Schlagwort-Archiv: digitale Signatur

Hybride Informationsverarbeitung nervt

2 Antworten

Kürzlich habe ich für eine anstehende Modernisierungsmaßnahme im Haus einen Kredit-vorfinanzierten Bausparvertrag abgeschlossen. In diesem Text möchte ich den Medienbruch hervorheben, der mich dabei genervt hat und aufzeigen, wie es besser gemacht werden kann.

Der Prozess im Überblick

  1. Recherche von Anbietern im Internet
  2. Erster Angebotsvergleich im Internet
  3. Terminvereinbarung eines Beratungsgesprächs via E-Mail und Telefon
  4. Erstes Termin in einer Filiale eines Anbieters
  5. Übermittlung der erforderlichen Unterlagen via E-Mail
  6. Zweiter Termin zum Vertragsabschluss mit jeder Menge Unterschriften und Papier

Die Punkte Terminvereinbarung, Informationsübermittlung und Vertragsabschluss verdienen in meinen Augen eine genauere Betrachtung

Terminvereinbarung

Die Anbieter, welche ich zuerst ins Auge gefasst hatte, boten eine Online-Terminvereinbarung via Webformular an, wo unter freien Terminen ein passender ausgewählt und gebucht werden konnte. Ich bevorzuge diese Art der Terminvereinbarung, da ich so zu einer Zeit die mir gut passt, direkt einen mir passenden Termin buchen kann, ohne E-Mails hin und her zu schreiben oder in einer Telefonwarteschleife zu hängen. Leider waren im gewünschten Zeitraum keine Termine frei und ich wollte die Angelegenheit nicht weiter aufschieben. Also schieden diese Anbieter aus.

Als nächstes habe ich in der nächstgelegenen Filiale einer bekannten Bausparkasse angerufen. Leider habe ich auch hier beim ersten Versuch niemanden erreicht. Also habe ich eine Terminanfrage mit zwei Terminvorschlägen via E-Mail gesendet. Um ein E-Mail-Ping-Pong zu vermeiden, habe ich auch eine Rückrufnummer mitgesendet. Der Rückruf hat mich dann auch prompt aus meinem Tunnel gerissen, als ich mich auf meine Arbeit konzentriert habe. Die Störung konnte ich verschmerzen, da die Freude überwiegte, noch in der gleichen Woche einen Termin vereinbaren zu könnnen.

Ich bin kein Freund von unangekündigten Anrufen, da sie mich entweder bei der Arbeit unterbrechen oder zu einer Zeit erreichen, in der ich lieber meine Ruhe hätte. Allerdings bevorzuge ich ein kurzes Telefonat oder eine Videokonferenz, wenn sich eine Angelegenzeit damit schneller und sicherer regeln lässt, als mehrere E-Mails austauschen zu müssen. Mein Favorit bleibt jedoch die Online-Terminbuchung.

Informationsübermittlung via E-Mail

Während des Beratungstermins in der Filiale wurde mir eine Finanzierungsmöglichkeit vorgeschlagen, die mir zusagte und wir haben geklärt, welche Unterlagen für den Abschluss benötigt werden.

Auf meine Frage, ob ich sämtliche Unterlagen als PDF via E-Mail senden kann oder alles in Papierform mitbringen muss, wurde zu meiner Freude geantwortet: „Selbstverständlich können Sie mir die Unterlagen als PDF per E-Mail senden oder auf einem USB-Stick mitbringen. Dies erleichtert mir die Ablage und ich muss nicht alles einscannen.“

Unterlagen wie Kontoauszüge und Verdienstbescheinigungen per E-Mail zu versenden, bereitet mir keine Sorgen, da mein E-Mail-Provider Mailbox.org eine Funktion bietet, um E-Mails definitiv sicher zu versenden. Kann zum Mailserver des Empfängers keine verschlüsselte Verbindung aufgebaut werden, wird der Versand abgebrochen. In diesem Fall hätte ich die PDFs auf einem USB-Stick mitgebracht. Dies war in diesem Fall jedoch nicht notwendig.

Exkurs E-Mail-Transport: In meinen Augen ist es eine Selbstverständlichkeit, dass Mailserver verschlüsselten Empfang und Versand unterstützen. Allerdings erfolgt der traditionelle Versand mit dem Simple Mail Transfer Protocol (SMTP) unverschlüsselt. Daher schätze ich die zuvor genannte Funktionalität bei Mailbox.org, um ohne technisches Know-how und zusätzlichen Aufwand sicherstellen zu können, dass eine E-Mail nur versendet wird, wenn dies auf einem verschlüsselten Transportweg erfolgt. Dies erleichtert mir auch die Kommunikation mit meinem Steuerberater.

Während ich persönlich die digitale Kommunikation bevorzuge, befürworte ich zugleich, die Möglichkeit beizubehalten, notwendige Unterlagen ohne Mehrkosten in Papierform einreichen zu können. Zumindest so lange es noch Kunden gibt, die diesen Weg bevorzugen (kein Digitalzwang).

Vertragsabschluss mit vielen Unterschriften und noch mehr Papier

Zum Vertragsabschluss wurde ich dann doch von der Bürokratie eingeholt. Ich musste X Seiten unterschreiben und mir wurden Y Seiten an Papierkram mitgegeben.

Ich finde es richtig, dass Anbieter ihren Kunden Verbraucherschutzinformationen in geeigneter Weise zur Verfügung stellen müssen. Aber sind Anbieter wirklich verpflichtet, dies in Papierform zu tun? Warum geht das nicht wahlweise als PDF? Gleiches gilt für die europäischen Standard-Informationen für Verbraucher-Darlehen. Ich behaupte, die meisten Verbraucher werden diese informationen nicht lesen und das Papier landet ungelesen in der Tonne.

Vorschlag zur Verbesserung

Da sind wir so weit gekommen und am Ende liegt doch wieder ein Stapel Papier von ca. 1 cm Höhe auf dem Tisch. Das muss nicht sein. Das kann auch anders gehen. So können unterschriftsreife Unterlagen vorab als PDF versendet oder auf Tablets bwz. E-Ink-Readern zur Durchsicht/Präsentation zugänglich gemacht werden. So kann das Kleingedruckte auch einfach vergrößert werden. ;-)

Und die eigenhändige Unterschrift kann rechtssicher durch die qualifizierte elektronische Unterschrift mit dem Personalausweis geleistet werden. Dank der Fernsignatur ist dies sogar spontan mit dem neuen Personalausweis und der Ausweisapp auf dem Smartphone möglich.

Es gibt also rechtssichere Alternativen zur eigenhändigen Unterschrift. Was (noch) fehlt, sind Angebote auf Seiten diverser Anbieter. Wenn ihr euch ebenfalls die Möglichkeit der elektronischen Unterschrift wünscht, fragt danach und fordert dies von den Anbietern ein. Ohne Nachfrage wird kein Angebot geschaffen!

Quellen und weiterführende Links

Passed the CAcert.org Assurer Challenge

Schreibe eine Antwort

Vergangene Woche bin ich auf dem LinuxTag 2014 in Berlin am Stand von CAcert.org hängen geblieben.

Worum geht es bei CAcert.org?

CAcert.org ist eine von einer Gemeinschaft betriebene Zertifizierungsstelle, die kostenfreie Zertifikate für jedermann ausstellt.

Das Ziel von CAcert ist es, das Bewusstsein und die Unterrichtung über Computersicherheit durch die Benutzung von Verschlüsselung zu fördern, insbesondere durch die Herausgabe von Zertifikaten zur Verschlüsselung. Diese Zertifikate können benutzt werden, um E-Mails digital zu unterschreiben und zu verschlüsseln, einen Anwender beim Zugang zu Webseiten zu beglaubigen und zu berechtigen und eine gesicherte Datenübertragung über das Internet zu ermöglichen. Jede Anwendung, die das gesicherte Übertragungsprotokoll mit SSL oder TLS unterstützt, kann von Zertifikaten Gebrauch machen, die von CAcert signiert wurden, ebenso jede Anwendung, die X.509-Zertifikate benutzt, z.B. für Verschlüsselung oder Signierung von Code oder Dokumenten.

Das Prinzip von CAcert.org basiert dabei auf einem Vertrauensnetzwerk, dem sogenannten Web of Trust. Im Gegensatz zu einer hierarchischen Public-Key-Infrastruktur wird die Echtheit von Zertifikaten (digitalen Schlüsseln) nicht von einer einzelnen Organisation, sondern durch gegenseitige Bestätigung (Assurance) der Mitglieder geprüft.

Zur Verdeutlichung hier ein kleines Beispiel aus der Wikipedia:

Alice signiert den Schlüssel von Bob und vertraut Bobs Schlüsselsignaturen
Bob signiert den Schlüssel von Carl
(Bobs Vertrauen in Carls Schlüsselsignaturen ist weder bekannt noch relevant)
Somit betrachtet Alice den Schlüssel von Carl als gültig.

Es ist also eine Frage des Vertrauens. Und die Frage ist berechtigt, wem man mehr Vertrauen schenkt. Einer kommerziellen Zertifizierungsstelle, oder dem Web of Trust und damit der CAcert.org Community. Ich für meinen Teil habe mir diese Frage bereits beantwortet.

Nachdem wir in Folge des Heartbleed Bug alle SSL-Zertifikate in unserem Unternehmen erneuern mussten ist mein Vertrauen in die kommerziellen Zertifizierungsstellen erschüttert. Die durchgeführten „Verification Calls“ ließen mich sehr stark an der Vertrauenswürdigkeit der Identifizierung zweifeln. So hätte auch ein Praktikant oder jeder x-beliebige Mitarbeiter an ein Zertifikat für eine unser Domains gelangen können. Fest steht, der Anbieter kann sich nicht sicher sein, dass er tatsächlich mit der zur Zertifikatsanforderung berechtigten Person gesprochen hat.

Im Vertrauensnetzwerk von CAcert.org wird die Echtheit eines Zertifikats durch eine persönliche Assurance des Besitzers bestätigt. Dabei prüft ein CAcert Assurer mindestens ein offizielles Ausweisdokument, um die Identität des Zertifikatsinhabers zu bestätigen. Es muss also in jedem Fall ein Treffen von Angesicht zu Angesicht stattgefunden haben, bevor einem Zertifikat das Vertrauen ausgesprochen werden kann. Dieser Prozess wird detailliert in der Assurance Policy for CAcert Community Members definiert.

Ich persönlich habe großes Vertrauen in das Prinzip des Web of Trust und entschied mich vergangene Woche selbst CAcert Assurer zu werden, um die Echtheit von Zertifikaten weiterer CAcert.org Member assuren zu können. Dazu ließ ich meine eigene Identität auf dem LinuxTag gleich von vier CAcert Assurern bestätigen, um die nötigen Assurance Punkte zu sammeln, die nötig sind, um selbst Assurer zu werden. Denn nur Personen, denen ein gewisses Mindestmaß an Vertrauen bestätigt wurde und welche die Assurer Challenge bestanden haben, dürfen die Identität anderer Mitglieder bestätigen.

Gestern habe ich die Assurer Challenge im ersten Anlauf bestanden und stehe euch damit als CAcert Assurer zur Verfügung.

Falls ihr noch nicht sicher seid, wie digitale Signaturen und Zertifikate funktionieren, oder Mitglied der Community wird, empfehle ich euch die Seite „CAcert in kurzen Worten“. Dort wird auch der Registrierungsprozess beschrieben, damit ihr euch anmelden und einloggen könnt.

So get Assured
www.cacert.org