Lagad weiter.
Die Lösung des Problems: eSign Services
Vier der Certificate Authorities bieten auch Cloud-basierte Signatur-Services, kurz eSign, an. Organisationen können diesen Service für ihre eigenen elektronischen Services nutzen. Diese CAs heißen eSign Service Providers (ESPs).
„Wenn zum Beispiel eine Retailbank es ihren Kunden ermöglichen will, Online-Transaktionen rechtsgültig zu unterschreiben, würden sie den eSign-Service bei einem ESP kaufen. Dieser Service ließe sich dann nahtlos in die Online-Banking-Applikation einbinden“, erklärt Lagad.
Das Signieren einer Transaktion läuft wie folgt ab: Wenn ein Kunde eine Transaktion mittels der Online-Banking-Applikation unterschreiben möchte, sendet die Bank eine entsprechende Anforderung an den eSign Service Provider. Dieser leitet die Anforderung weiter an den Service der Unique Identification Authority of India (UIDAI). Von dort wird ein Einmal-Passwort (OTP) an das Mobiltelefon des Kunden geschickt.
„Der Kunde muss das Einmal-Passwort in der Applikation eingeben. Die Bank schickt dann eine weitere Anforderung an den eSign Service Provider. Dort wird das Einmal-Passwort gegen den Aadhaar eKYC (Know Your Customer) Service geprüft. Stimmt das OTP überein, schickt der UIDAI-Server die entsprechenden Nutzerdaten. Mit diesen Daten generiert der eSign Service Provider ein Einmal-Digitales-Zertifikat, mit dem die Transaktion signiert wird.“
„Natürlich bieten Einmal-Passwörter keine hundertprozentige Sicherheit. Aber in Indien sind sie die beste Wahl, da sie auch mit einfachen Mobiltelefonen genutzt werden können und keine Internetverbindung voraussetzen“, erklärt Lagad.
Weitere Einsatzmöglichkeiten der Software-Lösung
Digitale Signaturen können auch mittels eines Fingerabdrucks oder Iris-Scans erstellt werden. Allerdings wird dafür spezielle Hardware vor Ort benötigt.
„Der Ablauf hierfür ist identisch mit dem geschilderten. Aber diese Methode ist verglichen mit einem Einmal-Passwort sicherer. Daher kann sie für Anwendungen eingesetzt werden, die ein höheres Maß an Sicherheit verlangen, wie zum Beispiel die Verlängerung eines Ausweises oder eines Führerscheins“, erklärt Lagad.
Speziell für den indischen Markt und die Certificate Authorities, die eSign Services anbieten, hat Nexus eine umfassende Software-Lösung entwickelt.
„Unsere Lösung besteht aus unser CA-Software Certificate Manager und unserem eSign-Server, der speziell auf die indischen Anforderungen an Cloud-basierte Signaturen abgestimmt ist“, erläutert Lagad.
Die indische Zulassungsbehörde Controller of Certifying Authorities (CCA) setzt die Nexus-Lösung als Root Certifying Authority (Zertifizierungsstelle) ein, die Zertifikate für die CAs mit eSign Services herausgibt.
Blogpost lesen:Nexus Certificate Manager unterstützt da EST-Protokoll
Starkes Wachstum erwartet
„Zwei der acht lizenzierten CAs nutzen schon den Certificate Manager und mit weiteren sind wir im Gespräch. Der Mehrwert unserer Lösungen liegt auf der Hand. Wir liefern den benötigten eSign-Server gleich mit“, erklärt Lagad.
„Unsere bewährte Lösung erfüllt die Vorgaben der CCA und Aadhaar lässt sich nahtlos integrieren. Außerdem hat Nexus ein Entwicklungs- und Support-Center vor Ort in Indien. Damit verfügen wir über ausgewiesenes Know-how im Bereich Public Key Infrastructure. So können wir unseren Kunden nicht nur einen guten Service bieten, sondern stellen auch sicher, dass wir die Vorgaben der CCA erfüllen.“
Jetzt, da rechtsgültige digitale Signaturen auch ohne Hardware-Tokens möglich sind, erwartet Tejas Lagad ein starkes Wachstum in diesem Bereich.
Schlüssel zum Erfolg: Komfort für die Kunden
„Die Statistiken belegen, dass die Zahl der online vorgenommenen digitalen Unterschriften in den letzten vier Monaten um 150 % gestiegen ist: von zwei Millionen digitale Signaturen im Oktober 2016 auf fünf Millionen im Februar 2017. Da heute bereits 99 % der erwachsenen Inder digitale Signaturen komfortabel nutzen können, werden viele Organisationen ihre elektronischen Services entsprechend erweitern“, ist sich Lagad sicher.
Vor allem Behörden, im Bereich Smart Cities tätige Unternehmen, Banken, Versicherungen, Kreditinstitute und Telekommunikationsanbieter können von den eSign Services profitieren.
„Dank der eSign Services sind handschriftliche Unterschriften nicht mehr erforderlich. Das reduziert den Papierverbrauch, spart Kosten und bedeutet in vielen Bereichen mehr Komfort für die Kunden“, so Lagad abschließend.