Die Westschweizer IT-Firma Elca kümmert sich um die Umsetzung der Online-Verifikation für die e-ID. Dnip hat sich die Ausschreibungsunterlagen angesehen und bei den Verantwortlichen nachgefragt.
Kurz vor Jahresende hat das Bundesamt für Polizei (Fedpol) den Zuschlag zur Ausarbeitung der Online-Verifikation der e-ID erteilt. Der Bund schliesst mit dem Westschweizer IT-Dienstleister Elca einen Vertrag über elf Jahre ab und bezahlt diesem dafür bis zu 12,8 Millionen Franken. Dies ist der Ausschreibungsplattform Simap zu entnehmen.
Elca hatte sich im Ausschreibungsverfahren gegen acht Konkurrenten durchgesetzt, weil das Unternehmen «als einziges alle Musskriterien erfüllt hat und ein technisch und wirtschaftlich attraktives Angebot eingereicht hat», wie das Fedpol begründet.
Streit um die Dokumente
Welche Anbieter nebst Elca an der Ausschreibung mitgemacht haben, ist nicht offiziell bekannt. Eine Idee davon erhält, wer eine ähnliche Ausschreibung der SBB ansieht: Die Bundesbahnen haben einen Dienstleister für die Online-Verifikation zur Bestellung des Swisspass‘ gesucht und im Dezember 2024 für 977’000 Franken an Intrum vergeben, dies bei einer Laufzeit von fünf Jahren. Im Unterschied zum Fedpol haben die SBB einige Monate zuvor eine Teilnehmerauswahl publiziert – also die Anbieter beschränkt, die an der Ausschreibung mitmachen dürfen. 19 Firmen befinden sich auf der Liste – und darunter dürften sich auch die acht Elca-Konkurrenten befinden:
Screenshot: Ausschreibung SBB zur Online-Verifikation beim Swisspass
Zurück zum Fedpol: Die Ausschreibung zur Online-Verifikation der e-ID publizierte der Bund im Februar 2024. Noch in meiner früheren Funktion als Chefredaktor von inside-it.ch fragte ich beim Fedpol Einsicht in die Ausschreibungsunterlagen an. Da mir diese zunächst verwehrt wurde, gelangte ich mit einem Gesuch gestützt auf das Öffenlichkeitsgesetz (BGÖ) schliesslich an den Eidgenössischen Datenschutzbeauftragten (Edöb), wo ich in einer Vergleichsverhandlung mit dem Fedpol schliesslich Einsicht in die Unterlagen erhielt. Erfreulicherweise entschied sich die Behörde die Dokumente nicht nur mir zur Verfügung zu stellen, sondern der ganzen Öffentlichkeit. Seit heute Mittwoch lassen sich die Dokumente hier herunterladen. Gleichzeitig erhielt ich die Gelegenheit, beim Informationsbeauftragten des Programms e-ID beim Bundesamt für Justiz (BJ), Rolf Rauschenbach, offene Fragen zu klären.
Was war gesucht?
Im Pflichtenheft zur Ausschreibung präzisiert das Fedpol, dass eine Standard-Software beschafft werden sollte: «Gesucht ist ein Anbieter, welcher ein bestehendes und bewährtes Produkt für eine automatisierte Personenverifikation anbieten kann.» Ziel sei es, «die Lebendigkeit einer Person sowie die Übereinstimmung des Gesichts der Person mit einem oder mehreren bereits bei der Bedarfsstelle vorhandenen Referenz-Gesichtsbildern festzustellen». Ausserdem soll die Software die Echtheit von Schweizer Ausweisdokumenten – ID, Pass, Ausländerausweis – überprüfen können und die Möglichkeit eines manuellen Checks ermöglichen, falls die automatisierte Kontrolle zuvor fehlgeschlagen ist.
Wo wird es betrieben?
Die eingekaufte Software wird ebenfalls laut Pflichtenheft «isoliert auf der Betriebsumgebung des Bundes« betrieben, konkret auf der Betriebsumgebung des ISC-EJPD, also das Informatik Service Center des Justizdepartements. Zur gesamten Systemarchitektur für den Beantragungsprozess der e-ID zählen das Bundeswallet, die Fachapplikation SID, die Ausweisdatenbank des Bundes und das frisch eingekaufte Elca-Produkt; und sieht wie nachfolgend illustriert aus:
– DMZ steht für Demilitarized Zone, Netzwerkzone mit einem reduzierten Schutzgrad.
– SID ist die Staatliche Identitätsstelle. Eine Stelle des Fedpol, der die Produkt- und Systemverantwortlichen sowie die Agents für die e-ID angehören.
– Agent-Review ist die manuelle Überprüfung durch Mitarbeitende.
Das Bundeswallet, genannt Swiyu, entwickelt der Bund intern als iOS- und Android-App. Es enthält nebst der Funktion zur Speicherung der e-ID selbst auch den Online-Beantragungsprozess. Das bedeutet: Wer eine e-ID will, muss zunächst die Swiyu-App installieren und seine e-ID beantragen. Anschliessend wird der Verifikationsprozess durchgeführt – entweder online via Swiyu – oder alternativ im kantonalen Passbüro. «Bei der Vor-Ort-Überprüfung kommt das Elca-Produkt nicht zur Anwendung», wie Rolf Rauschenbach im Gespräch bestätigt.
Online-Beantragungsprozess in Kürze
Während dem Online-Beantragungsprozess müssen die antragstellenden Personen ein Video vom eigenen Gesicht erfassen und an den Bund übermitteln. So können «ungewöhnliche Verhaltensmuster, die auf Manipulations- oder Betrugsversuche hinweisen», besser erkannt werden, erklärt Rauschenbach. In anderen Branchen wie Banken, Versicherungen oder Telekommunikation hätte sich diese Methode als effektiv gegen Identitätsbetrug erwiesen.
Der Online-Prozess funktioniert wie nachfolgend dargestellt:
Geprüft wird im Verifikationsprozess, dass …
- … das erhobene Gesichtsbild mit dem Referenzbild aus der Ausweisdatenbank übereinstimmt,
- … die Lebendigkeit der antragstellenden Person gesichert ist,
- … das erhobene Gesichtsbild von der antragstellenden Person stammt und
- … die Echtheit des Ausweisdokuments im Besitz des Antragstellers gesichert ist.
Das Elca-Produkt nimmt eine Evidenzprüfung vor und entscheidet zwischen «erfüllt», «unsicher» und «nicht erfüllt». Je nach Umsetzung, die steht noch in den Sternen, kommen bei beiden Letzteren Fedpol-Mitarbeitende zum Einsatz, bei Ersterem wird die e-ID ausgestellt.
Kritik an Autoverifikationssystemen
In die Ausschreibungsunterlagen beziehungsweise ins Projekt sind Informationen aus dem Ausland und anderen Branchen eingeflossen. Insbesondere der Austausch mit Italien sei wertvoll gewesen, sagt Rolf Rauschenbach. Die Online-Verifikation führe zu einer massiv besseren Adoption im Markt. «Italien konnte durch den einfachen Zugang im digitalen Raum deutlich mehr Nutzerinnen und Nutzer für ähnliche Systeme gewinnen», so Rauschenbach. Auch im Inland habe sich der Bund mit Organisationen wie Swisssign, der UBS und dem Bundesarchiv abgestimmt, die bereits ähnliche Systeme im Einsatz haben. Dabei seien vor allem die Herausforderungen bei der Einführung von Autoverifikationssystemen im Fokus. gestanden.
Einen weiteren wichtigen Beitrag habe der Bericht des Chaos Computer Club (CCC) aus dem Jahr 2022 geliefert. Darin wurden Schwachstellen in Autoverifikationssystemen aufgezeigt, insbesondere die mangelnde Nachvollziehbarkeit von Angriffsszenarien. Der CCC zeigte mit dokumentierten Angriffen, wie leicht sich solche Systeme täuschen lassen, etwa durch manipulierte Videos (Deep Fakes) oder Replay-Angriffe, bei denen aufgezeichnete Bilder erneut verwendet wurden. Viele Anbieter waren damals nicht in der Lage, diese Angriffe zu erkennen, da es an Mechanismen wie der Lebendigkeitserkennung und einer ausreichenden Protokollierung fehlte.
«Diese Analyse führte dazu, dass die Speicherung von Evidenzen über den Verifikationsprozess hinaus in die e-ID integriert wurde», so Rauschenbach. Damit soll sichergestellt werden, dass Angriffe und Manipulationsversuche besser identifiziert und rückverfolgt werden können. «Die fehlende, nachträgliche Nachvollziehbarkeit stach dabei heraus», betont Rauschenbach im Gespräch. Durch die Einführung von Evidenzspeicherung und verbesserten Sicherheitsmechanismen soll verhindert werden, dass solche Schwachstellen bei der e-ID auftreten.
Gültigkeit maximal zehn Jahre
Sobald die e-ID im Bundeswallet gespeichert ist, kann sie eingesetzt werden. Gültig ist sie «maximal so lange wie das zugrundeliegende physische Dokument», erklärt Rolf Rauschenbach. Also je nach Dokument und dessen Laufzeit zwischen einem Tag und zehn Jahren. Es sei aber möglich, aus Gründen der Technik und der Sicherheit, dass die maximale Gütligkeitsdauer der e-ID auf fünf Jahre begrenzt werde, «auch wenn das physische Dokument noch länger gültig ist». Das ist laut Rauschenbach noch nicht final entschieden und könne sich auf Ebene der Verordnung zum e-ID-Gesetz noch ändern.
Klar ist jedoch, dass es keine automatische Verlängerung der e-ID geben wird. Wenn sie beispielsweise gleichzeitig mit dem physischen Pass ausläuft und dieser erneuert wird, muss auch die e-ID proaktiv neu beantragt werden. Grund dafür ist, dass nach Ausstellung der e-ID «die Verbindung zwischen der ausstellenden Stelle und der e-ID bewusst getrennt wird, um die Privatsphäre der Nutzerinnen und Nutzer zu schützen», sagt Rolf Rauschenbach.
Speicherdauer von bis zu 15 Jahren
Zur Privatsphäre der e-ID-Nutzerinnen und -Nutzer gehört auch der Umgang mit biometrischen Daten, die bei der Online-Verifikation anfallen. Diese speichert das Fedpol in bundeseigenen Rechenzentren – auf derselben Infrastruktur, auf der auch die Informationen zu physischen Ausweisen gespeichert werden. Backups würden dabei keine erzeugt, aber «die Daten werden auf redundanten Systemen gespeichert und für die Aufbewahrungsdauer vor Löschung geschützt», erklärt Rauschenbach. Mit Ablauf der Aufbewahrungsfrist würden die Daten dann gelöscht. Als System wird ein S3-Storage innerhalb der Secure Private Cloud des ISC-EJPD mit redundanten Standorten genutzt.
Anders ist die Situation bei der Beantragung einer e-ID im Passbüro: «Zuerst ist zu beachten, dass es in der Kompetenz der Passbüros liegt zu entscheiden, ob überhaupt eine maschinelle Verifikation durchgeführt wird oder nicht. Wenn eine maschinelle Verifikation vorgenommen wird, müssen die dabei anfallenden biometrischen Daten nach Abschluss der Verifikation gelöscht werden», so Rauschenbach. Dies ist zum einen durch gesetzliche Vorgaben geregelt, die eine dauerhafte Speicherung bei Vor-Ort-Verifikationen ausschliessen, und zum anderen durch etablierte Verfahren, die eine rein lokale Verarbeitung der Daten vorsehen.
Die Speicherdauer der biometrischen Daten ist klar geregelt: Fünf Jahre nach Ablauf der e-ID werden die Daten gelöscht. Bei der maximal möglichen Gültigketisdauer einer e-ID von zehn Jahren werden die Daten also 15 Jahre lang aufbewahrt. Diese Frist ergibt sich aus dem e-ID-Gesetz und soll vor allem rechtlichen Zwecken dienen, um «im Streitfall oder bei Verdacht auf Missbrauch Evidenzen bereitzustellen», so Rauschenbach. Im Gespräch betont er weiter, dass diese Frist notwendig sei, um die Sicherheit und Nachvollziehbarkeit der Prozesse zu gewährleisten: «Die Speicherung dient ausschliesslich dazu, Vorgänge rückwirkend prüfen zu können». Während dieser Zeit seien die biometrischen Daten von anderen Informationen, wie persönlichen Identifikatoren, getrennt gespeichert und nur über eine Fallnummer verknüpft.
Frühzeitige Datenlöschung nicht möglich
Die Löschroutinen nach der verlangten Zeit seien automatisiert, versichert Rauschenbach und würden keine manuellen Eingriffe erfordern. Ausserdem würden «Zugriffe auf die Daten lückenlos protokolliert und können bei Verdacht auf Missbrauch überprüft werden», so der Kommunikationsverantwortliche. Nicht zuletzt würden «regelmässige Systemüberprüfungen und Audits gewährleisten», dass die Löschmechanismen ordnungsgemäss funktionieren. Die Sicherheit der Rechenzentren des ISC-EJPD würde durch eine ISO-27001-Zertifizierung bestätigt, die mündlich ausgestellt sei. «Die offizielle Bestätigung steht kurz bevor», ergänzt Rauschenbach.
Die Möglichkeit, als Nutzerin oder Nutzer ein Löschbegehren für biometrische Daten zu stellen, ist nicht möglich. Es soll langfristig sichergestellt werden können, dass bei rechtlichen Streitfällen oder Verdachtsmomenten relevante Nachweise verfügbar bleiben, so Rolf Rauschenbach. Deshalb sei eine vorzeitige Löschung nicht möglich. «Nutzerinnen und Nutzer können jedoch ihre e-ID jederzeit für ungültig erklären lassen, etwa indem sie die App löschen». Dies führe dazu, dass die e-ID nicht mehr verwendet werden könne. Die bereits gespeicherten Daten bleiben jedoch erhalten, bis die gesetzliche Frist von fünf Jahren über die Gültigkeitsdauer hinaus abgelaufen sei. Allerdings hätten alle Bürgerinnen und Bürger die Möglichkeit, gemäss Datenschutzgesetz ein Auskunftsbegehren zu stellen, um zu erfahren, welche Daten über sie gespeichert sind.
Fazit: Transparenz ist entscheidend
Die Einführung der e-ID steht nicht nur für einen technologischen Fortschritt, sondern auch für die Herausforderung, das Vertrauen der Bürgerinnen und Bürger zu gewinnen. Besonders der Umgang mit sensiblen biometrischen Daten erfordert maximale Transparenz. Die öffentliche Publikation der Ausschreibungsunterlagen und die Auskünfte im Gespräch sind ein guter Anfang. Aber es bräuchte mehr: Zum Beispiel bei der Veröffentlichung des Source Codes, bei der die Verantwortlichen «Abstriche machen mussten». Zudem birgt die Möglichkeit zur Online-Verifikation auch Risiken, wie etwa die Gefahr von Identitätsmissbrauch durch Deep Fakes. Gleichzeitig bietet sie aber das Potenzial für eine deutlich einfachere und breitere Nutzung. Nur durch eine klare Kommunikation dieser Chancen und Risiken wird die e-ID die Akzeptanz finden, die sie für ihren Erfolg braucht.
Eine Antwort
Warum macht man nicht endlich in jede ID eine Chipkarte statt diesem absurden unsicheren Videotheater?
Und das soll ja wohl ein Witz sein:
«Die Sicherheit der Rechenzentren des ISC-EJPD würde durch eine ISO-27001-Zertifizierung bestätigt, die mündlich ausgestellt sei.»