Legitimierung als Neukunde bei Robo-Advisors – eine Odyssee in mehreren Akten

Im Rahmen unseres Echtgeld-Tests und der Erweiterung dessen Testfeldes von zehn auf 16 Anbieter, wurden von uns sechs neue Depots bei den Anbietern cominvest, ROBIN, WeltInvest, Solidvest, Prospery und Bevestor eröffnet.

Wir haben uns in allen erforderlichen Fällen für Videoident als Verfahren zur Legitimationsprüfung entschieden und konnten so die Abläufe und Schwachstellen der verschiedenen Systeme einmal aus nächster Nähe betrachten. Bei den oben genannten Anbietern kamen alle drei bekannten Anbieter für Videoident zum Einsatz: IDNow, WebID-Solutions und die Deutsche Post. Einzig die comdirect Bank setzt auf eine Eigenlösung, die comdirect Video-Support App.

IDNow – WeltSparen, Bevestor

Zu IDNow können wir nur sagen: klappt wie am Schnürchen. Wir haben uns die APP aufs Smartphone geladen, die Vorgangsnummer eingegeben und den Prozess gestartet. In beiden Fällen erfolgte der Ablauf ohne technische Probleme, mit klarer Sprachverständlichkeit und so gut wie ohne Wartezeit beim Aufbau der Verbindung und der Zuordnung zu einem freien Mitarbeiter.

Zum Robo-Advisor Echtgeld-Test »

Ein Wort noch zu Bevestor: der Robo-Advisor der DEKA Bank gibt auf seiner Webseite an, dass die Authentifizierung über die S Direkt-Marketing GmbH & Co KG durchgeführt wird. Auf deren Webseite ist zu lesen „S Direkt ist Partner der Deka bei der Videolegitimation neuer Depot-Kunden.“. Umso größer unsere Verwunderung nach Eingabe der Daten bzw. Klick auf den Link in der Email von Bevestor:

Ganz offensichtlich bedient sich die S Direkt-Marketing GmbH & Co KG der Dienste von IDNow. Damit wir uns nicht falsch verstehen: wir haben uns gefreut, klappte ja die Legitimationsprüfung mit IDNow am besten. Seitens Bevestor und auch der S Direkt-Marketing GmbH & Co KG hätten wir allerdings einen Hinweis darauf erwartet, welcher Dienstleister die Legitimationsprüfung am Ende vornimmt.

Um zu prüfen, ob das bei Bevestor ein Einzelfall ist, oder ob die S Direkt-Marketing GmbH & Co KG generell auf IDNow setzt, haben wir bei Google nach „S Direkt-Marketing GmbH & Co KG Videoident“ gesucht und uns für folgenden Link entschieden: https://www.sdirekt-serviceportal.de/videolegi/index.php?vnr=ZRG5B-3Z7BI-3Z690-QEW1V&iid=691, der uns bei unserer Suche auf Platz vier der Suchergebnisse erwartete.

Das Interessante an diesem Link: es können Fantasienamen, -adressen und Telefonnummern eingegeben werden. Ganz offensichtlich erfolgt weder eine Plausibilitäts- noch eine Adressprüfung. Wer also selber mal hinter die Kulissen blicken will, kann das tun, ohne seine persönlichen Daten preisgeben zu müssen.

WebID Solutions – ROBIN (Deutsche Bank)

ROBIN setzt bei der Authentifizierung seiner Kunden auf WebID Solutions. Die erste Enttäuschung folgte für uns gleich zu Beginn: die WebID-Solutions App ist derzeit auf dem von uns verwendetem OnePlus-Smartphone nicht nutzbar, weil Probleme beim Zugriff auf die Kameras bestehen.

Hier ein kleiner Tipp von uns: fragt mal die Mannschaft von IDNow, deren App bekommt den Zugriff auf Front- und Rückkamera beim OnePlus problemlos hin.

Unsere Nachfrage bei WebID Solutions ergab folgende Empfehlung: wir sollten einfach den Link aus der Email im Browser öffnen. Gesagt, getan. Zu den Unterschieden in der Usability zwischen einer App und der Webseite machen wir jetzt mal keine Aussagen, sondern empfehlen jedem Interessenten, das einfach mal selbst zu vergleichen.

Nach dem Laden der Seite, der Eingabe der Vorgangsnummer und dem Verbindungsaufbau die nächste Enttäuschung: der auf unserem Android-Smartphone installierte Chrome-Browser gestattet WebID-Solutions keinen Zugriff aufs Kameralicht, der laut dem Mitarbeiter im Legitimierungsprozess für die Überprüfung der Sicherheitsmerkmale des Personalausweises erforderlich ist.

Aber die Mitarbeiter wären nicht gut geschult, wenn sie hier keinen Rat wüssten. Dieser lautete dann auch prompt: Opera installieren.

Wir haben ja nichts vor, also installieren wir Opera, laden die Webseite erneut, geben die Vorgangsnummer erneut ein und starten einmal mehr den Verbindungsaufbau…

Das Laden der Webseite zur Identifizierung funktioniert soweit ganz gut. Die Darstellung auf dem Smartphone ist natürlich suboptimal: kein Umschalten zwischen Front- und Rückkamera vorgesehen, also Handy umdrehen und zu scannenden Ausweis mit der Frontkamera anvisieren und parallel den Ansagen des WebID-Mitarbeiters lauschen: „Ein klein wenig nach rechts. Gut so. Noch ein wenig kippen. Danke, kurz warten. Noch ein wenig nach oben.“.

Zur Eingabe der Bestätigungs-TAN wird die Webseite kurz verlassen, um die SMS aufzurufen. Leider ist danach erstmal keine Eingabe im dafür vorgesehenen Feld möglich oder der Browser bleibt schwarz.

Auflösung des Rätsels nach wiederholtem Versuch und erneutem Anstoßen des Legitimierungsprozesses: mit den Fingern zoomen, dann wird die Webseite wieder dargestellt.

Fazit: insgesamt mehr als eine Stunde in zahllosen Versuchen, am Ende hat’s geklappt aber: einfach geht anders und IDNow kann auf die Kameras des OnePlus zugreifen, warum nicht auch WebID Solutions?

Deutsche Post Videoident – Solidvest, Prospery

Solidvest und Prospery setzen bei der Legitimierung seiner Kunden auf die Deutsche Post, womit Postident in der Filiale und Videoident zur Verfügung stehen. Wir haben uns fürs Videoident entschieden und dafür die APP der Deutschen Post eingesetzt – und damit nicht wirklich Spaß gehabt.

Beim ersten Verbindungsaufbau musste die Legitimierung wegen störender Rückkopplung abgebrochen werden – ein Effekt, der auch bei späteren Versuchen immer mal wieder auftrat. Der zweite Dauerfehler beim Zusammenspiel des von uns benutzten OnePlus -Smartphones bestand darin, dass die APP den Zugriff aufs Mikrofon nicht geregelt bekam, was zu der unerfreulichen Situation führte, dass wir zwar den Postmitarbeiter hören konnten, dieser aber uns nicht. Hier half dann – wie auch im Fall der Rückkopplung – unsere Abhilfe darin, das Smartphone komplett neu zu starten.

Nachdem uns im fünften Anlauf ein bereits lächelnder Mitarbeiter im Videochat erwartete (die Anzahl der Versuche zur Legitimierung werden natürlich fein säuberlich im System der Deutschen Post erfasst), konnte der Prozess dann auch binnen weniger Minuten abgeschlossen werden. Einziger Kritikpunkt unsererseits: die Tonqualität bei App von IDNow ist deutlich besser als bei der App der Deutschen Post.

Auch hier kamen wir auf mehr als eine Stunde, die wir für die Legitimierung aufwenden mussten. Unser Fazit: der eine oder andere Laie hätte beim dritten oder vierten Anlauf abgebrochen.

Unser Tipp für die Robo-Advisor:

Nicht nur auf einen Anbieter zur Legitimierung festlegen. Bei gerätespezifischen Problemen wie sie bei WebID Solutions und der Deutschen Post auftraten, hätte man auf einen anderen Anbieter wie IDNow wechseln können, dessen App problemlos funktionierte.

Jetzt aber die Mutter aller Fragen:

Wieso unterstützt keiner der sechs neu aufgenommenen Robo-Advisor die Legitimierung mittels neuem Personalausweis und Kartenleser? Das entsprechende Verfahren wird von der Deutschen Post auf deren Webseite ausführlich dargestellt und wurde von uns bereits mehrfach bei der Eröffnung von Depots getestet. Mit neuem Kartenleser und der AusweisApp2 erfolgt die Legitimierung binnen einer Minute und ist damit um Längen schneller als jedes Videoident.

Zum Vergleich der Robo-Advisor »


So funktioniert es: Online POSTIDENT durch neuen Personalausweis

Wer die Legitimation mit neuem Personalausweis (nPA) durchführen möchte, braucht folgende Dinge:

  • Einen neuen deutschen Personalausweis oder einen deutschen elektronischen Aufenthaltstitel mit freigeschlateter eID-Funktion
  • Ein Kartenlesegerät (durch das BSI zugelassen) und die AusweisApp2 des Bundes
  • Eine funktionierende Internetverbindung und einen Webbrowser

Die Post stellt für das Verfahren ein eigenes Online-Portal bereit. Von dort werden Kunden nach Beginn zur AusweisApp2 weitergeleitet. Der Ausweis wird vom Kunden in das Kartenlesegerät gesteckt. Diese übermittelt die Daten verschlüsselt, nach Eingabe einer 6-stelligen PIN. Sie werden mit den postalischen Adressinformationen abgeglichen. Anschließend werden die Daten über das Auskunftsportal bereitgestellt.

Die Identifizierung mittels eID-Funktion des Personalausweises ist eine gemäß § 12 Abs. 1 Nr. 2 GwG gesetzlich geregelte Identifizierungsmethode. Eine Anerkennung des Verfahrens durch die BaFin ist nicht notwendig.

 


Jetzt bei der Wahl zum "Online-Broker 2021" abstimmen und attraktive Preise, z.B. ein Apple iPad Pro oder iPhone 12 gewinnen »