News und Trends aus dem Retail Banking Markt Schweiz

Online signieren einfach gemacht: Die UBS lanciert die qualifizierte elektronische Signatur

7

Von Prof. Dr. Andreas Dietrich

Im Januar wird UBS als schweizweit erste Bank die qualifizierte elektronische Signatur (QES) einführen. Die Hürden für die Einführung dieser Unterschrift waren hoch und das Projekt entsprechend umfangreich. Warum es sich aus Sicht UBS trotzdem lohnen könnte und ob die Einführung der qualifizierten elektronischen Signatur auch eine Option für andere Banken ist, erläutere ich im nachfolgenden Blog.

Viele Bank-Dokumente werden heute noch ausgedruckt, weil sie aufgrund rechtlicher oder bankinterner Vorgaben eine oder mehrere handgeschriebene Unterschriften benötigen. Dieser Prozess bedeutet für den Kunden viel Aufwand (ausdrucken, unterschreiben, scannen – evtl. Postversand) und einen Zeitverzug in der Nutzung der damit verbundenen Dienstleistungen. Seitens der Bank führt der Prozess oftmals zu einer tieferen Effizienz, einer erhöhten Komplexität infolge der Archivierung und nicht zuletzt zu einer Belastung der Umwelt durch die Verwendung und den Transport von Papier. Daher macht es Sinn, dass sich auch Banken verstärkt mit elektronischen Unterschriften befassen.
Mit der qualifizierten elektronischen Signatur können Geschäftsprozesse vollständig auf dem digitalen Weg abgewickelt werden. Das Einholen von Unterschriften, der Postversand und das Einscannen der unterschriebenen Dokumente entfallen dadurch – die Kunden gewinnen Zeit. Obwohl diese Möglichkeit schon länger ein Thema ist, haben sich elektronische Signaturen bisher nur sehr langsam verbreitet. Neben Kosten-Nutzen-Überlegungen auf Seiten von Banken und anderen Unternehmen stehen auch weiche Faktoren – sprich: Vorbehalte, respektive mangelnde Akzeptanz der Kunden – und zu einem gewissen Grad auch die Anpassung der bestehenden Systeme und Prozesse an die neue Technologie einer weiteren Verbreitung derzeit noch im Weg.

Formen der elektronischen Signatur

Grundsätzlich können drei Arten von elektronischen Signaturen unterschieden werden: Neben den „einfachen“ gibt es auch „fortgeschrittene“ und „qualifizierte“ elektronische Signaturen. Die rechtlichen Details sind im Bundesgesetz über die elektronische Signatur (ZertES) geregelt. Eine elektronische Signatur dient dazu, die Authentizität und Integrität von elektronischen Informationen zu verifizieren. Im Gegensatz zur einfachen Signatur ist es mithilfe der fortgeschrittenen Signatur möglich, deren Inhaber eindeutig zu idenfizieren und die authentifizierten Informationen nachträglich nicht mehr zu verändern, ohne dass dies erkannt wird. Die qualifizierte Signatur geht noch einen Schritt weiter: Sie weist alle Merkmale der fortgeschrittenen Signatur auf, beruht jedoch auf einem qualifizierten Zertifikat (sozusagen einem kryptographischen Schlüssel, der von einem anerkannten Zertifizierungsanbieter erstellt wurde), welches nur für Personen erstellt werden darf, die bestimmte Identifikationskriterien erfüllt haben.
Die fortgeschrittene elektronische Unterschrift wendet beispielsweise die Valiant bei ihrem Digital Onboarding-Prozess an. Weil bei UBS im Onboarding-Paket aber auch der Verkauf einer Kreditkarte inkludiert ist (innerhalb des Bundles), bot sich diese Lösung für UBS nicht an. Denn gemäss dem Konsumkreditgesetz müssen Kreditkarten zwingend eigenhändig oder qualifiziert elektronisch unterschrieben werden. Das ist auch der Grund, warum der Onboarding-Prozess bei UBS bis anhin noch einen unschönen Medienbruch hat und nicht vollständig digital abgewickelt werden kann. Mit der Einführung der qualifizierten elektronischen Unterschrift (QES) hingegen könnte dieser Prozess in Zukunft komplett digital durchgeführt werden. Der Bundesrat hat Ende November 2016 mit der Genehmigung der Totalrevision der Verordnung über die elektronische Signatur, die per 1.1.2017 in Kraft getreten ist, die Voraussetzung dafür geschaffen. Die elektronische Signatur könnte damit mit allen relevanten gesetzlichen Identifikationsanforderungen bereits im Onboarding-Prozess bedient werden. So könnte beispielsweise der Kreditkartenantrag zukünftig direkt im Onboarding-Prozess elektronisch unterzeichnet werden.

Der Ansatz der UBS

Die neue Lösung der UBS sieht vor, die rechtlichen Anforderungen der QES mithilfe der bereits vorhandenen zweistufigen UBS Authentifizierungsmethode (Kartenleser und UBS Access Card) und der zusätzlichen Integration neuer Technologie umzusetzen (#Cryptomathic). Die dafür benötigte Technologie ist derzeit noch sehr teuer, was in hohen Anfangs-Investitionen resultiert. Aufgrund der Einsparung von Versandkosten, der höheren Kunden-Convenience und der verbesserten Prozesseffizienz gehe ich aber davon aus, dass sich diese Investitionen zumindest langfristig rechnen werden.
Das Projekt baut auf bestehenden Prozessen auf. Dies soll garantieren, dass sowohl auf Seiten der Kundenberater, wie auch bei den Kunden keine bedeutenden Verhaltensänderungen notwendig sind. Für Kundenberater und Kunden soll die Möglichkeit der elektronischen Signatur zunächst eine zusätzliche Möglichkeit innerhalb ihrer bekannten Prozesse sein.

Der Prozess

  • Die Bank sendet dem Kunden das zu unterschreibende Dokument wie gewohnt an sein E-Banking Konto. Dort findet es der Kunde im „Agreements-Ordner“ seiner Inbox.

ubs-qes-vereinbarungen-01

Abbildung 1: Inbox  – Übersicht Vereinbarungen zur Unterschrift

  • Um den Vertrag elektronisch unterzeichnen zu können, muss er ihn einmal komplett durchscrollen. Verglichen zur physischen Unterzeichnung hat man aus Bankensicht entsprechend etwas mehr Sicherheit, dass der Kunde den Vertrag tatsächlich liest. Interessant wäre zu einem späteren Zeitpunkt sicherlich auch eine Analyse, wie lange sich der Kunde wirklich Zeit nimmt für das Lesen des Vertrags.
  • Danach muss der Kunde per Klick entscheiden, ob er den Vertrag gelesen und verstanden hat oder nicht. Änderungen innerhalb des Vertrages können nicht angebracht werden. Da es sich bei den meisten Verträgen aber um Standardverträge handelt, ist das kein bedeutendes Problem.
  • Akzeptiert der Kunde den Vertrag, nimmt er, wie vom Login ins E-Banking gewohnt, seine Access Card Display oder den Kartenleser/Access Card noch ein zweites Mal zur Hand, gibt die von UBS angezeigte Eingabenummer ein und überträgt dann den generierten Code zur Unterzeichnung in das Eingabefeld.

ubs-qes-vereinbarungen-05

Abbildung 2: Login-Prozess zur Unterschrift nachdem man alle Seiten des Vertrags durchgescrollt hat

  • Das vom Kunden „unterschriebene“ Dokument wird sofort zur Handlungsauslösung weitergereicht und anschliessend bei UBS archiviert, ohne jemals die Bank verlassen zu haben.

Strategische Relevanz

Bei der UBS gibt es derzeit über 2’300 verschiedene Dokumente, die ein Kunde theoretisch unterzeichnen könnte. Es erstaunt deshalb auch nicht, dass in 2015 im Booking Center Schweiz ca. 2.5 Millionen Dokumente „von Hand“ gescannt wurden. Insofern gibt es hier natürlich ein grosses Potenzial, die Versand- und Prozesskosten nachhaltig zu optimieren und gleichzeitig Medienbrüche zu unterbinden. Aus Kundensicht kann die Convenience durch eine elektronische Signatur weiter gesteigert werden. Vor allem für Auslandkunden des Booking Centers Schweiz könnte dieser Digitalisierungsschritt eine grosse Erleichterung sein, bleibt ihnen doch der mehrtägige Postweg erspart. Gleichzeitig steht es aber natürlich nach wie vor allen Kunden frei, auch den klassischen Weg (Unterschrift auf Papier) zu wählen. Zu guter Letzt ist es für die UBS strategisch gesehen wichtig, auch in diesem Bereich der First Mover zu sein und ihre Innovationskraft ein weiteres Mal unter Beweis stellen zu können.

Fazit

Ich persönlich begrüsse den Schritt der UBS, die qualifizierte elektronische Unterschrift im Banking hierzulande einzuführen. Ich sehe dabei vor allem auch grosses Potenzial im Bereich der Erhöhung der Prozesseffizienz und bei der Verbesserung der Kunden Convenience.
Die grosse Herausforderung dieses Projektes, vor allem in Bezug auf eine rasche und erfolgreiche Einführung, liegt dabei einerseits innerhalb der UBS, weil dadurch auch eine gewisse Verhaltensänderung beim Kundenberater veranlasst werden muss. Da die Prozesse aber nicht gross angepasst werden müssen, stehen die Chancen hier ziemlich gut, dass der interne Widerstand begrenzt ist oder das Projekt sogar positiv aufgenommen wird. Auf der anderen Seite liegt ein kritischer Faktor natürlich darin, ob und wie Kunden von diesem Angebot Gebrauch machen werden. Ein Kundennutzen ist zwar vorhanden und es fallen auch keine zusätzlichen Kosten für den Kunden an, um elektronisch signieren zu können. Eine gewisse Skepsis gegenüber elektronischen Signaturen (vgl. SuisseID) könnten aber dazu führen, dass dieses Angebot nicht so schnell angenommen wird, wie man sich das heute erhofft. Des Weiteren deckt auch das Bundesgesetz über die elektronische Signatur (ZertES) noch nicht alle Use Cases kundenfreundlich ab. Vermutlich wird aber die Weiterentwicklung des Gesetzes der Idee der qualifizierten Unterschrift deutlich weiterhelfen.
Eine Prognose zu wagen ist für dieses Projekt nicht ganz einfach, hängt es doch stark von der Akzeptanz der Kunden ab. Ich kann mir aber gut vorstellen, dass in drei bis fünf Jahren ca. 20-30 Prozent der Verträge der UBS elektronisch unterschrieben werden. Des Weiteren dürfte die qualifizierte elektronische Unterschrift bei der UBS schon bald zu einem durchgängigen Digital Onboarding Prozess führen.
Ob sich die qualifizierte elektronische Unterschrift für reine Retail Banken lohnt, ist zumindest heute noch fraglich. Ich sehe kurzfristig vor allem einen Business Case für Banken mit einem grossen Anlagegeschäft, da die Anzahl Verträge, welche Wealth Management Kunden und Retail Kunden unterschreiben müssen, wohl etwa in einem Verhältnis von 10:1 stehen.

7 Kommentare

  1. Darius Zumstein on

    Danke für den spannender Blogeintrag, Andreas! Mir ist es nach wie vor ein Rätsel, warum im Banken- und Versicherungsumfeld immer noch so viel Papier verschickt wird und sich elektronische Signaturen wie die Suisse ID bisher nicht ansatzweise durchsetzten. Die Idee und technische Machbarkeit von digitalen Signaturen wäre ja uralt.
    Der Abbau der Skepsis und eine Verhaltensänderung bei den Kunden muss durch die Unternehmen wohl durch ökonomische Anreize gefördert bzw. gar erzwungen werden. So wie man z.B. im Telco-Bereich für Dokumente in Papierform Extra-Gebühren verlangt und einer scheinbar banalen Verhaltensänderung nachhelfen musste. Für die junge, neue Generation an Bank- und Versicherungskunden sollte die Nutzung einer digitalen Signatur so selbstverständlich sein, wie die Benutzung der Fingerprint-Authentifizierung bei Apple- oder Android-Geräten.
    Das Digital Onboarding ist bei einigen Banken wie Raiffeisen, UBS und Valiant schon umgesetzt, viele andere ziehen nach. Die elektronische Unterschrift ist ein wichtiger, weiterer Schritt, eine logische Konsequenz…

  2. Daniel Lehmann on

    Eine qualifizierte elektronsiche Signatur kann nur von einem Zertifizierungsdiensteanbieter erbracht werden, der gemäss ZertES anerkannt ist. Wer ist bei der UBS der Zertifizierungsdiensteanbieter, der für den Identifikationsprozess, das Erstellen des qualifizierten Zertifkats und für den Rest des Zertifizierungsdienstes verantwortlich ist? Hat sich die UBS selbst anerkannen lassen? Wenn ja, wäre dies wohl als am Vertrag selbst beteiligte Partei etwas heikel? Wenn nein; wer erbringt den Zertifizierungsdienst gemäss ZertES? Swisscom? SwissSign? Quo Vadis? Vgl. https://www.sas.admin.ch/sas/de/home/akkreditiertestellen/akkrstellensuchesas/pki.html

    • Prof. Dr. Andreas Dietrich on

      Guten Tag Herr Lehmann
      Das ist die KPMG. Diese ist derzeit meines Wissens die einzige akkreditierte Anerkennungsstelle in der Schweiz.

      • Daniel Lehmann on

        Merci Herr Dietrich für Ihre Antwort.
        KPMG ist Anerkennungsstelle – also die Stelle, welche die Zertifzierungsdiensteanbieter „prüft und zulässt“ und anerkennt, dass diese den Zertifizierungdienst in Einhaltung der Bestimmungen des ZertES erbringen. Nicht nach ZertES anerkannte Anbieter von Zertifizierungdiensten dürfen keine qualifizierten elektronischen Signaturen ausstellen. Bei der Lösung der UBS ist also die Frage, wer als (von KPMG) anerkannter Zertifizierungdiensteanbeiter nach ZertES agiert: Entweder hat sich die UBS selbst anerkennen lassen (auf Homepage des BAKOM noch nicht vermerkt – vgl. Link in meinem Post oben) oder sie nutzt den Zertifizierungsdienst eines anerkannten Zertifizierungsdiensteanbieter. Meines Wissens gibt es keinen anderen Weg, um qualifizierte elektronische Signaturen erstellen zu können.

        • Prof. Dr. Andreas Dietrich on

          Das wurde gemäss den Informationen, die ich erhalten habe, von SwissSign, einem Unternehmen der Schweizerischen Post, gemacht.

  3. Pingback: Online signieren einfach gemacht: Die UBS lanciert die qualifizierte elektronische Signatur – Blog des VZ Innovation Lab

  4. Hallo Herrr Lehmann
    Seit geraumer Zeit ist der Service „Signing in the cloud“ eine Möglichkeit, wie ein Anbieter elektronische Signaturen in seinen Geschäftsprozess integrieren kann, ohne dabe selbst ein zertifizierter Certifikatsanbieter zu sein.
    Dabei wird die Signatursoftware in den Prozess integriert und der Hash der Signatur an den Certificate Service Provider (CSP) gesendet. Dort wird der Hash mit dem vom CSP aufbewahrten Signaturschlüssel signiert und zurück gesendet.
    Die Aufgabe der Bank ist dabei den Signaturschlüssel Inhaber eindeutig zu identifizieren und sicherzustellen, dass über eine vertrauenswürdige Authentifizierung die Signatur eindeutig dem Schlüsselinhaben zugewiesen werden kann.
    Um dies zu ermöglichen wurde in der überarbeiteten ZertES, die ab dem 1.1.2017 in Kraft ist diese Möglichkeit explizit beschrieben. Die Aufgabe des Dienstanbieters ist also dabei eine Authentifizierung der Person vorzunehmen, die den Anforderungen des ZertES entsprechen und intern das System so abzusichern, dass die Signatur eindeutig der entsprechenden Person zugewiesen werden kann.
    Das heisst also, dass alle Firmen die wirklich wollen durchgängige, elektronische Geschäftsprozesse realisieren können und gesetzeskonforme Vertragsabschlüsse ohne Medienbrüche realisieren können, ohne selbst ein zertifizierter Dienstanbieter zu sein oder dass jedem Kunden eine Signaturkarte abgegeben werden muss. Das einzige was es braucht ist eine vertrauenswürdige elektronische ID.