IB SUISSE

IB Suisse Blog

Bild: © Dominic Steinmann / NZZ

Warum die E-ID eher einer Kreditkarte gleicht als einem Pass

Der Nationalrat will, dass künftig private Unternehmen elektrische Identitäten ausstellen – und nicht der Staat. Dabei fallen heikle Daten an, die nicht alle in private Hände geben möchten. Eine kluge Architektur des Systems könnte helfen.

Das Argument klingt einleuchtend: Der Bund betreibe keine Druckereien, um den Schweizer Pass herzustellen. Weil in der analogen Welt private Firmen diese Aufgabe für den Staat erledigten, sei es auch für die elektronische Identität (E-ID) nur folgerichtig, wenn Private die technische Umsetzung des digitalen Passes übernähmen. Gleich mehrere Nationalräte verwiesen in der Debatte über das E-ID-Gesetz am Mittwoch auf diese Analogie, um das bundesrätliche Konzept zu begründen. Dieses will die Herausgabe der staatlich anerkannten E-ID privaten Unternehmen überlassen. Doch der Vergleich greift zu kurz.

Nutzungsdaten bei der Herausgeberin


Der digitale Pass ist deutlich komplexer als ein gedruckter Ausweis. Sind Pass oder Identitätskarte einmal ausgestellt, ist die Aufgabe des privaten Herstellers erledigt. In die Nutzung des Ausweises ist er nicht mehr involviert. Bei der E-ID ist dies anders – zumindest in der vorliegenden Konzeption: Zum einen sind die Personendaten der E-ID-Inhaber beim privaten Herausgeber gespeichert. Zum anderen fallen Nutzungsdaten an – wer hat sich wann bei welchem Onlinedienst authentifiziert –, die ebenfalls gespeichert werden müssen.

Im Unterschied zu einer Druckerei, die Pässe produziert, sind die Anbieter einer E-ID konstant in die Nutzung des digitalen Ausweises involviert – und zwar in zentraler Position. Die Bearbeitung, die Aufbewahrung und die Weitergabe von Daten bilden «die eigentliche Tätigkeit» der E-ID-Herausgeber, wie es der Bundesrat in der Botschaft zum Gesetz schreibt. Für die E-ID ist deshalb weniger der Vergleich mit einem Pass treffend als vielmehr der mit einer Kreditkarte. Für deren Verwendung nimmt die Kartenherausgeberin eine ähnliche Schlüsselposition ein.

Sicherheitsmassnahmen im Gesetz


Dass die Nutzungsdaten bei privaten Unternehmen liegen, ist der vielleicht heikelste Punkt im vorliegenden Konzept. Entsprechende Bedenken äussern nicht nur Kritiker. Auch der Gesetzesentwurf sieht in diesem Bereich klare Richtlinien vor: Weder die Personen- oder Nutzungsdaten noch darauf basierende Nutzerprofile dürfen weitergegeben werden. Der E-ID-Anbieter soll kein Geschäft mit dem Verkauf der Daten oder deren Auswertung machen können.

Doch diese Vorschriften schützen nicht vor Missbrauch oder vor einem Diebstahl durch Dritte. Deshalb sieht der Gesetzesentwurf weitere Vorkehrungen vor. Die E-ID-Herausgeber müssen die Identifizierungsdaten wie Name, Geburtsdatum oder Nationalität physisch und organisatorisch getrennt von den Nutzungsdaten abspeichern. Der Grund: Externen Angreifern oder einem kriminellen Mitarbeiter soll so der Zugang zu den vollständigen Daten zusätzlich erschwert werden.

Bessere Architektur schützt vor Missbrauch


Das Gesetz will mit diesen Vorschriften zwar den Missbrauch der Daten verhindern. Doch auf das effektivste Mittel zum Schutz der heiklen Daten verzichtet es: darauf, zu verhindern, dass diese Daten überhaupt erst entstehen – zumindest beim privaten E-ID-Herausgeber. Dazu müsste das System anders konzipiert sein.

Wie eine solche Architektur aussehen könnte, hat ein breiter Zusammenschluss um die Swiss Data Alliance bereits früh eingebracht. Eine zusätzliche Stelle vermittelt die Anfragen zwischen dem E-ID-Herausgeber und dem Onlinedienst, auf dem sich ein Nutzer identifizieren will. Dieser Identitätsvermittler ermöglicht eine doppelte Anonymität, die sogenannte «double blindness». Der Herausgeber der E-ID weiss nicht, bei welchem Dienst sich der Kunde einloggt; der Onlinedienst wiederum weiss nicht, von welchem Herausgeber die E-ID stammt.

Die Rolle dieses Identitätsvermittlers könnte der Bund übernehmen. Die Nutzungsdaten fallen dann nicht mehr bei einer privaten Firma an, sondern beim Staat. Dieser ist zwar nicht zwingend besser gegen Datendiebstahl geschützt. Jedoch könnte diese Konzeption das Vertrauen der Bevölkerung in die E-ID insgesamt stärken.

E-ID auf dem Handy


Noch dezentraler ist der Ansatz des Systems eID+, auf dem die E-ID des Kantons Schaffhausen basiert. Dabei werden die Personendaten nicht zentral auf dem Server des Herausgebers gespeichert, sondern verschlüsselt auf dem Smartphone des E-ID-Inhabers. Zentral verwaltet ist einzig die Gültigkeit, so dass im Fall eines Diebstahls die E-ID auf einem bestimmten Smartphone gesperrt werden kann.

Solche dezentralen Elemente können die E-ID von Grund auf sicherer machen – unabhängig davon, ob der Staat selbst oder Private die E-ID herausgeben. Und wenn sich die zentralen Daten beim E-ID-Herausgeber verringern, stimmt dann auch der Vergleich mit dem gedruckten Pass wieder.