Optimierung des KYC-Verfahrens mithilfe von Blockchain

18 Jun 2019

Im letzten Jahr habe ich einen Beitrag über die möglichen Auswirkungen der Blockchain-Technologie auf die Privatsphäre und den Datenschutz in Bereichen wie Bildung, Gesundheitswesen und Personalmanagement geschrieben. Eine Blockchain-basierte Lösung für ein Problem, das unter den Mängeln herkömmlicher Ansätze leidet, kann auch beim Umgang mit personenbezogenen Daten hilfreich sein. Ich spreche von KYC (kenne deinen Kunden) und den jüngsten Fortschritten bei der Verwendung von Blockchain in KYC-Verfahren.

Der Begriff „Know Your Customer“ stammt ursprünglich aus dem Bereich der Finanzdienstleistungen und beschreibt eine für Kreditinstitute und Versicherungen vorgeschriebene Legitimationsprüfung von bestimmten Neukunden zur Verhinderung von Geldwäsche. Aus diesem Grund entwickelten Banken neben einer Reihe von Dokumenten ebenfalls ein Verfahren, das den Umgang mit Kreditanfragen umfassend standardisierte.

Später wurde dieses Modell auch in anderen Geschäftsbereichen übernommen. Wenn Firma A mit Firma B Geschäfte machen wollte, benötigte Firma A eine Reihe von Dokumenten, einschließlich (aber nicht beschränkt auf): Registrierungsnummer, Steuernummer sowie Bankleitzahl und Kontonummer von Firma B. Im Normalfall muss die Authentiziät dieser Dokumente von einer Drittpartei überprüft werden und an genau diesem Punkt kommt die Bürokratie ins Spiel.

Normalerweise ist die Abwicklung der Formalitäten – Anrufe tätigen und erforderliche Bestätigungen anfordern – mit jeder Menge Zeit und Arbeit verbunden, was eindeutig ein Problem ist. In einigen Fällen stempeln Angestellte die vorgelegten Papiere allerdings einfach nur ab, ohne sie gründlich zu überprüfen, was ein noch größeres Problem ist.

Wenn Bürokratieprüfungen fehlschlagen, passiert etwas Seltsames: Es werden weitere Prüfungen eingeführt. Werfen wir beispielsweise einen Blick auf die Bankenbranche. Einer Umfrage von Thomson Reuters zufolge dauerten KYC-Verfahren im Jahr 2017 durchschnittlich 32 Tage, verglichen mit 28 Tagen im Jahr 2016.

Durch die Verwendung digitaler Signaturen, die einst als mögliche Lösung für derartige Probleme betrachtet wurden, kann die Echtheitsprüfung von Dokumenten, die für KYC-Verfahren erforderlich sind, nicht umgangen werden. Darüber hinaus können digitale Signaturen gefälscht oder gestohlen werden.

Die Blockchain-Technologie kann die für die Echtheitsprüfung erforderliche Zeit erheblich verkürzen. Kommerzielle Blockchain-Architekten haben vor einiger Zeit den Begriff privilegierte Knoten ins Leben gerufen. Wenn Firma A, wie in unserem Beispiel, eine Reihe von Dokumenten über Firma B prüfen muss, sendet Firma A eine Anfrage an einen Zertifizierungsknoten (im Besitz des Staates oder eines Handlungsbevollmächtigten). Der Zertifizierungsknoten prüft, ob Firma B die Einwilligung für die angeforderten Dokumente erteilt hat, prüft dann deren Gültigkeit und übergibt sie erst dann erneut an Firma A.

All diese Logik kann als „smarter Vertrag“ programmiert und an die Bedürfnisse der beteiligten Unternehmen angepasst werden. Zum Beispiel kann der Smart-Vertrag so programmiert werden, dass er den vollständigen oder einen unvollständigen Satz von Dokumenten, die noch nicht abgelaufen sind und zu deren Bereitstellung Firma B zugestimmt hat, enthält. Im letzteren Fall kann Firma A entscheiden, ob es das Risiko eingeht, das Geschäft mit Firma B fortzusetzen oder weitere Tätigkeiten einzustellen.

Die natürliche Flexibilität smarter Verträge bietet Unternehmen in diesem Falle die notwendige Wahlfreiheit, die für das Gedeihen einer Marktwirtschaft unerlässlich ist. So stimmt Firma B möglicherweise der Bereitstellung eines bestimmten Dokuments für Firma A zu, kann Unternehmen A aber darüber benachrichtigen, dass ein solches Dokument existiert und von einem privilegierten Knoten überprüft wurde.

Wir können diesen Ansatz auf den Umgang mit personenbezogenen Daten von Kunden anwenden, bei dem das Identitätsmanagement zwischen Maßnahmen zur Betrugsbekämpfung und der DSGVO gefangen ist. Einerseits ist das Wissen, dass ein bestimmter Verbrauber über eine von einer glaubwürdigen Behörde überprüften, einwandfreien Bonitätsgeschichte verfügt unglaublich wichtig, andererseits müssen die Banken diese Daten nicht aufbewahren oder speichern.

Darüber hinaus gibt es für die Einverständnis in smarten Verträgen ein Ablaufdatum – so verliert beispielsweise Firma A nach Ablauf der Einverständnis den Zugriff auf bestimmte Dokumente von Firma B. Klingt perfekt, oder?

Nicht ganz; Wir müssen noch immer sehr vorsichtig sein, welche Informationen den über das Blockchain-Netzwerk ausgetauschten Blöcken hinzugefügt wird. Auch ohne diese Dokumente sollte die verteilte Datenbank einige ihrer Merkmale enthalten, wie zum Beispiel Checksummen, Hashes und Ablaufdaten. Die Verfügbarkeit dieser Informationen zusammen mit den Daten über Anfragen und Einverständnis kann die zur Durchführung von KYC-Verfahren notwendige Zeit, von Tagen (oder Monaten) auf Stunden oder sogar Minuten reduzieren!

Worüber ich hier spreche, ist keine Theorie. IBM unterstützt die kommerzielle Blockchain-Plattform Hyperledger seit 2015 und das Unternehmen hat bereits einen funktionsfähigen KYC-Proof-of-Concept für eine Reihe globaler Banken, darunter die Deutsche Bank und HSBC, demonstriert. Im B2C-Bereich pusht NEC aktiv eine One-Step-KYC-Lösung, mit der das Kundenerlebnis extrem verbessert werden soll.

Um zu gewährleisten, dass alles wie beabsichtigt funktioniert, müssen wir dem Smart-Vertrag, der hinter einer solchen Lösung steht, besondere Aufmerksamkeit schenken. Smarte Verträge sind nicht immun gegen Fehler, und Fehler zerstören in diesem Fall die Idee einer sicheren KYC-Automatisierung. Wir wissen bereits, dass der derzeitige Stand der Schreibkultur von Smart-Verträgen alles andere als perfekt ist.

Aus diesem Grund ist der Kern unseres Blockchain-Sicherheitspakets eine Code-Überprüfung des Smart-Vertrags. Unsere Antimalware-Experten identifizieren bekannte Sicherheitslücken und Designfehler und suchen nach undokumentierten Features smarter Verträge. Sie präsentieren einen detaillierten Bericht über jegliche erkannte Schwachstellen und bieten Hilfestellungen zur Behebung dieser Schwachstellen. Weitere Informationen finden Sie auf der Webseite Kaspersky Token Offering Security.