Die NHTSA-Regel zur Offenlegung des Kilometerzählers kann den Weg für die Authentifizierung der elektronischen Signatur ebnen

Michael Magrath, 9. Januar 2020
NHTSA Odometer Disclosure Rule Might Pave Way for E-Signature Authentication

Am 2. Oktober 2019 wurde das Department of Transportation (DOT) National Highway Traffic Safety Administration (NHTSA) , veröffentlichte seine Endgültige Regel für die Angabe des Kilometerzählers Dies würde es den Staaten ermöglichen, Offenlegungserklärungen für elektronische Kilometerzähler in Verbindung mit elektronischen Titelsystemen zuzulassen. Diese Regel könnte, wenn sie von den Staaten weitgehend übernommen wird, die Akzeptanz elektronischer Signaturen als Authentifizierungsmittel beschleunigen.

Im Rahmen einer umfassenden digitalen Transformation und einer Abkehr von papierbasierten Systemen werden mit der neuen Anforderung die Vorschriften dahingehend geändert, dass Kilometerzählerangaben zu 100% elektronisch oder mithilfe von Papierdokumenten erfolgen können. Diese Dokumente werden dann signiert, gescannt und in eine elektronische Form umgewandelt. Von dort werden sie in einem Zustandsdatensystem gespeichert.

Darüber hinaus gestattet NHTSA jetzt Vollmachten in elektronischer Form und in Papierform, wenn ein Titel für eine Übertragung oder aufgrund von Verlust oder Besitz eines Pfandgläubigers nicht verfügbar ist.

Die Möglichkeit, Kosten zu senken, Bäume zu retten und Prozesse zu rationalisieren, ist bedeutend, da nach Schätzungen von NHTSA in den USA jährlich über 40 Millionen Kilometerzähler gemeldet werden. Um den Staaten den Übergang zu einem elektronischen Prozess zu ermöglichen, ist es entscheidend, dass Richtlinien und Prozesse implementiert werden, um Betrug zu vermeiden. Es überrascht nicht, dass NHTSA einen technologieneutralen Ansatz vorschlägt, um das Problem anzugehen. 

Elektronische Unterschriften

Die NHTSA-Regel besagt, dass die Identität aller Parteien überprüft werden muss. Dies ebnet den Weg für elektronische Signaturen . Elektronische Signaturen sind in Ländern, in denen Gesetze zur elektronischen Signatur erlassen wurden, rechtsverbindlich und durchsetzbar. Viele im Handel erhältliche Lösungen für elektronische Signaturen entsprechen sowohl dem US ESIGN Act als auch dem Uniform Electronic Transactions Act (UETA).

In der Schlussregel wird eine elektronische Signatur als „elektronischer Ton, Symbol oder Prozess“ definiert. Sie soll die gesamte Bandbreite von Methoden und Technologien umfassen, die zum elektronischen Signieren einer Offenbarung eingesetzt werden können. Eine Signatur, die durch Schreiben auf einem Stift oder unter Verwendung eines biometrischen Merkmals wie eines Fingerabdrucks oder eines Retina-Scans ausgeführt wird, fällt unter einen in der Definition beschriebenen „elektronischen Prozess“.

Elektronische Unterschriften bieten einen enormen Wert und, da sie in den letzten Jahren zum Mainstream geworden sind, sollte die Akzeptanz der Verbraucher für die Offenlegung von Kilometerzählern kein Thema sein. Unter Sicherheitsaspekten bieten sie sichere, manipulationssichere Beweise für das Signierereignis mit fortschrittlichen E-Signatur-Lösungen, mit denen das Signierereignis aufgezeichnet und wiedergegeben werden kann.  

Von der NHTSA vorgeschriebene Identitätsprüfungstechnologie

Von allen Vorteilen, die die elektronische Signatur bietet, kann die Technologie die Identität der unterzeichnenden Person ohne vorherige Registrierung und Identitätsüberprüfung nicht überprüfen.  NHTSA hat das erkannt und beauftragt Identitätsprüfung muss auf der Identity Assurance-Stufe 2 (IAL2) des NIST durchgeführt werden, für die Nachweise erforderlich sind, um die Existenz der beanspruchten Identität in der realen Welt zu belegen, und zwar entweder anhand eines fernen oder eines physisch vorhandenen Identitätsnachweises.

Ein konformer Ansatz für die Identitätsüberprüfung bei Remote-Identitätsprüfungen wäre die Befolgung eines von der Bankenbranche gut eingeführten Prozesses. Der Prozess wird digital an Bord von Kunden durchgeführt, die einen von der Regierung ausgestellten Personalausweis (z. B. einen Führerschein) verwenden. Dabei wird das Foto mithilfe der neuesten biometrischen Gesichtserkennungstechnologie („Match on Device“) über ein „Selfie“ mit dem Benutzer abgeglichen. 

Vermeidung lästiger Verfahren

Im Jahr 2017 veröffentlichte das NIST aktualisierte Richtlinien zur digitalen Identität ( Sonderpublikation 800-63-3 ). Eine wichtige Änderung bestand darin, Identitätsprüfung und Authentifizierung in separate Komponenten, Identity Assurance Level (IAL) und Authentication Assurance Level (AAL), zu entkoppeln. In der vorherigen Anleitung wurde beides kombiniert, um ein Sicherheitsniveau (Level of Assurance, LoA) zu bestimmen. 

Die Herausforderung besteht darin, das richtige Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herzustellen, um zu vermeiden, dass für elektronische Transaktionen lästige Verfahren eingeführt werden, die die Annahme behindern würden. NHTSA schlug ursprünglich IAL3- und AAL3-Anforderungen vor, die von NIST am höchsten definiert wurden. NHTSA wurde jedoch während der öffentlichen Kommentierungsphase von der Industrie und den Staaten massiv zurückgedrängt und stellte fest, dass dies teuer und lästig wäre. Die Entscheidung fiel auf IAL2 und AAL2, die offenbar von anderen Branchen unterstützt werden, da viele Banken IAL2 und AAL2 unterstützen und das Gesundheitswesen in diese Richtung gegangen ist, um auf elektronische Patientenakten zuzugreifen.

AAL2-Lösungen sind relativ kostengünstig und im Handel erhältlich. Dies gepaart mit FIDO2 , die neueste Spezifikation von Fast Identity Online (FIDO), bedeutet, dass eine starke Authentifizierung in alle Betriebssysteme integriert und sofort verfügbar ist und die meisten Mobiltelefone heutzutage verkauft werden.

Obwohl die meisten Kilometerzählerangaben bei einem Händler unterschrieben sind, erwarte ich, dass viele weitere als zusätzliche Annehmlichkeit für den Verkäufer aus der Ferne unterschrieben werden. Ein wirksamer Identitätsnachweis der Stufe 2 (IAL2) in Kombination mit der Authentifizierung der Stufe 2 (AAL2) soll die Sicherheit verbessern und das Vertrauen der Verbraucher in das System aufrechterhalten oder stärken.

Neue Technologien und 2020

Die NHTSA beabsichtigt, diese endgültige Regelung auch für neue Technologien wie Blockchain zu verwenden, falls die Staaten diese für die Aufzeichnung elektronischer Titel, die Offenlegung von Kilometerzählern und die Authentifizierung elektronischer Signaturen verwenden möchten. Die NHTSA merkt an, dass sie "nicht alle zukünftigen Sicherheits- und Authentifizierungsanwendungen vorhersehen kann, die Staaten möglicherweise verwenden möchten, um die Offenlegung elektronischer Kilometerzähler und Titeltransaktionen zu erleichtern."

Die Regel tritt am 31. Dezember 2019 in Kraft, und es bleibt abzuwarten, wie viele Staaten sie annehmen. Wenn sich Verbraucher an das elektronische Signieren von Dokumenten gewöhnt haben, können sie Staaten dazu zwingen, die Annahme zu beschleunigen.

elektronische Unterschrift

Der Leitfaden für Anfänger zu elektronischen Signaturen

In diesem umfassenden, 31-seitigen Einsteigerhandbuch für elektronische Signaturen werden wichtige rechtliche Konzepte und wichtige Überlegungen bei der Erstellung digitaler Geschäftsprozesse mit elektronischen Signaturen vorgestellt.  

Jetzt herunterladen

Der folgende Artikel, verfasst von Michael Magrath, Director, Global Regulations & Standards, erschien am 18. Dezember 2019 zum ersten Mal CSO Online . Nachdruck mit freundlicher Genehmigung. © IDG Communications, Inc., 2020. Alle Rechte vorbehalten.

Michael Magrath ist dafür verantwortlich, die Roadmap für die OneSpan-Lösung weltweit an Standards und behördlichen Anforderungen auszurichten. Er ist Vorsitzender der Government Deployment Working Group der FIDO Alliance und Mitglied des Board of Directors der Electronic Signature and Records