Ausweisen, dokumentieren, bezahlen – und das für verschiedene Bank- und Versicherungsdienste: Die Autorisierungsplattform Verimi hat sich in den letzten Jahren von der reinen Anmeldeplattform (und damit von der mit Facebook oder Google konkurrierenden Login-Allianz) hin zu einer umfassenden Identitätsplattform gewandelt. Sie hat damit mit Diensten wie Net-ID, das ursprünglich als direkte Konkurrenz an den Start ging, nicht mehr viel zu tun.

Inzwischen arbeitet Verimi mit zahlreichen Partnerunternehmen aus der deutschen Wirtschaft zusammen, um eine sichere und allgemein anerkannte Plattform zu schaffen, über die sich dokumentierte Transaktionen abwickeln lassen sollen. Es sind etwa die Deutsche Bank, die Deutsche Telekom und die Allianz, aber auch die Lufthansa, Volkswagen und der Axel-Springer-Verlag mit von der Partie.

Doch während die Deutsche Bank neben einigen kleineren Privatbanken wie der Degussa-Bank sowie der Hanseatic-Bank bislang einziger Bankingpartner ist, könnte sich das bald ändern. Dann nämlich, wenn es, wie offenbar geplant, zu einem Zusammenschluss mit Yes kommt, dem Portal der Sparkassen und Genossenschaftsbanken, das einen ähnlichen Ansatz verfolgt. Über entsprechende Pläne berichten Finance Forward und die Finanzszene.

Ganz freiwillig erfolgt die Annäherung aber offenbar nicht, da die Sparkassen über einen Rückzug aus dem Yes-Projekt nachdenken und es für die verbleibenden Banken dann schwierig werden würde, die Plattform weiterzuentwickeln und zu betreiben.

Der Deutsche Sparkassen- und Giroverband als Klammer der autonom entscheidenden rund 380 Sparkassen diskutiert dem Vernehmen nach entsprechende Pläne. Zu den Plänen und deren Fortschritt werden derzeit keine Angaben gemacht, aber unterm Strich könnte ein Zusammenschluss durchaus Sinn ergeben. Und er könnte bedeuten, dass eine von beiden Marken über kurz oder lang vom Markt verschwindet.

Allerdings hat Verimi aktuell ganz andere Probleme. Denn zum einen klappt das mit der Sicherheit wohl nicht so reibungslos wie geplant. Erst vor wenigen Wochen kam durch eine Anfrage heraus, dass Verimi über mehrere Jahre Nutzer:innennamen und Passwörter im Klartext in Logfiles gespeichert haben soll. Die rund 450.000 Nutzer:innen, die betroffen waren, seien dabei nicht informiert worden.

Hinzu kommen neue Vorwürfe, die Ende vergangener Woche bekannt wurden, etwa dass das als Login-Dienst gestartete Berliner Unternehmen bei der Einführung des Bezahlprodukts Verimi Pay die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) getäuscht haben soll.

Die Vorwürfe der IT-Sicherheitsforscherin Lilith Wittmann, die sich auch in der Vergangenheit schon kritisch gegenüber Verimi geäußert hat, betreffen unter anderem die wohl nur mit ein paar Tricks erreichten fünf Shops, die den Payment-Dienst zum Start unterstützt haben, sowie eine E‑Mail von Verimi-Chef Roland Adrian, der die 80 Mitarbeiter:innen des Unternehmens ermunterte, fünf Zahlungen bei den entsprechenden unterstützenden Onlineshops mit Verimi Pay durchzuführen, damit man der Bafin 2000 Transaktionen nachweisen könne.

Zudem führte der IT-Sicherheitsforscher Martin Tschirsich vor, dass sich das Fotoident-Verfahren rund um Verimi aushebeln lässt – die Tweets dazu wurden ebenfalls vergangene Woche publiziert. Dem Sicherheitsforscher gelang es offenbar durch Täuschung der KI, mehrere digitale Führerscheine unter verschiedenen Namen zu erstellen und eine ID-Karte, laut der er die schweizerische Staatsbürgerschaft besitzt, zu generieren.