finger-gad26c1b28_1280

Ein Blick in die eID-Werkstatt

Im Vorfeld der eID-Abstimmung vom 7. März 2021 wurden verschiedentlich Stimmen laut, welche mit der Begründung „es wird nochmals jahrelangen Stillstand geben bis ein neues Gesetz vorliegt“ für ein Ja eintraten. Umso überraschender dann, dass in Bern bereits kurz nach dem Nein zum eID-Gesetz fast schon Hektik am Thema ausbrach:

  • Am 10. März reichten NationalrätInnen aus sechs Parteien gleichlautende Motionen ein welche den Bundesrat dazu aufforderten, einen neuen Anlauf für ein mit dem Pass vergleichbares staatliches elektronisches Identifikationsmittel zu nehmen, dabei auf Datensparsamkeit und „privacy by design“ zu achten und die Verantwortung für Ausstellung und Betrieb bei staatlichen Behörden vorzusehen.
  • Der Bundesrat lies daraufhin ein Diskussionspapier „Zielbild eID“ erstellen, stellte dies am 2. September vor und startete auf dieser Basis eine öffentliche Konsultation (auch das ein Learning aus der Abstimmung: Digitalpolitische Vorlagen sollten nicht nur mit Wirtschaftsverbänden sondern auch mit der netzpolitischen Zivilgesellschaft erörtert werden)
  • Am 14. Oktober lud die das Bundesamt für Justiz zu einer öffentlichen Diskussion über das Zielbild und wertete anschliessend die eingegangen Stellungsnahmen aus.
  • Und am 17. Dezember traf der Bundesrat einen Richtungsentscheid, mit dem er die Eckpunkte des neues eID-Gesetzes festlegt und dessen Entwurf auf Mitte 2022 ankündigt.

Das Wichtige vorneweg: Der Bundesrat hat angekündigt, im Gesetzesentwurf die Inhalte der Motionen und das Feedback aus den Stellungsnahmen zu berücksichtigen, namentlich…

  • sollen Nutzerinnen und Nutzer der E‑ID grösstmögliche Kontrolle über ihre Daten haben (Self-Sovereign Identity),
  • wird der Datenschutz sowohl durch das System selber (Privacy by Design), aber auch durch die Minimierung der nötigen Datenflüsse (Prinzip der Datensparsamkeit) gewährleistet,
  • soll eine dezentrale Datenspeicherung gewährleistet werden,
  • und soll die E-ID auf einer staatlich betriebenen Infrastruktur beruhen.

Also alles in Butter? Wir werden sehen, schlussendlich gilt was dann im Gesetzesentwurf steht der ja dann auch wieder durch Vernehmlassung, Kommissionen und Parlament gehen muss. Aber die Richtung weckt Hoffnung auf eine gute Lösung, und das ist immerhin mal positiv.

Wir haben uns nichtsdestotrotz die Ergebnisse der öffentlichen Konsultation etwas näher angeschaut, einige davon haben uns etwas verwirrt.

Stichwort „Self-Sovereign Identity“

Unter Self-Sovereign Identity wird eine digitale Identität verstanden, welche vollständig unter Kontrolle der damit identifizierten Person steht (typischerweise in Form eines Wallets auf einem Smartphone oder einem spezifischen Gerät/Token, es gibt also nach der Ausstellung/Erzeugung einer digitalen Identität keine zentrale Kopie im Passbüro (oder, wie im verworfenen eID-Gesetz vorgesehen, bei einem Identity Provider). Die praktische Analogie ist ein physischer Pass (dem Identitätsnachweis in den Händen der damit identifizierten Person) bei dem je nach Verwendungszweck die nicht relevanten Daten mit einer Schablone abgedeckt werden.

Die identifizierte Person hat so die Kontrolle darüber, ob und wenn ja welche identifizierenden Daten sie bei einer Identitätskontrolle preisgibt (für eine Altersprüfung beim Alkoholkauf reicht zum Beispiel die Information, dass die identifizierte Person über 18 ist, es braucht weder das exakte Geburtsdatum noch der Name preisgeben werden). Der Prüfende (in diesem Fall also die Alkoholverkäuferin) hat die Möglichkeit, die mit ihr geteilten Daten auf ihre Echtheit zu prüfen.

Es liegt auf der Hand, dass ein solches System vom Grundsatz her sowohl datensparsam ist wie auch Privacy by Design beherzigt, es ist auch insofern mit einem herkömmlichen Pass vergleichbar als dass es nur die eine Identität im jeweiligen Wallet gibt. Entsprechend spricht sich die deutliche Mehrheit der Teilnehmer der Konsultation für eine SSI-basierte Lösung aus (wenn man die Antworten ohne Technologiepräferenz ausblendet, ist es sogar eine überwältigende Mehrheit).

Der Einsatz von SSI wäre aber auch mit Risiken verbunden:

  • Das Konzept wurde erst 2016 erstmals beschrieben, ist also so gesehen noch recht jung und es gibt wenig Praxiserfahrung damit. Auch wenn es aus heutiger Sicht vielversprechend aussieht, könnten sich in der praktischen Anwendung Probleme zeigen mit denen heute noch niemand rechnen würde. Nicht zuletzt aus diesem Grund wäre für eine Übergangsfrist auch eine Public Key-Infrastruktur denkbar (ähnlich wie wir sie von den Covid-Zertifikaten her kennen)
  • Die Verwaltung der Identität (Speicherung, Backup, Schutz vor Missbrauch/Diebstahl) liegt vollständig in der Verantwortung der damit identifizierten Person. Diese Problematik haben zwar auch andere Ansätze, bei SSI ist sie aber etwas ausgeprägter. Und es ist mit ein Grund, dass einzelne Stimmen vorschlagen, eine „SSI-Identität“ auf einem separaten Gerät/Token zu speichern (und nicht etwa im Smartphone selbst)
  • Bei weitem nicht alle Smartphones enthalten die notwendigen technischen Elemente um eine „SSI-Identität“ hochsicher zu speichern (und man kann von Bürgern wohl kaum erwarten, sich ein solches zuzulegen). Daraus leitet sich dann erneut der Bedarf nach einem separaten Token ab.

Ist die eID eine Identität, ein Login, eine Signatur?

Was schon während der Abstimmungsdiskussion zum eID-Gesetz immer wieder mal deutlich wurde, zieht sich jetzt auch durch die Stellungsnahmen: Ist eine eID eine elektronische Identität, ist sie ein Login, ist sie sogar eine Signatur? Ein Stückchen weit ist die Verwirrung ja erklärbar, braucht(e) es doch bei Lösungen mit zentralen Identity Providern (wie sie im eID-Gesetz vorgesehen war) einen Login um quasi auf die Identität zuzugreifen (auch Apple-User kennen die Problematik von der AppleID, welche gleichermassen Identität gegenüber Apple wie Email-Adresse ist). Und wird in der papierlastigen Realität eine Unterschrift doch schnell mal mit der Identität des Unterschreibenden gleichgesetzt (wer will schon jedesmal einen Pass sehen wenn einem jemand ein Dokument unterschreibt).

Jedenfalls wurden in den Stellungnahmen die Thematik der Identität („wer bin ich“) und diejenige des Logins („sag mir wer Du bist“) des öfteren vermischt. Und selbst wenn man einen Teil des Durcheinanders wohl einer unsorgfältigen Wortwahl zuschreiben kann, zeigt doch alleine die Verwechslung an sich, dass hier noch Aufklärungsbedarf besteht. Dasselbe gilt für die qualifizierte elektronische Signatur, welche in der Schweiz zwar bereits gesetztlich geregelt ist, aber aufgrund des eher überschaubaren Lösungsangebots noch ein Schattendasein fristet. Das Einschliessen einer Signatur in eine Identität (und damit verbunden die gemeinsame Nutzung der entsprechenden Infrastruktur) würde der Sache sicher Aufwind geben.

Falls es beim Einsatz von SSI bleibt, wird die Sache insofern etwas einfacher als dass es für die Identität an sich kein Login mehr braucht (zumindest kein klassisches Login mit Username und Password; eine Authentisierung beim Zugriff auf die digitale Identität in Smartphone oder Token braucht es natürlich so oder so). Aber es wird wohl trotzdem noch die eine odere Anstrengung brauchen, um die Begriffe zumindest in der neuen Gesetzesvorlage besser zu definieren und abzugrenzen.

Und wo sind die Use Cases?

Spannend ist und bleibt, dass zwar alle Beteiligten der Überzeugung sind, dass es unbedingt eine elektronische Identität braucht, es aber bezüglich konkreter Use Cases noch immer etwas schwammig aussieht. Genannt werden die üblichen Beispiele wie das Bestellen von Betreibungs- und Strafregisterauszügen, Altersnachweise, Eröffnen von Bankkonten und Abschliessen von Mobiltelefon-Abos (also Dinge bei welchen heute Pass/ID zwingend notwendig sind). Darüber hinaus wird es dann aber schnell einmal eher schwammig:

  • Viele Teilnehmer der Konsultation schlagen, wie oben schon erwähnt, Logins sowohl zu Behördenplattformen wie auch zu privaten Anbietern als Anwendung vor. Teilweise wird, gerade für Behördengängen, auch die Idee eines zentralen Bürgerlogins geäussert.
  • Vorgeschlagen wird die Verwendung der eID für eVoting und eCollecting (wobei gerade zweiteres dann wohl den Weg zu eInitiative/eReferendum ebnen und vor allem eine erneute Diskussion bzgl Sammelfristen und Unterschriftenzahlen auslösen würde)
  • Darüber hinaus wird die Verwendung der eID als Basis für digitale Führerausweise, Ausbildungsnachweise, Zeugnisse, Vollmachten etc. vorgeschlagen. Oft ist dabei allerdings nicht recht klar, welchen realen Vorteil man sich damit erhofft und ob (wie zum Beispiel bei Arbeitszeugnissen) nicht auch hier eine Vermischung von Identität und Signatur erfolgt
  • Welcher Teilnehmer seine Stellungnahme mit „Für die digitale Wirtschaft stellt die E-ID eine wesentliche Infrastrukturkomponente dar. Sie steht am Anfang zahlreicher neuer Geschäftsmodelle und der Schaffung eines dynamischen digitalen Ökosystems welche erforderlich sind, die Digitalisierung in der Schweiz voranzubringen.“ zusammenfasst, ist vermutlich leicht zu erraten. Aber auch Economiesuisse ist dann in den Details eher wage, bringt aber immerhin den Vorschlag ins Spiel, die Meldeliste in Hotels auf Basis einer eID zu vereinfachen.

Zugänglichkeit für Bürgerinnen und Bürger

In verschiedenen Stellungsnahmen wird die Thematik „eID muss für Bürgerinnen und Bürger verständlich sein“ zumindest angetönt.

  • Identitätssysteme sind vom Grundsatz her technisch anspruchsvoll und die breite Masse wird schlicht darauf vertrauen müssen, dass das ganze korrekt funktioniert.
  • Nicht alle aus der physischen Welt bekannten Konzepte lassen sich 1:1 ins Digitale übertragen (siehe zB die Identität-Login-Signatur-Thematik), entsprechend werden sie in der Umsetzung teilweise schwer zu vermitteln sein.
  • Es kommen neue Prozesse und evtl. Geräte auf die Bürgerinnen und Bürger zu, der Zugang dazu wird vielen schwer fallen.
  • Themen wie Datenschutz, Profiling, Verwendung von Personendaten wurden bisher erst angeschnitten, hier sind noch weitere Diskussionen und Klärungen notwendig.
  • An den Begrifflichkeiten muss noch gefeilt werden. Waren vor einem Jahr schon Dinge wie „Identity Provider“ oft nur schwer zu erklären, werden es (im Fall von SSI) Begriffe wie Issuer, Holder, Verifier, Relying Party, Institutional Agent erst recht sein. Und wenn in den Dokumenten des Bundes die durch eine digitale Identität identifizierte Person konsequent als User bezeichnet wird, mag das zwar in der aktuellen Lösungsfindung ausreichend sein. Spätestens bei der Einführung braucht es dann aber eine Terminologie, welche etwas mehr im Alltag der Zielgruppe verankert ist.

Wo stehen wir jetzt also 10 Monate nach der eID-Abstimmung? Politik und Bundesverwaltung haben rasch reagiert und in einer breit abgestützten Konsultation die Eckpunkte einer neuen, datensparsamen Lösung festgelegt. Technisch-konzeptionell scheint das Vorhaben nun auf gutem Weg zu sein. Die Erfahrungen mit der eID im Ausland (wie zB Deutschland) zeigen aber auch, dass eine technisch gute Lösung alleine nicht ausreicht, es wird auch Akzeptanz durch die Bevölkerung wie auch durch nutzende Stellen brauchen. Und da besteht auch in der Schweiz definitiv noch Klärungs- und vor allem Kommunikationsbedarf.

Teile Diesen Beitrag

Share on twitter
Share on linkedin
Share on facebook
Share on email

4 Kommentare

  1. Am 14. Oktober 2021 hat nicht die Bundeskanzlei, sondern das Bundesamt für Justiz zur öffentlichen Diskussion eingeladen (und anschliessend die Stellungnahmen ausgewertet).

  2. Mir gefällt Ihre Zusammenfassung und die Fragen, die Sie ableiten.
    Zu den Begriffen in der gesamten Diskussion: Mir scheint, es ist nicht einfach nur ein Vermischen von Identität und Login, sondern sogar von Identität, Authentifizierung (Login) und Identifikator. Identität ist kein Identifikator.
    1. Identität = Alles, was mich ausmacht = was ich weiss, denke, fühle, habe, bin
    2. Identifikator = Ein Beleg dafür, das ich die Person bin, die ich behaupte zu sein
    3. Authentifizierung = Login = Ein Beleg dafür, dass ich die Person bin, die den Account zuvor angelegt hat

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.