So nun kommen wir zu Nr. 3 und 4 der sogenannten “Faktenchecks”. Es geht dabei um das Thema Haftung und die EU.
Ja liebe LeserInnen, da müssen wir jetzt beide durch. Schliesslich soll die Öffentlichkeit so kurz vor der eID-Abstimmung nicht desinformiert werden durch den “Faktenchecker” IT-Anwalt Christian Laux. (Mal abgesehen davon macht es wirklich Spass, Fake-Faktenchecks zu zerlegen :))
Kurz-Zusammenfassung: Herr Laux hat hier mal viele Dinge hochgekocht, die nicht existieren. Er hat wieder versucht mir Thesen unterzujubeln, was ich meine, was ich sagen wollte etc. Wie immer sind die Blogbeiträge in einem sehr “sympathischen” Ton verfasst voller Suggestionen. Man könnte meinen, dass er mit all den relativ unethischen Diskreditierungstaktiken irgendwie von den fehlenden Argumenten ablenken muss…
Und er hat offenbar grundlegende Dinge- dezentrale Authentisierung, Missbrauchsszenarien und Datenspeicherung auf Endgeräten – nicht verstanden. Ausserden habe ich jetzt auch noch mit Entsetzen festgestellt, dass Christian Laux nicht mal die eIDAS-Verordnung kennt.
Beginnen wir von vorne. Zuerst der Blogbeitrag: Die Analyse der Republik.ch zur Haftung der Nutzerin
Anders als Herr Laux und Herr Grasarevic dies getan haben, werde ich wieder penibel genau aus ihren Blogbeiträgen zitieren:
Zum Aufwärmen schon mal dies: Herr Laux war nicht glücklich über die Zitierung von Daniel Muster als eID-Experte. Weil er ein “pointierter Gegner” sei.
“Zumindest hätte auch noch ein Experte angeführt werden müssen, der nicht dem Gegnerlager zugeordnet werden kann. Dies erspart sich die Autorin. Ausserdem erspart sie sich den noch aufschlussreicheren Blick in die Botschaft zum BGEID. Diese ist über die Seite des Bundesamts für Justiz (Themenseite zum Gesetzgebungsvorhaben) sowie hier ohne Weiteres auffindbar. Auf Seite 3955 f. kann man nachlesen, welche Sorgfaltspflichten Art. 12 Abs. 1 BGEID meint.”
Blogbeitrag
Herr Laux’ Aussagen sind hier bereits mehrfach falsch.
Erstens: Herr Laux behauptet also einfach mal, dass ich die Botschaft nicht gelesen habe.
Überraschung, das hab ich und ich beziehe mich sogar im Text darauf:
“Dass die Schweizer E-ID in jedem Fall EU-konform sein und dort anerkannt werden soll, steht auch in der Botschaft des Bundesrats zum Gesetz.“
Republik.ch
Zweitens: Glauben Sie ernsthaft die eID-Bürgerin wird in der Botschaft des Bundesrats auf Seite 3955 f zum Bundesgesetz eID nachlesen, dass sie einen Antivirenschutz aktivieren muss?
Und drittens: Ich zitiere gar nicht nur Daniel Muster sondern Florian Forster. Und das krasserweise gerade beim Thema Missbrauch.
“Florian Forster, ehemaliger Leiter der Fachgruppe IAM beim Verein eCH und Spezialist für digitale Identitäten, übt Kritik an der Formulierung. «Am Ende muss die Inhaberin nachweisen, dass sie nichts mit dem Missbrauch ihrer E-ID zu hat. Dabei ist der Schaden für sie am grössten.»“
Republik.ch
Darauf geht Herr Laux gar nicht ein. Schon seltsam, oder? Warum negiert Herr Laux die Existenz des Zitats von Herrn Forster nur?
Viertens: Herr Laux verschweigt in seinem Blogbeitrag (böswillig? mutwillig? widerwillig? wir werden es nicht erfahren) dass ich durchaus die Befürworterseite befragt habe. Nämlich den Bund selbst.
“Das Bundesamt für Justiz relativiert: «Wer nun wie genau haftet, muss im Einzelfall geklärt werden», sagt Sprecherin Sonja Margelist. «Wenn sich zum Beispiel nach einer Attacke erweisen sollte, dass der Identitätsprovider den Betrieb seines E-ID-Systems nicht sicher gewährleistet, haftet er.»
Republik.ch
Das ist Journalismus, Herr Laux. Man holt immer die offizielle Stellungnahme der masgebenden Institution ein.
So und nun folgen eine Reihe von weiteren und weitaus krasseren Falschaussagen. Herr Laux schreibt folgendes:
“Die Autorin schreibt sodann: “In Fällen von digitalem Identitäts klau wird der Inhaber vermutlich automatisch haftbar.” Diese Aussage ist falsch. Wir haben dies hier nachgewiesen. Falsch ist insbesondere der behauptete Automatismus. Haftung gemäss OR ergibt sich zusammenfassend daraus, ob ein Schaden entstanden ist, wer den Schaden wirklich verursacht hat (Kausalität), ob und bei wem ein Verschulden vorliegt und ob der Schaden widerrechtlich verursacht wurde.
(…)
“Darüber hinaus kommen die Beweisregeln zur Anwendung. Wer einen Schaden behauptet, muss die damit zusammenhängenden Tatsachen beweisen. Entsteht der Schaden bei der Nutzerin, muss diese ihn beweisen. Entsteht er bei einem Merchant, beim IdP oder einem Dritten, müssen diese ihn beweisen.””
Blogbeitrag
Falsch. Falsch. Falsch.
Weil: Die Benutzerin, die eID-Bürgerin, kann ja nichts beweisen, da sie nicht mal die Daten bei sich trägt!!
Konkreter: Wie bitte soll eID-Nutzerin, die von einem IdP abhängt, die NICHTS IN DER HAND HAT, keinen Zugriff auf ihre Daten hat, alle Authentisierungen, jedes Login etc durch einen IDP durchführen lassen muss, den Schaden und die damit zusammenhängenden Tatsache beweisen?!
Hier die entscheidende Frage: Wie soll sie beweisen, dass sie etwas NICHT GETAN HAT?
Ihr fehlt die ganze Dokumentation. Die eID-Bürgerin hat keine Grundlagen, keine Protokolle nichts, dass sie vorweisen könnte. Nichts.
Ist eigentlich nur logisches Denken, oder?
“Der “Beitrag” der Nutzerin beim Einsatz der E-ID besteht darin, die in der Botschaft ausformulierten Sorgfaltspflichten einzuhalten.”
Blogbeitrag
Ja klar, die eID-Bürgerin wird bestimmt in der Botschaft zum BG eID nachlesen, dass sie einen virenfreien Computer und Smartphone betreiben muss. Ironie off. Ich halte mich eigentlich daran, was im Bundesgesetz steht. Machen das IT-Anwälte nicht auch?
Und nun – Trommelwirbel- die weitere grösste Fake News dieses Texts:
“Aus dem Satz ergibt sich, dass die Autorin offenbar eine Lösung mit Smartcard favorisiert (es ist ja nach Annahme des BGEID nicht ausgeschlossen, dass die Schweiz eine E-ID mit Smartcard einführen könnte). Ob sich die Haftung bei einer Lösung mit Smartcard dann so gestalten würde, wie die Autorin sich dies vorstellt, muss auch nicht diskutiert werden. Worum es eigentlich gehen sollte: Welche Haftungsfolgen zu Lasten der E-ID-Nutzerin sich aus dem BGEID (Art. 32 Abs. 1 BGEID) ergeben. Solche Aussagen fehlen aber. Entsprechend ist der diskutierte Nachtrag zur Smartcard nicht schlüssig.”
Blogbeitrag
Wow, hier war ich etwas perplex.
Erstens: Mit den angewendeten OIDC-Protokoll – es wird der de facto-Standard sein – und Single-Sign-On-Lösungen/Protokollen (die Verordnung/technische Ausführungsbestimmungen war mitbeeinflusst von SwissSign und anderen Playern) sind dezentrale eID-Lösungen de facto obsolet. Denn ich habe herausgefunden – achtung Herr Laux, nochmals Trigger-Warnung für Sie: RECHERCHE– dass die Interoperabilität so umgesetzt wird, dass alle IDPs de facto auf das schlechteste Datenschutzniveau runternivellieren müssen. Damit macht es für keinen IDP Sinn, eine datensparsame eID-Lösung mit dezentralem Authentisierungsvorgang anzubieten. Er muss sowieso seinen Kunden- die eID-Bürgerin- an den IDP mit zentralisiertem System “verraten”. Ergo: alle IDPs erfahren am Schluss alles, weil ein Unternehmen oder eine Behörde stets mit einem IDP zusammenarbeitet (Artikel 20, BG eID).
Zweitens: Und das ist das Lustige: Es bräuchte mit der Smartcard GAR KEINEN IDP. Doch der gesamte BG eID-Entwurf ist auf das Konstrukt und die Rolle des IDP, eine Drittpartei, ausgerichtet. Die verwaltet, hortet und betreibt die eID der Bürgerin. That’s the business modell, stupid!
“Worum es eigentlich gehen sollte: Welche Haftungsfolgen zu Lasten der E-ID-Nutzerin sich aus dem BGEID (Art. 32 Abs. 1 BGEID) ergeben. Solche Aussagen fehlen aber. Entsprechend ist der diskutierte Nachtrag zur Smartcard nicht schlüssig.”
Blogbeitrag
Eben die Haftungsfolgen sind nicht geregelt im Bundesgesetz eID! Meine Güte…Sie drehen sich im Kreis.
Und jetzt noch das schnaubende flammende Finale and the biggest Fake News:
“Es steht fest: Auch bei einer E-ID Lösung mit Smartcard hätte die Inhaberin der E-ID Sorgfaltspflichten. Sie müsste ebenfalls notwendige und zumutbare Massnahmen treffen. Auch bei einer Smartcard-Lösung ginge es darum, wer für den Schaden aufkommen soll, den jemand im Falle eines Missbrauchs erleiden würde: Sie selbst, der Merchant, der IdP, ein Dritter oder der Staat?
Die Autorin macht diesbezüglich gar eine 180 Grad-Drehung und findet – in einem vergleichbaren Szenario – nun plötzlich gerechtfertigt, was sie soeben stark kritisiert hat (Haftung der Nutzerin). Das kann man sachlich nicht mehr nachvollziehen. Was bleibt, ist Stimmungsmache: Ja zu Smartcard, nein zum BGEID. Der Beitrag vom 28.01.2021 ist damit auch in diesem Punkt offenbar nur dies: Stimmungsmache gegen das BGEID.
(…)
Die Autorin versucht, die Haftungsfrage als ein spezifisches Problem des BGEID darzustellen. Damit verlässt sie das Feld der rein kritischen Kommentierung des BGEID. Ihre Darstellung ist unhaltbar.”
Blogbeitrag
Puh, schwer verdauliche Kost.
Es zeigt sich dass Herr Laux weder meinen Artikel gelesen hat oder BEWUSST FALSCHE SCHLÜSSE DARAUS ZOG noch dass er sich mit dem Thema dezentrale Datenhaltung und Missbrauchsszenarien auseinandergesetzt hat.
Wie habe ich es geschrieben? Schauen wir doch mal nach:
“Tatsache ist: Man hätte datensparsamere, sicherere E-ID-Lösungen gesetzlich verankern und damit für verbindlich erklären können. Dies, indem man die E-ID wie einen Pass konzipiert hätte: Nicht ein externer Dienstleister würde die E-ID dabei treuhänderisch verwalten, sondern die Bürgerin selbst wäre Trägerin ihrer E-ID – etwa in Form einer Smartcard.
So könnte die Bürgerin tatsächlich dafür verantwortlich gemacht werden, wenn sie ihre Smartcard verlieren würde oder diese missbraucht würde. Ein solches System wird im Fachjargon als «dezentrale Authentifizierung» bezeichnet. Lena Fischer würde in einem solchen System direkt mit Galaxus oder dem Steueramt interagieren – ohne einen Vermittler dazwischen.
«In einem solchen System würden nachweislich auch Impersonationsrisiken minimiert», sagt IT-Sicherheitsexperte Florian Forster. Das sieht auch Erik Schönenberger von der Digitalen Gesellschaft so, der das E-ID-Gesetz als unnötig erachtet: «Mit der elektronischen Identitätskarte hätten wir alle Voraussetzungen gehabt, das Ausweisgesetz hätte gereicht für eine E-ID. Dafür braucht es keinen Zwischenhändler, keinen Intermediär, dem man sich anvertrauen muss.»
Republik.ch
Und was bedeutet das jetzt?
Es bedeutet dass der Satz von Herr Laux “Die Autorin macht diesbezüglich gar eine 180 Grad-Drehung und findet – in einem vergleichbaren Szenario – nun plötzlich gerechtfertigt, was sie soeben stark kritisiert hat (Haftung der Nutzerin)” blühender Unsinn ist.
Denn: ich schreibe genau das Gegenteil.
Weil wenn die eID-Bürgerin die eID – oder in welcher materialisierten Form- “bei sich” trägt, ist eine grössere Haftung TATSÄCHLICH gerechtfertigt. Ich schreibe: “So könnte die Bürgerin tatsächlich dafür verantwortlich gemacht werden, wenn sie ihre Smartcard verlieren würde oder diese missbraucht würde.“
Es ist- wie ich geschrieben habe- wie beim roten Pass, den ich besitze. Ich bin die Trägerin der eID, und damit auch in grösserem Umfang verantwortlich dafür, was damit gemacht wird. Den roten Pass trage ich auch bei mir. Aber die Zeile mit dem roten Pass hat Herr Laux bewusst ignoriert oder er hat es einfach schlicht weg nicht verstanden.
Was das Bundegesetz eID aber vorsieht und wie es konzeptioniert ist: IN JEDEM FALL wird eine Drittpartei vorgesehen, die ALLE SCHRITTE von A bis Z anbietet, Registrierung, Login, Authentisierung und Identifizierung. Sie muss funktionsfähige Systeme anbieten.
Hätten die PolitikerInnen in Bundesbern Datenhoheit und Datensparsamkeit im Gesetz analog zur SwissCovid-App im Gesetz festgeschrieben, wäre in der technischen Implementierung dezentrale Authentisierungsvorgänge, gar eine Smartcard vorgesehen und keine zentralisierte Datenhaltung bei einer Drittpartei…. ja dann wäre gegen Artikel 12.1 des BG eID nichts einzuwenden.
So und jetzt fliessenden Übergang zu Teil IV, das Thema EU-Kompatibilität. Wir sind ja schliesslich in Fahrt.
Es wird auch wieder ganz witzig: Herr Laux verlässt nun das Terrain meines Text und übt sich als investigativer Boulevard-Journalist. Er zitiert mich aus einem Online-Podium und behauptete, dass ich mir widerspreche (so wie das auch Andri Silberschmidt vor Ort behauptete).
Hier ein paar Klarstellungen:
Erstens: Ich antwortete Herr Silberschmidt, dass ich mir nicht widerspreche. Danach wurde das Podium mangels Zeit beendet.
Zweitens: Viel schlimmer: Laux zitiert mich FALSCH aus dem Video (das ist das 1×1-Handwerk eines Journalisten, Herrn Laux). Er versucht wie Silberschmidt einen Widerspruch zu konstruieren, den es nicht gibt. Sie beide meinen, das Schweizer BG eID brauche lediglich einen Rahmenvertrag und bilaterales Abkommen und gut ist… Ich hatte im Podium zugestimmt dass es dies einerseits brauche.
Aber andererseits: DARÜBER HINAUS BRAUCHT ES MEHR.
Was Herr Laux verschweigt: Ich sage ab Minute 1h 2 Minuten 25 Sekunden was die ZENTRALE VORAUSSETZUNG FÜR EU-Kompatibilität ist.
“Am Schluss muss immer noch der Staat haften gemäss geltender [EU]-Richtlinie.”
Quote von Adrienne Fichter im Podium “eID-Zukunftsträchtig oder problematisch?”
Wer das nicht glaubt, kann es im Video nachschauen oder aus dem Transkript des Youtube-Videos lesen. Das bedeutet zum Einen gibt es unabhängig davon, welches eID-Gesetz die Schweiz ausgestaltet, gar keinen MECHANISMUS der Anerkennung durch die EU und zum ANDEREN ist das, was die Schweiz mit dem privatisierten Modell umsetzen will, GAR nicht EU-kompatibel.
Weil: es braucht dafür einen staatlichen Trust Anchor gemäss eIDAS. Und wenn der Bund diesen Knotenpunkt- diesen Hub- zur Verfügung stellen muss und dafür auch noch haften muss, kann er die eID gleich selbst herausgeben. Denn dies ist technisch anspruchsvoll und komplex.
Und jetzt Herr Laux, halten Sie sich fest. Wir machen einen Exkurs in die eIDAS-Welt:
Die Haftung des Staates ist geregelt in der eIDAS-Verordnung.
KAp. II eIDAS, insbesonnere Art. 6, 7 (Voraussetzungen Notifizierung), 8 und 9 (Anerkennung und Notifizierung) und ACHTUNG 2015/1502 (Implementing Act acc. Art.8 sowie Umgang Sicherheitsvorfälle in Art. 10 und Haftung in Art. 11)
eIDAS 1.0 spricht ausschliesslich vom Mitgliedsstaat – ein privater iDP ist naturgemäß kein Mitgliedsstaat. (zum Thema private eIDAS-Nodes)
Hätte nicht gedacht dass ich bei diesem Punkt einen Juristen belehren müsse.
Ich weise hier noch auf die Präsentation von Informatiker und eID-Spezialisten Yves Flückiger, der die Problematik visuell präzise auf den Punkt bringt. Man schaue links unten.
Es braucht ZUDEM NOCH EINE Revision des BG eID, weil es in dieser Form keine geltenden Bestimmungen enthält. Das schrieb ich hier.
“Sonja Margelist vom Bundesamt für Justiz ergänzt: «Wer für den Betrieb des nationalen E-IDAS-Hubs infrage käme, würde erst im Rahmen eines allfälligen Notifizierungsverfahrens entschieden. Zur Zuteilung dieser Aufgabe müsste das E-ID-Gesetz geändert werden.»
Republik.ch
Also for the record nochmals: Nein, das Bundesgesetz eID ist aus mehreren Gründen (Haftung, staatlicher Hub, nicht festgehalten im BG eID und daher revisionsbedürftig) AKTUELL und in DIESER FORM nicht kompatibel mit der EU-Verordnung.
Drittens: Das was ich irgendwo in einem Online-Podium behaupte, hat eigentlich überhaupt NICHTS meinem geschriebenen Text zu tun. Es ist irrelevant. Herr Laux sucht mangels Argumenten und Fakten verzweifelt nach Angriffspunkten. Damit entlarvt er sich selbst und seine Absicht: ihm geht es nur darum, auf meine Person zu zielen. Leider schlug das kolossal fehl. Weil ich mir eben gar nicht widersprochen habe. 🙂
Und nun noch zu guter Letzt. Herr Laux schreibt:
“Der Beitrag behauptet „fehlende Kompatibilität mit dem europäischen Konzept (eIDAS)“.
Diese Behauptung in der Republik.ch vom 28.01.2021 ist falsch. Die eIDAS Verordnung der EU enthält keinen Artikel, welcher der Anerkennung der Schweizer E-ID durch die EU verunmöglichen würde.
Richtig ist: Artikel 7 der massgeblichen eIDAS-Verordnung der EU lässt eIDAS-Nodes zu, die „unabhängig vom notifizierenden Mitgliedstaat ausgestellt und von diesem anerkannt“ werden (Zitat aus der eIDAS-Verordnung).
Das ist genau das Konzept des E-ID-Gesetzes. Es gibt das Problem der fehlenden EU-Kompatibilität nicht. A. Fichter anerkennt dies auch ausdrücklich im oben gezeigten Videobeitrag, nach Minute 01:02:20: “Und es stimmt, es können auch Private die eIDAS-Nodes betreiben”.
Blogbeitrag
Schon wieder dasselbe Shitshow-Game aka juristische Wortverdrehung. Ja es können sich Private mit ihren eIDAS-Nodes von der EU anerkennen/notifizieren lassen. Ich habe NIE was anderes behauptet.
Ich schreibe folgendes:
“Die E-ID-Systeme fast aller EU-Staaten sind bereits anerkannt, bisher sind es fast ausschliesslich vom Staat herausgegebene E-ID-Lösungen.“
Republik.ch
Hui, was bedeutet denn das nun?
Trigger-Warnung für Herrn Laux: Achtung Empirie: Dass die MEISTEN EU-STAATEN MEHRHEITLICHE STAATLICHE EID-LÖSUNGEN ANBIETEN UND DIESE HABEN ANERKENNEN LASSEN! Und nicht dass die Notifizierung von privaten eID-Lösungen verboten ist. De facto- achtung Praxis- haben die EU-Staaten ihre staatlichen Varianten anerkennen lassen, weil es eIDAS-mässig einfacher ist für interoperable Umsetzung.
Warum ist das so? Eben wegen des staatlichen Hubs und der Haftung.
Siehe Beispiel Österreich. Wer sich auf der eGovernment-Site von Österreich einloggen will, findet einen EU-Login-Button vor. Und dann eine Auswahl für die EU-Bürgerinnen der jeweiligen Länder. Jetzt raten Sie mal, Herr Laux, zu welchen eID-Lösungen die Userinnen weitergeleitet werden…?
…ja genau. Alles staatliche eIDs.
Hätte Herr Laux doch nur auf diesen Link geklickt, hätte er vielleicht kurz inne gehalten, bevor er in die Tasten haut. Aber das wäre ja dann – hui- Empirie.
So wir sind nun durch.
Herr Laux, überlassen Sie das mit den Faktenchecks und Fakten allgemein doch wirklich den JournalistInnen. Sie haben sich in insgesamt 6 (!) Beiträgen (vor der 4er-Serie gab es noch zwei weitere Fake-Faktenchecks, das hatte ich ganz vergessen) an einer einzigen Recherche abgemüht und konnten weder faktisch und rechtlich irgendetwas widerlegen.
Und: Lesen Sie die EU-Verordnung doch genauer durch und reden Sie beim Thema Haftung und Datennutzung doch wirklich mit InfoSec-ExpertInnen.
Update I 3.3.2021: Ich habe gestern noch einen wichtigen Hinweis bekommen, von einer Quelle die anonym bleiben möchte. Beim Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur ZERTes ist die ganze Haftungsgeschichte grundlegend anders geregelt. Die Beweislast liegt beim Anbieter der Signaturdienste. Jemand vom Sales SuisseID sagte mir: “Die Geschäfts SuisseID Kunden betrachteten diesen Passus als wertvoll, da die Beweislast nicht bei ihnen liegt”
Update II 3.3.2021: Hier noch etwas Lektüre für Herr Laux (machen Sie doch das nächste Mal Ihre Hausaufgaben), ein Hinweis von eIDAS-Experte und bitkom-Fachverantwortliche Steffen Schwalm.
Zacharia et. al.: Commentary zu Art. 1 eIDAS Rnd Nr. 11 Zitat:
“First of all according Art. 1 point a) the regulation lays down the conditions under which Member States recognise electronic identification means of natural and legal persons fallin under a notified eID scheme of another Member States”
“eIDAS only applies to eID that have been notified by Member States”
Art. 11: “In this regard, although the wording could have been clearer, experts in this field state the notifying member state has the obligation to ensure that the personal indentification data be attributed in accordance with the above mentioned procedure (eIDAS), but that the MS also has th obligation to ensure that such data represent uniquely the person in question, that is no one else”
Zacharia et. al.: Commentary zu Art. 1 eIDAS Rnd Nr. 11 (Gesetzeskommentar)
Ergo, der Mitgliedstaat haftet, er muss sicherstellen, dass eID korrekt, die Haftung greift naturgemäß nur, wenn der Mitgliedschaft regulatorisch für Ausstellung eID verantwortlich ist. Rnd Nr. 11 macht noch deutlicher, dass die Zuordnung der Kernidentität der eID zur entspr. Person durch MS kommt.
Verantwortlich für die eigene (zu notifizierende oder notifizierte) eID ist immer der Mitgliedsstaat = staatlicher trust anchor. Eine rein private Abwicklung ohne jede Beteiligung/Verantwortung des MS ist für eID-Schemes bislang nicht vorgesehen.
Vgl. auch Rnd Nr. 5 zu Art. 10 eIDAS in Zaccaria et al.
Ironie: Passenderweise führt Zaccaria das DigiNotar Gate als Negativbeispiel an: Ausstellung der eID findet privat statt, zwar unter Supervisory des niederländischen Staats, nur hatte der Staat keinerlei Steuerungs-Option o.ä. wie es eIDAS vorsieht, ergo Identitätsdiebstahl “leicht gemacht”.
Kommt uns das Beispiel DigiNotar Gate nicht bekannt vor?:)