Hinter der Einführung stehen schon zum Stand Dezember heute mehr als 230 Unternehmen aus den verschiedensten Wirtschaftsbereichen sowie Behörden. An der ersten Testphase, dem zentral koordinierten Anwendungstest des Bundesministeriums des Innern (BMI), sind relevante deutsche Versicherungsunternehmen beteiligt. Die ersten Versicherer erkennen hier das Potenzial, das der neue Personalausweis bietet.
Seit November wird der bisherige Personalausweis sukzessive abgelöst. Er vereint die Funktionen des bisherigen Personalausweises als (Sicht-)Ausweis mit neuen elektronischen Funktionen. Diese sind die so genannte Onlineausweisfunktion (auch elektronischer Identitätsnachweis oder „eID“-Funktion genannt) sowie optional die qualifizierte elektronische Signatur. Die Onlineausweisfunktion wie auch die qualifizierte elektronische Signatur stehen für die Nutzung im E-Business und E-Government künftig zur Verfügung.
Weiterhin trägt der neue Personalausweis künftig auch biometrische Daten (Passbild und optional den Fingerabdruck). Hierauf haben aber im Gegensatz zur Onlineausweisfunktion und der Signatur nur zur Identitätskontrolle berechtigte hoheitliche Stellen einen Zugriff. Der neue Personalausweis wird für die Bürger auch handlicher, da er im Scheckkartenformat erscheint.
Die Teilnehmer engagieren sich derzeit im Test der Komponenten zur Nutzung der Onlineausweisfunktion mittels der „eID“-Funktion. Darüber hinaus hat beispielsweise IBM, als Teilnehmer im erweiterten Anwendungstest beim BDI, gemeinsam mit der Fraunhofer Gesellschaft einen „eSafe“ entwickelt, der die Identitätsfunktion des neuen Personalausweises nutzt und einen sicheren virtuellen Speicher für wichtige Dokumente bereitstellt.
Herausforderungen für
Versicherungsunternehmen
Versicherungsunternehmen haben die Verantwortung für die Sicherheit ihrer gespeicherten Kundendaten und Transaktionen. Ein nicht autorisierter Zugriff auf sensible Daten kann weitreichende Konsequenzen für den Kunden und die Reputation des Versicherers haben.
Als Zwei-Faktor-Authentisierung birgt die Integration des neuen PA in Prozesse von Versicherungsunternehmen großes Potenzial zur Risikominimierung. Sowohl der Kunde wie auch das Versicherungsunternehmen können sich dank der Onlineausweisfunktion und der gegenseitigen Authentisierung darauf verlassen, dass ihr Gegenüber im Internet auch wirklich derjenige ist, für den er sich ausgibt. Außerdem sind durch diesen Funktionsumfang die persönlichen Daten des Kunden besser geschützt. Der Kunde muss im Internet nur die Daten offenlegen, die auch zwingend erforderlich sind.
Um aus Versicherungssicht das Potenzial zu heben, das sich mit dem neuen Personalausweis ergibt, muss jedes Fachverfahren bei den Versicherungsunternehmen an den neuen PA einzeln programmatisch angepasst werden. Sicherlich ein legitimer Ansatz für eine erste Pilotierung der Onlineausweisfunktion. Dieses Vorgehen hat aber nicht unwesentliche Aufwände zur Folge. Eine nachhaltige und langfristige Lösung sollte genau an diesem Punkt ansetzen. Sie kann die Integration des neuen Personalausweises an einen zentralen Punkt im Versicherungsunternehmen verlagern. Dieser zentrale Punkt fungiert als eine Art „Türsteher“. Er unterstützt die Identifizierung mit dem neuen Personalausweis und kontrolliert Rechte und Rollen für den Zugriff auf die Daten/Prozesse. Durch die zentrale Integration werden Kosten und Zeit eingespart, da nicht mehr jeder einzelne Prozess für jede Dienstleistung an den neuen Personalausweis angepasst werden muss. Lösungsweg ist daher die Integration in ein zentrales Identitätsmanagement, das nicht nur einem einzelnen Verfahren, sondern einer Vielzahl von Dienstleistungen eines jeden Versicherungsunternehmens dienen kann.
Projekterfahrung aus dem Anwendungstest
Bei der Einführung des neuen Ausweises steht die Assekuranz vor vielen Herausforderungen. Die Erfahrung zeigt, dass ein entsprechendes Projekt zur Einführung des neuen Personalausweises durchdacht aufgesetzt werden muss.
Wichtige Grundlage für die Einführung ist eine genaue Anforderungsanalyse. Dem folgt die Abstimmung der fachlichen und technischen Feinspezifikation der Authentifizierungskonzepte. Dabei stellt die Integration des neuen PA als Zwei-Faktor-Authentisierung in die bestehenden Authentisierungskonzepte der Versicherungsunternehmen durchaus eine Herausforderung dar. Wichtig ist die Einbeziehung der künftigen Nutzer, die durch den neuen Personalausweis einen Teil der Kommunikation rein elektronisch via Internet (Kunden) oder Intranet (Mitarbeiter) abwickeln können. Die Benutzerfreundlichkeit und Verständlichkeit, das zeigen die Erfahrungen mit der elektronischen Signatur, sind ein wichtiger Akzeptanzfaktor. Es ist von großem Vorteil, die auf den neuen Personalausweis zugeschnittenen, geänderten Prozesse der Registrierung und Anmeldung an Versicherungsportalen gemeinsam mit einem erfahrenen Partner zu modellieren.
Diese Prozessmodelle liefern die Grundlage für die Erstellung einer Authentifizierungsarchitektur basierend auf der existierenden Referenzarchitektur eines Versicherers. Der „eID“-Server muss schlussendlich in eine existierende Infrastruktur integriert oder aber angebunden werden. Das Identity-Management sichert die Kommunikation ab, gewährleistet den Datenschutz und stellt die Funktionen des neuen Personalausweises einer Vielzahl von Anwendungen bereit.
Modulare Beratungsbausteine für die Geschäftsprozess- und Systemintegration des neuen PA sowie die Begleitung während der Umsetzungsphase helfen den Diensteanbietern, Methoden und Erfahrungen sowie internationale und nationale Standards in den Phasen der Analyse, Design und Implementierung bis zum Betrieb konsequent anzuwenden und dadurch den Projektverlauf zu beschleunigen.
Des Weiteren bedarf es gerade im Bereich Versicherungsangebot und Versicherungsantrag aufgrund der Gesetzgebung nach wie vor der Schriftform. Hier ist die Gesetzgebung gefordert, die rechtlichen Voraussetzungen zu schaffen, dass ein sinnvoller Einsatz des neuen Personalausweises gegeben ist. Nur wenn im Zusammenspiel mit dem neuen Personalausweis Nutzenvorteile für den Verbraucher, aber auch für die Versicherungsunternehmen entstehen, wird sich der Einsatz des Ausweises beiderseitig lohnen.
Zukünftig werden immer mehr am Internet ausgerichtete Selbstbedienungsverfahren der Assekuranz angeboten und auch durch die Verbraucher gefordert werden. Die heute eher niedrige Kontaktfrequenz der Verbraucher mit Versicherungsunternehmen widerspricht eigentlich diesen Ansätzen. Diese Situation kann sich aber mit einem generellen Authentifizierungsverfahren durch den neuen Personalausweis, das auch in anderen nicht versicherungstechnischen Umfeldern eingesetzt wird, zum Besseren wandeln und die Assekuranz profitiert von einem oft benutzten Verfahren. Man kann nur hoffen, dass hier die entsprechenden rechtlichen Rahmenbedingungen eingeführt werden.
Mehrwertdienste
Eines ist heute schon sehr deutlich zu erkennen. Der neue Personalausweis kann nur zu einem Erfolg werden, wenn es künftig eine Vielzahl von Anwendungsmöglichkeiten und eine große Masse an Ausweisinhabern gibt. Jetzt ist der richtige Zeitpunkt, Kunden und Mitarbeiter auf die Vorteile aufmerksam zu machen. Denn der Bürger entscheidet bei der Ausstellung des neuen PA, ob er die Onlineausweisfunktion aktiviert lassen möchte (so genannte Opt-out-Funktion). Das heißt, dass die elektronische Identität grundsätzlich aktiviert ist. Der Bürger wird sicherlich seiner Pass- und Meldebehörde die Frage stellen, wozu er diese neue Funktion nutzen kann. Entscheidend für die tatsächliche Verwendung des Ausweises ist daher, dass die Pass- und Meldebehörde attraktive Anwendungsbeispiele für die Onlineausweisfunktion aufzeigen kann. Das kann zum Beispiel der Onlineantrag und die Onlineverwaltung von Versicherungsverträgen, der Onlineantrag zur Eröffnung eines Bankkontos oder aber auch der Antrag auf einen Anwohnerparkausweis sein. Die Versicherungsunternehmen können dazu einen wichtigen Beitrag leisten. Denn nur eine Vielzahl von Nutzern auf der Kundenseite eröffnet die Potenziale, die der neue Personalausweis bietet. Die ersten Unternehmen machen daher auch schon ganz aktiv Werbung für den neuen Personalausweis bei ihren Kunden und Mitarbeitern.
Die Sicherheit des neuen Personalausweises wird derzeit in der Presse kontrovers diskutiert. Allerdings werden Sicherheitsrisiken teilweise nicht differenziert genug betrachtet. Vielmehr wird die Anwendung des neuen Personalausweises pauschal als unsicher dargestellt. Geschäftstransaktionen über das Internet sind nie gänzlich risikolos. Hier sei nur jeder an die Vielzahl der Benutzernamen und Passwörter im Internet erinnert, die jeder von uns nutzt. Mit der Onlineausweisfunktion wird es aber ermöglicht, zum Beispiel die Risiken einer Identitätsfeststellung im Internet erheblich zu verringern. Eine sichere Lösung wie den neuen Personalausweis schlechtzureden, weil sie nicht perfekt ist, und deshalb bei einer unsicheren Lösung wie etwa der Authentifizierung über Benutzername und Passwort zu verbleiben, ist daher auch aus Sicht der IBM nicht zielführend und auch gar nicht berechtigt.
Ist der neue Personalausweis auch wirklich sicher?
Stattdessen ist es wichtig, dass die Nutzung des neuen Ausweises in ein übergreifendes IT-Sicherheitskonzept eingebettet ist und durch zusätzliche Sicherheitsmaßnahmen unterstützt wird. Auch die Bürger müssen offen über potenzielle Sicherheitsrisiken und mögliche sinnvolle zusätzliche Schutzmaßnahmen aufgeklärt werden. Praktische Beispiele sind der Einsatz aktueller Antivirenprogramme, um Schadsoftware auf dem PC zu erkennen, oder die Anschaffung eines Chipkartenlesers mit Tastatur, der ein deutlich höheres Sicherheitsniveau bietet als Leser, die die Eingabe der Ausweis-PIN über die Tastatur des PC erfordern. Eines ist aber ganz sicher, der neue Personalausweis bietet ein deutlich höheres Sicherheitsniveau, als wir es derzeit im Internet nutzen können.
Gut vorbereitet starten
Versicherungsunternehmen sind gut beraten, sich bei der Einführung des neuen Personalausweises und der Ausschöpfung der neuen Möglichkeiten erfahrene Projektpartner an ihre Seite zu holen. Unternehmen wie IBM, die sich frühzeitig im Vorfeld der Einführung an den Feldversuchen beteiligt und Kunden bei der Einführung des neuen Personalausweis bereits geholfen haben, können für das Gelingen von Projekten einen wesentlichen Beitrag leisten. Sie verfügen über das notwendige Know-how, Versicherungsunternehmen ganzheitlich zum Thema sicherer Anwendungen zu beraten. Spezifische Produkte und Lösungen, die kritische Geschäftstransaktionen mit dem neuen Personalausweis noch sicherer machen können, sind dabei der Schlüssel zur Nutzung der Potenziale, die der neue Personalausweis allen Beteiligten bereitstellt: Bürgern, Kunden und Versicherungsunternehmen.