Der LEI: Die fehlende Komponente in der Verwaltung digitaler Zertifikate
Wie eine einfache Komponente das Vertrauen in die digitale Wirtschaft von Morgen sicherstellen kann
Autor: Stephan Wolf
Datum: 2020-08-25
Ansichten:
Die digitale Wirtschaft hat den nützlichen Eigenschaften digitaler Zertifikate viel zu verdanken. Aufgrund ihrer Verbreitung sind Organisationen wie auch Einzelpersonen nicht mehr auf die langsame papierbasierte Dokumentation der „alten Welt“ angewiesen. Stattdessen können sie digital aktiv werden, und zwar in dem Wissen, dass ihren Geschäftspartnern und den ausgeführten zertifizierten Aktivitäten in einem digitalen Kontext vertraut werden kann.
Allerdings ist das System fehlerhaft. Da die Verwendung von Zertifikaten sowohl nach Anzahl als auch nach Anwendungsfällen zunimmt, steigt auch der zeitliche und finanzielle Aufwand. Rechtsträger halten üblicherweise mehrere Zertifikate von verschiedenen Zertifikatprogrammen und -herausgebern, so dass die Datensätze von verschiedenen Organisationen weltweit in mehreren Silos verwahrt werden. Fehlende „Verknüpfungen“ zwischen Zertifikaten erschweren die Nachverfolgung zunehmend.
Darüber hinaus sind die mit jedem Zertifikat verfügbaren Referenzdaten (wie Name, Rechtsform und Anschrift) als Textfolgen integriert, die sich möglicherweise von denen des Zertifikatherausgebers aus verschieden Gründen, einschließlich der Verwendung lokaler Sprachen, unterscheiden. Dies bedeutet, dass oftmals manuelle Prüfungen erforderlich sind, um festzustellen, dass a) das betreffende Zertifikat tatsächlich mit der organisatorischen Darstellung der Gegenpartei in den internen Datenbanken übereinstimmt und b) das Zertifikat selbst sowie die darin enthaltenen Informationen stets aktuell sind.
Der letztere Punkt stellt jedoch ein weiteres Problem dar. Die Umstände von Rechtsträgern ändern sich, digitale Zertifikate jedoch nicht. Sollte sich ein Rechtsträger beispielsweise einen neuen Namen geben, an einen neuen Standort umziehen oder seinen Rechtsstatus ändern, lassen sich diese wichtigen Änderungen in seinen aktiven Zertifikaten nicht darstellen. Sollen sie aktualisiert werden, so muss neu begonnen werden: Alte Zertifikate werden annulliert. Aktualisierte Zertifikate werden neu ausgegeben. Allerdings funktioniert dieser Prozess nur in manchen Fällen. Wenn eine nachgelagerte Anwendung auf die maßgebliche Annullierungsliste nicht zugreifen kann, bleiben die veralteten Informationen bestehen.
All dies setzt voraus, dass der Rechtsträger auch wirklich seinen Verpflichtungen nachkommt. In der Praxis lassen sehr viele Organisationen ihre aktiven Zertifikate bis zu ihrem natürlichen Ablaufdatum unverändert und aktualisieren erst dann ihre Daten. Ob dies absichtlich oder unabsichtlich geschieht, ist in gewissem Maße unerheblich, da das Ergebnis gleichbleibt: Über diese Organisation gespeicherte Zertifikatsinformationen werden weder systemseitig noch von den Informationsinhabern aktualisiert. Die umfassendere Folge ist, dass zertifizierte Informationen im Umlauf sind, die veraltet sind. Außerdem können Organisationen häufig über mehrere Zertifikate unter verschiedenen Namen mit abweichenden und uneinheitlichen Angaben verfügen. Kurz gesagt: Das Vertrauenssystem wird unterminiert.
Das „Pflegeproblem“ verschärft sich, wenn die Rechtsträger die Verwendung digitaler Zertifikate auf breiter angelegte Geschäftstätigkeiten ausweiten, wie die Genehmigung von geschäftlichen Transaktionen und Verträgen, einschließlich Onboarding von Kunden, Geschäften innerhalb von Import-/Export-Netzwerken sowie Lieferkettennetzwerken oder der Einreichung von behördlichen Unterlagen und Berichten.
Deshalb müssen Rechtsträger rasch und einfach sicherstellen können, dass die Informationen, die sie über digitale Zertifikate erhalten, verlässlich sind.
Eine elegante Lösung: Integration des LEIs in digitale Zertifikate
Mit der Integration des Legal Entity Identifier (LEI) in digitale Zertifikate bei der Ausgabe werden diese Anliegen direkt angegangen. Der LEI ist ein zwanzigstelliger, alphanumerischer Code, der auf dem von der Internationalen Organisation für Normung (ISO) entwickelten Standard ISO 17442 basiert. Er stellt eine Verknüpfung zu wichtigen Referenzinformationen her, um eine klare und eindeutige Identifizierung von Rechtsträgern weltweit zu ermöglichen. Jeder LEI enthält Informationen über die Eigentumsstruktur des Rechtsträgers, um die Fragen „Wer ist wer“ und „Wer gehört wem“ zu beantworten. Diese Informationen sind für alle wichtig, die eine Minderung der Risiken anstreben.
Wenn sich der LEI in digitale Zertifikate integrieren lässt, könnte damit das gemeinsame Bindeglied zwischen ihnen geschaffen werden, das so dringend benötigt wird. Dadurch könnte jeder sämtliche mit einem Rechtsträger verbundenen Zertifikatseinträge miteinander verknüpfen und feststellen, welche Zertifikate aktuell sind, und etwaige Abweichungen klären. So kann der LEI bei jeder Online-Interaktion zwischen Rechtsträgern Gewissheit und Vertrauen im Zusammenhang mit der Identität bieten und für alle die sichere Teilnahme am globalen digitalen Markt vereinfachen. Außerdem werden dadurch die Komplexität und Kosten in Verbindung mit der Due Diligence und der Verifizierung von Kunden, Partnern und Zulieferern in technologischer und menschlicher Hinsicht erheblich reduziert.
Damit LEIs möglichst einfach in digitalen Zertifikaten eingesetzt werden können, arbeitet die Global LEI Foundation eng mit Normungsorganisationen wie der Internationalen Organisation für Normung (ISO) und dem Europäischen Institut für Telekommunikationsnormen (ETSI) in der EU zusammen. Die Zertifizierungsbranche benötigt diese technischen Normen, um LEIs auf einheitliche Weise in die Zertifikate integrieren zu können.*
Blick nach vorne: Einführung digitaler Lösungen, APIs und neue Anwendungsfälle für digitale Zertifikate
Laut Untersuchungen der Global LEI Foundation, die KYC-Probleme in der Finanzdienstleistungsbranche ermittelt haben, glauben 61 % der Stakeholder, dass die Expansion digitaler Lösungen die Identitätsprüfung letztlich erschweren wird. Da die Rechtsträger laufend digitale Lösungen einführen, die neu entstehende Technologien anwenden, wie das Internet der Dinge oder Blockchain, werden sie auch zunehmend digitale Zertifikate einsetzen. Dies liegt nicht zuletzt daran, dass die Technologie der digitalen Zertifikate nun auch verstärkt von regulatorischer Seite befürwortet wird, so dass die digitale Identität eine größere Seriosität und ein größeres Vertrauen genießt. Dadurch wird die Nachfrage nach genau der automatisierten Verifizierung, die mit dem LEI möglich ist, weiter ansteigen. Um dieser Nachfrage gerecht werden zu können, muss die Handhabung von Zertifikaten beschleunigt werden und es müssen aktuelle Informationen auf Anfrage über Programmierschnittstellen (APIs) bezogen werden können. Der LEI könnte hier ein wesentlicher Baustein für die Nutzung digitaler Zertifikate – und digitaler Signaturen – in allen verteilten Lieferketten sein.
Heutzutage basieren die unterschiedlichen digitalen ID-Systeme auf verschiedenen Standards, Schlüsseln und Verschlüsselungen. Der einzige gemeinsame Nenner ist der Name des Rechtsträgers, der sich im Laufe der Zeit aber ändern und stark abweichen kann. Ohne eine konsistente numerische Verknüpfung zwischen den Kennungen werden automatisierte Methoden immer zu Fehlern führen und weitere Herausforderungen für die Organisationen mit sich bringen. Der LEI ist im Begriff, diese konsistente Verknüpfung zu bieten und so seine Position als positive Kraft für die gesamte digitale Wirtschaft zu festigen.
*Es ist zu beachten, dass in den zwei genannten Normen nicht das gleiche Verfahren zur Aufnahme eines LEIs Anwendung findet. GLEIF hat bisher noch keine Präferenz bezüglich einer der beiden Verfahren. Wir beobachten derzeit noch die Markttrends und die Markteinführung und werden uns zu einem späteren Zeitpunkt dazu äußern.
Falls Sie einen Blogbeitrag kommentieren möchten, besuchen Sie zum Posten Ihres Kommentars bitte die Blog-Funktion auf der englischsprachigen GLEIF-Website. Bitte identifizieren Sie sich mit Ihrem Vor- und Nachnamen. Ihr Name erscheint neben Ihrem Kommentar. Die E-Mail-Adresse wird nicht veröffentlicht. Bitte beachten Sie, dass Sie sich durch Zugriff auf oder Beiträge zum Diskussionsforum verpflichten, die Bedingungen der GLEIF-Blogging-Richtlinie einzuhalten. Lesen Sie sich diese daher sorgfältig durch.
Stephan Wolf ist der CEO der Global Legal Entity Identifier Foundation (GLEIF). 2023 wurde er zum Mitglied des Vorstands der Internationalen Handelskammer (ICC) Deutschland gewählt. 2021 wurde er in den neuen Industry Advisory Board (IAB) als Teil der weltweiten Initiative der ICC für digitale Standards (Digital Standards Initiative, DSI) berufen. In dieser Eigenschaft fungiert er als Mitvorsitzender des Arbeitskreises zum Thema „Trusted Technology Environment“. Zwischen Januar 2017 und Juni 2020 war Herr Wolf Mitvorsitzender der International Organization for Standardization Technical Committee 68 FinTech Technical Advisory Group (ISO TC 68 FinTech TAG). Von One World Identity wurde Herr Wolf im Januar 2017 unter die Top 100 Leaders in Identity gewählt. Er verfügt über umfangreiche Erfahrung in der Einrichtung von Datenoperationen und globalen Implementierungsstrategien. Er hat während seines gesamten Berufslebens an der Weiterentwicklung grundlegender Unternehmens- und Produktentwicklungsstrategien gearbeitet. Herr Wolf war 1989 Mitgründer der IS Innovative Software GmbH und erster Geschäftsführer der Gesellschaft. Später wurde er Sprecher des Vorstands der Nachfolgegesellschaft IS.Teledata AG. Diese Gesellschaft wurde schließlich Teil der Interactive Data Corporation, wo Herr Wolf die Funktion des Technischen Direktors innehatte. Herr Wolf hat einen Abschluss in Betriebswirtschaft von der J. W. Goethe Universität, Frankfurt am Main.
