E-ID

Die Schweizer E-ID: Vorprogrammierter Misserfolg?

Schweizer Kreuz und Ausweis
Bild: mirsad sarajlic | Getty Images

Christoph Jaggi beleuchtet die digitale Identitäts-Lösung der Schweiz, wirft einen Blick auf Interessen, Rollen, Macher, Anwender und benennt Defizite.

Wirtschaft und Politik fordern eine E-ID, eine elektronische Identität. Über die voraussichtliche Marktakzeptanz und die Einsatzbereiche hat man sich aber noch nicht viele Gedanken gemacht. Die Ziele sind gross, der Nutzen ist unklar und die Erfolgschancen sind ungewiss. 

Was ist eine E-ID?

Eine E-ID ist eine elektronische Identität. Es gibt viele Arten von E-IDs und fast ebenso viele Schreibweisen. Praktisch jeder Besitzer eines PCs oder eines Smartphones verfügt bereits über mehrere E-IDs. Ohne E-ID geht bei Apple, Google, Microsoft, Facebook, Twitter, Amazon, Digitec, Zalando etc. fast gar nichts. Auch für jedes Bankkonto gibt es eine.

Eine E-ID dient zur Identifizierung und Authentifizierung für das Nutzen von Diensten. Das Grundprinzip wird schon heute flächendeckend angewandt. So befindet sich auf der integrierten Smartcard von Bankkontokarten, Kreditkarten und auf den meisten Krankenkassen-Ausweisen eine dienstspezifische E-ID.

Jeder dieser Dienste ist heute ein eigenes Silo mit eigener E-ID. In Bezug auf Datensicherheit sind solche Silos allerdings von Vorteil. Es gibt nur wenige E-IDs, die diensteübergreifend funktionieren. Dazu gehören die E-IDs von Google, Apple, Facebook, Twitter und Microsoft. Sie erleichtern das Log-in für den Benutzer, sammeln allerdings auch Log-in-Daten. Der Benutzer wird gläsern.

Die drei Kategorien von E-IDs

Es sprechen zwar alle von der E-ID, aber eigentlich sind es drei unterschiedliche Kategorien von E-IDs, die unterschiedlichen Ansprüchen genügen müssen: 

1) Staatliche E-ID als elektronisches Äquivalent zur analogen hoheitlichen Identitätskarte respektive dem Pass

2) Privatwirtschaftliche E-ID, die erst nach Ausweiskontrolle ausgestellt wird

3) Privatwirtschaftliche E-ID, die ohne vorgängige Ausweiskontrolle ausgestellt wird

Was will die Schweizer E-ID?

Das ist eigentlich bis heute unklar. Die Interessen der Regierung, der Behörden und der Polizei sind leicht anders als die der Wirtschaft und diese wiederum sind anders als die der vorgesehenen Nutzer. Nur wurden diese bisher nicht gefragt. 

Was will die Polizei?

Gemäss dem Bundesamt für Polizei (Fedpol) geht es um die Etablierung einer national und international gültigen elektronischen Identität:

"Ziel des strategischen Projektes ist, dass sich Schweizerinnen und Schweizer im Internet mit der gleichen Qualität elektronisch ausweisen können, wie sie dies mit dem Pass oder der Identitätskarte in der physischen Welt tun können."

Das Bundesamt für Polizei sieht die E-ID als Schlüsselinfrastruktur-Element, auf dem weitere digitale Dienste für ein durchgehend digitales E-Government, E-Banking, E-Commerce, E-Health, E-Education und E-Voting aufbauen können. So soll die E-ID einen wichtigen Beitrag zur Digitalen Transformation der Schweiz leisten. 

Eine solche Nutzung der gleichen staatlichen E-ID für die unterschiedlichsten Zwecke (Kategorie eins, zwei und drei) ist allerdings keine gute Idee, denn für Datensammler, Datenauswerter und Hacker käme dies einem elektronischen Nirvana gleich. Bei Verwendung der gleichen E-ID für mehrere oder gar sämtliche Dienste können detaillierte Verhaltensmuster aufgezeichnet und entsprechende Nutzerprofile angelegt werden. Es ist da nur eine Frage der Zeit bis solche Verhaltensmuster und Nutzerprofile ausgewertet und ausgenützt werden, sofern dem nicht von vornherein ein Riegel geschoben wird.

Was möchten die Wirtschaftsverbände?

Für andere Protagonisten stehen wiederum andere Einsatzbereiche wie E-Commerce, E-Banking, Loyalitätsprogramme und zielgerichtete Werbung im Vordergrund. Diese benötigen keine Ausweisäquivalenz, weder national noch international. Da genügt entweder eine E-ID der Kategorie zwei, welche erst nach Ausweiskontrolle ausgestellt wird, oder eine E-ID der Kategorie drei, welche ohne vorgängige Ausweiskontrolle ausgestellt wird und in der Regel vom Benutzer selbst festgelegt werden kann. 

Als Alternative zu den weitverbreiteten E-IDs von Facebook, Google, Twitter, Apple, Microsoft etc. taugt eine solche Schweizer E-ID allerdings wenig, da das Erreichen der nötigen Industrieakzeptanz und -unterstützung eher unwahrscheinlich ist. Dafür wäre es nötig, dass unterschiedliche Dienste, sowohl nationale wie auch internationale, die Schweizer E-ID als alternative Log-in-Lösung akzeptieren und unterstützen.

Für die Wirtschaft von Interesse ist die Aufzeichnung detaillierter Verhaltensmuster und das Anlegen entsprechender Nutzerprofile. Solche Verhaltensmuster und Nutzerprofile können ausgewertet und ausgenützt werden. Effizienter kommt man kaum an relevante personenbezogene Daten.

Was wollen die vorgesehenen Benutzer?

Das weiss niemand so richtig. Glaubt man kürzlich erhobenen Umfragen, so sehen die vorgesehenen Nutzer den primären Einsatz einer staatlichen E-ID beim digitalen Behördenkontakt und bei der politischen Partizipation. Für eine solche staatliche E-ID wird den Umfrageergebnissen zufolge der Staat als Herausgeber bevorzugt.

Verwendung einer staatlichen E-ID

Die hoheitliche E-ID und deren gesetzliche Regelung soll sich primär auf die Ereignisse beschränken, bei denen auch im realen Leben ein analoger Ausweis vorgelegt werden muss oder als Substitut für eine andere Identifizierung und Authentifizierung verwendet werden kann. Auf dem hoheitlichen Ausweis hat es unter anderem ein Foto, einen Namen, biometrische Daten, den Heimatort und eine Unterschrift, die zur Überprüfung der Identität einer Person herangezogen werden können. Zudem kann der Bund auch den Zugriff von zertifizierten privaten Identitätsdienstleistern auf die hoheitliche E-ID regeln. Der Zugriff privatrechtlicher Identitätsdienstleister auf die staatlichen Informationssysteme sollte hingegen auf die hoheitliche E-ID beschränkt sein und keinen Zugriff auf die zugrunde liegenden Informationsdatenbanken beinhalten. Dafür müsste allerdings auch pro Transaktionsereignis zusätzlich ein explizites Einverständnis (Opt-in) des E-ID-Inhabers eingeholt werden. 

Ausstellung der staatlichen E-ID

Das Ausstellen der staatlichen E-ID sollte durch die staatliche Behörde erfolgen, welche auch die Pässe und Identitätskarten ausstellt, schliesslich geht es gemäss dem Bundesamt für Polizei um Ausweisäquivalenz. Das lässt sich mit der in die jeweiligen Ausweise integrierten Smartcard lösen. Die Aktivierung der E-ID kann dann problemlos über den vom Nutzer bevorzugten Identitätsdienstleister erfolgen. Nicht-hoheitliche E-IDs der Kategorie zwei können gegen Vorlage eines Ausweises ausgestellt werden und für E-IDs der Kategorie drei kann auf eine Ausweisprüfung verzichtet werden.

Die Ausstellung durch Private würde heissen, dass diese Zugriff auf folgende staatlichen Informationssysteme hätten:

Infostar (elektronisches Personenstandsregister), ZEMIS (Zentrales Migrationsinformationssystem), ISA (Informationssystem Ausweisschriften) und das Zentralregister der zentralen Ausgleichsstelle der AHV (ZAS-UPI). Das wäre des Guten zu viel.

Der Bund sieht das ein bisschen lockerer: Für die Ausstellung der E-ID sollen die Aufgaben zwischen Staat und Privatwirtschaft geteilt werden. Der Bund will sowohl geeignete private als auch öffentliche Identitätsdienstleister zur Ausstellung von staatlich anerkannten E-IDs ermächtigen können.

Die Rolle, die der Bund sich wünscht

Der Bund will die Aufgaben zwischen Staat und Privatwirtschaft teilen. Der Bund will sowohl geeignete private als auch öffentliche Identitätsdienstleister zur Ausstellung von staatlich anerkannten E-IDs ermächtigen können. Er will sich im Bereich staatlich anerkannter E-ID auf fünf Aufgaben beschränken:

1) Erarbeitung und Pflege der Rechtsgrundlagen zur Bewirkung von Transparenz und Sicherheit

2) Definition der einzuhaltenden Standards, Sicherheits-und Interoperabilitätsanforderungen für den Betrieb eines E-ID-Systems

3) Betrieb einer elektronischen Schnittstelle, über welche anerkannte IdP (Identitätsdienstleister) staatlich geführte Personenidentifizierungsdaten beziehen können

4) Anerkennung von IdP und ihren E-ID-Systeme

5) Beaufsichtigung von anerkannten IdP und E-ID-Systemen

Diese Aufgaben sollen beim Bund von zwei Verwaltungseinheiten wahrgenommen werden: der "Schweizerischen Stelle für elektronische Identität (Identitätsstelle)" und der "Anerkennungsstelle für Identitätsdienstleister (Anerkennungsstelle)".

Geht es nach dem Ständerat, so soll es noch eine neue Kommission zur Überwachung (EIDCOM) geben.

Was die E-ID nicht bietet

Für die Digitalisierung von Geschäftsprozessen braucht es oft eine rechtsgültige digitale Signatur. Diese ist im Bundesgesetz zur elektronischen Signatur (ZertES) geregelt. Die geplante E-ID dient rein Identifikationszwecken und beinhaltet keine Funktionalität in Bezug auf elektronische Signatur. Allerdings können zusätzlichen Dienste wie digitale Signatur auf einer staatlichen E-ID aufbauen. 

Die Kombination von E-ID mit elektronischer Signatur weist für eine vollumfängliche Digitalisierung über mehrere Bereiche hinweg Vorteile auf, da so auch rechtsgültige elektronische Unterschriften möglich sind. Dies aber nur in den B2C-Fällen, in denen eine verifizierte elektronische Identität und eine elektronische Unterschrift effektiv nötig und kosteneffizient sind. Das ist heute noch in den wenigsten Fällen so. Da die E-ID nur die natürlichen Personen abdeckt, sind zudem dem Einsatzbereich für die durchgängige Digitalisierung enge Grenzen gesetzt. 

Wer soll das bezahlen?

Für den Staat soll der Betrieb der E-ID mittelfristig haushaltsneutral, da gebührenfinanziert sein. Bis dann werden Steuergelder verwendet. Das betrifft allerdings nur den Betrieb der staatlichen Infrastruktur. Wie die unterschiedlichen Identitätsdienstleister ihre Betriebskosten weitergeben, hängt von ihrem jeweiligen Kosten- und Ertragsmodell ab. Privatrechtliche E-ID-Anbieter sind zudem nicht auf die staatliche Infrastruktur angewiesen.

Blick über die Ländergrenzen

Praktisch alle staatlichen E-IDs haben es bisher noch nicht geschafft, eine breite Akzeptanz bei den Nutzern zu finden. In der EU gibt es technische Standards für E-IDs (eIDAS) und in Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch für den Bereich Sicherheit Grundlagenarbeit geleistet, Details dazu hier.

Am meisten Akzeptanz haben elektronische Identitäten bisher in Estland, Informationen dazu hier.

Singapur ist bereits an der Erweiterung seines erfolgreichen SingPass-Systems durch NID (National Digital ID System), mehr dazu hier.

Ausblick

Man kann die Schweiz weder mit Estland noch mit Singapur vergleichen. Die Grundvoraussetzungen sind anders. In der Schweiz ist davon auszugehen, dass jede Person zwar nur eine einzige hoheitliche E-ID, aber mehrere E-IDs der Kategorien zwei und drei verwenden wird. Für die Akzeptanz der E-IDs entscheidend ist der Nutzen für die Beteiligten. Für diensteübergreifende E-IDs braucht es Interoperabilität zwischen unterschiedlichen Identitätsdienstleistern und die Unterstützung durch möglichst viele Diensteanbieter. Als nationaler Standard für Log-in im kommerziellen Bereich wird sich die geplante E-ID kaum durchsetzen und international sieht es noch schlechter aus.

Der Autor: Christoph Jaggi

Christoph Jaggi ist Experte für Digitalisierung, Technologien und Marketing. Die Verbindung dieser Kerndisziplinen mit der Orientierung auf Menschen, Märkte und Zielgruppen bildet die Basis für das Lösen komplexer Aufgabenstellungen in unterschiedlichen Bereichen. Und sie ist die Grundlage für das Erkennen und die Entwicklung von Marktstrategien. Christoph Jaggis internationaler Kundenstamm reicht vom Startup über KMU bis zum Grosskonzern.

Für einige Leute ist Christoph Jaggi IT-Experte, für andere IT-Sicherheitsexperte, für andere Marketingexperte, für andere Strategieexperte, für andere Managementexperte und für andere Medienexperte. Er selbst sieht sich allerdings vor allem als Problemlöser, der seine Kunden darin unterstützt, für aktuelle Herausforderungen die optimale Lösung zu finden. Und da sind fachliche Silos eher ein Hindernis.

Als Autor mit weitreichender Erfahrung in den Branchen ITC, Finanzen, Medien und weitere, publiziert Christoph regelmässig zu Entwicklungen in den Bereichen Digitalisierung und Technologie mit Fokus auf Anwender, Produkte und Märkte.