Schweizer E-ID-Gesetz: Befürworter drängen, Gegnerinnen warnen

Im Internet hat jede und jeder von uns viele “Identitäten” oder Logins, die wir für den Zugriff auf E-Commerce-Seiten, E-Mail-Dienste oder soziale Medien nutzen. Aber kein Gesetz schützt oder verifiziert diese persönlichen Anmeldedaten. Befürworter der E-ID-Technologie sagen, eine kontrollierte und regulierte digitale Identität würde etwas Ordnung und mehr Sicherheit in das Chaos im Web bringen.

“Die elektronische digitale Identität ist grundlegend für alle praktischen Fragen und für die Interaktion zwischen der Bevölkerung und den Regierungen”, sagt Jean-Henry Morin, Professor für Informationssysteme an der Universität Genf. Online-Steuerrechnungen oder E-Health könnten zum Beispiel über eine E-ID abgewickelt werden. 

Wie Morin halten viele Digitalisierungsexperten in der Schweiz und in Europa die Umsetzung einer E-ID für zentral. Insbesondere sind sie überzeugt, dass eine E-ID die Digitalisierung der öffentlichen Verwaltung stark voranbringen könne. Die Schweizer Lösung aber hält der Genfer Experte für keine gute Lösung. Doch dazu später.

Europa machts vor

Eine Vorreiterin auf dem Gebiet der elektronischen Identität ist die Europäische Union. Sie hat 2014 die E-IDAS-Verordnung für die elektronische Identifikation verabschiedet. Diese hat das Ziel, das Vertrauen der Nutzerinnen und Nutzer, die Sicherheit sowie die Koordination zwischen Online-Diensten zu stärken. Heute bieten bis auf wenige Ausnahmen alle EU-Länder digitale Identitätslösungen an.

Mehr

“Die Schweiz muss wissen, wohin sie will in der Welt”

Dieser Inhalt wurde am veröffentlicht 19. Feb. 2021 E-ID, der Trip nach Afrika und die Rolle der Schweiz im Nahen Osten: Bundesrat Ignazio Cassis im Interview.

Mehr “Die Schweiz muss wissen, wohin sie will in der Welt”

In der Schweiz hingegen gibt es noch keine zertifizierte und staatlich kontrollierte E-ID. Die Versuche der SwissSign Group, die 2010 die SuissE-ID lancierte, endeten als Flop. Doch die Gruppe, ein öffentlich-privates Unternehmen, dem unter anderem die Schweizerische Post, die Bundesbahnen und die grössten Banken und Versicherungen des Landes angehören, strebt nach wie vor an, eine offiziell zertifizierte E-ID für die Schweiz anbieten zu können. 

Das neue Bundesgesetz über elektronische Identifizierungsdienste von 2018 (E-ID-Gesetz), das am 7. März zur Abstimmung kommt, überantwortet die Ausgabe der elektronischen Identitäten an privaten Unternehmen – diese würden zu sogenannten Identitätsprovidern (IdPs). 

Ein Komitee, bestehend aus Demokratie- und Netzaktivistinnen sowie IT-Fachleuten aus der Forschung, stellt aber diese privatwirtschaftliche Ausstellung in Frage. Die E-ID müsse vom Staat ausgestellt werden, lautet ihre Forderung. Darum haben sie das Referendum gegen das E-ID-Gesetz ergriffen.

Sollten sie aber in der Volksabstimmung unterliegen, haben Unternehmen wie SwissSign die grosse Chance, doch noch ans Ziel zu kommen. Also vom Bund mit dem offiziellen Mandat ausgestattet zu werden, das gesamte E-ID-System des Landes zu betreiben und die persönlichen Daten all jener Menschen zu verwalten, die über eine E-ID verfügen. Die Rolle des Staates dabei wäre lediglich diejenige eines Datenlieferanten. 

Einmalige Gelegenheit?

Manche argumentieren, die Schweiz würde eine Chance verpassen, wenn sie dieses Gesetz ablehnt, das ein erster Schritt zur Regulierung digitaler Dienste sei.  

Matthias Stürmer, der Leiter der Forschungsstelle Digitale Nachhaltigkeit an der Universität Bern, weist darauf hin, dass auch Google und Facebook den Anspruch hätten, als informelle Identitätsanbieter zu agieren. Laut Stürmer tun sie dies teilweise auch bereits. Etwa, indem sie ein Login zur Verfügung stellten, mit dem Userinnen und User auf viele andere Webseiten zugreifen könnten. 

Meinung

Mehr

“Verhökern wir nicht unsere Online-Identität dem Meistbietenden”

Dieser Inhalt wurde am veröffentlicht 19. Feb. 2021 Privaten Unternehmen die Verwaltung der E-ID in die Hände zu geben, sei sehr riskant, sagt der Technologie-Spezialist Grégoire Barbey.

Mehr “Verhökern wir nicht unsere Online-Identität dem Meistbietenden”

“Aber ohne Regeln können sie mit unseren Identitäten machen, was sie wollen und die Metadaten für Werbung und andere kommerzielle Dienste nutzen”, sagt Stürmer. Er glaubt, dass es für die Industrie essenziell sei, ein E-ID-Projekt zu akzeptieren und zu unterstützen, weil der Mehrwert für den Endnutzer erst durch das Mitziehen der Wirtschaft entstehe.

Auch Gian-Reto Grond, Leiter der Sektion Digitale Gesundheit beim Bundesamt für Gesundheit (BAG), ist der Meinung, dass das neue Gesetz deutliche Verbesserungen bringen werde. So wäre mit einer E-ID, die unter staatlicher Kontrolle und Genehmigung stehe, der Zugriff auf die digitale Akte eines Patienten oder einer Patientin möglich. 

“Im Fall von medizinischen Daten ist das erforderliche Sicherheitsniveau sehr hoch. Deshalb ist es wichtig, eine E-ID zu haben, die verifiziert und gesetzlich geschützt ist”, sagt Grond. Er glaubt, dass dieses Gesetz sogar ein neues System medizinischen Funktionen schaffen könnte, das über die reine elektronische Krankenakte hinausgeht, etwa mobile Anwendungen.

Der Forscher Kevin Andermatt von der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) entgegnet den Gegnerinnen und Gegnern des E-ID-Gesetzes, dass kaum eine Regierung die IT-Kapazitäten und die Ressourcen hätte, um eine digitale Identität in angemessener Zeit und Qualität selbst zu entwickeln. Deshalb würden Regierungen in der Regel mit privaten Unternehmen kooperieren. Oder sie kauften das Endprodukt über öffentliche Ausschreibungen ein, so der Spezialist.

Nach Ansicht von Andermatt ist die öffentlich-private Zusammenarbeit in der Regel sehr vielversprechend. “Private Unternehmen verfügen über das spezifische Knowhow und den erforderlichen Stand der Technik und sie sind näher am Markt und den Kundinnen und Kunden”, sagt er.

In diesem Fall, in der es stark um das Vertrauen in die Handhabe mit sensiblen Daten gehe, hält es Andermatt jedoch für wahrscheinlich, dass sich die Schweiz eine Volksabstimmung hätte sparen können, wenn die Regierung eine vollständig staatliche E-ID-Lösung auf den Tisch gelegt hätte. “Wenn das Gesetz nun an der Urne abgelehnt wird, werden wir viele Jahre warten müssen, bis wir eine andere Lösung haben”, sagt er.  

E-ID um jeden Preis?

Trotz des Rückstands der Schweiz gegenüber den meisten anderen europäischen Ländern in Sachen elektronischer Identifizierung ist Jean-Henry Morin von der Universität Genf überzeugt, dass sie nicht versuchen sollte, die verlorene Zeit um jeden Preis mit der Entwicklung einer übereilten Lösung aufzuholen. Morin gehört zu den entschiedenen Gegnern des vom Schweizer Parlament verabschiedeten E-ID-Gesetzes. 

“Die E-ID sollte in öffentlicher Hand bleiben und nicht von einem undurchsichtigen Konsortium privater Unternehmen wie Banken und Versicherungen verwaltet werden, was die Identität auf eine Geschäftsangelegenheit reduzieren würde”, sagt er. “Es ist besser zu warten und sich auf eine verantwortungsvolle und nachhaltige Lösung einzulassen, die das Vertrauen der Menschen gewinnen kann.” 

Laut Morin ist es für die Schweiz noch keineswegs zu spät, den Rückstand wettzumachen. Dabei kann sie sich an führenden europäischen Beispielen orientieren. Etwa Estland, das eine zu 100% staatliche E-ID eingeführt hat. Diese gilt als internationaler Benchmark, auch wegen ihrer Sicherheit.

Das schweizerische E-ID-Gesetz hingegen hält der Genfer Experte bereits vor einer allfälligen Inkraftsetzung für veraltet und nicht sicher genug. So schreibt das Gesetz beispielsweise vor, dass die Nutzerdaten sechs Monate lang auf den Servern der Anbieter gespeichert werden müssen. Obwohl Datenmissbrauch verboten ist, macht dieses doch ansehnliche Zeitfenster das System anfälliger für Datenmanipulationen, Lecks und Cyber-Attacken.

“Dieses Gesetz ist nicht fortschrittlich, was die Datenschutzprinzipien, die Technologie und sogar die Interoperabilität mit anderen Ländern angeht”, sagt Morin. “Wenn es verabschiedet wird, wird die Schweiz noch rückständiger sein als vorher,” ist er überzeugt.

Er hält es für besser, es abzulehnen und stattdessen eine Gruppe hochkarätiger Fachleute ins Leben zu rufen, von denen es in der Schweiz mehr als genug gebe. Sie sollten ein System entwickeln, das innovativ und zukunftsweisend sei. Darin stünden die Menschen und der Schutz der Privatsphäre im Mittelpunkt.

Ein System voller Löcher

Auch die Hackerinnen und Hacker des Chaos Computer Clubs Schweiz (CCC-CH), die im Dienst der Zivilgesellschaft arbeiten, sind gegen das Gesetz. Sie warnen davor, dass das vorgeschlagene E-ID-System angreifbar sei.

“Wir mögen dieses Gesetz nicht. Es ist schlecht aus Sicht der Architektur des Systems, das zentralisiert ist und daher sehr anfällig für Cyber-Attacken. Wir sehen mehr Risiken für die Sicherheit und den Datenschutz als Vorteile”, sagt Hernâni Marques, Soziologe und Spezialist für Neuroinformatik sowie Vorstandsmitglied des CCC-CH.

Eine zentralisierte Architektur mit einem einzigen Login bedeute, dass auch Angriffe zentralisiert erfolgen könnten. Mit anderen Worten: Eine einzige Bedrohung könne das gesamte System kompromittieren und blockieren, sagt Marques. Das setzt die Benutzerinnen und Benutzer einer grösseren Gefahr von Datenverlust, -missbrauch oder -diebstahl aus. 

Pragmatismus als Lösung?

Warum aber hat sich die Schweiz für dieses System entschieden, wenn es Sicherheits- und Datenschutzmängel aufweist und damit Angriffsfläche bietet? Florian Forster, Gründer und CEO der kleinen IT-Firma CAOS, glaubt, dass dahinter erfolgreiche Lobbyarbeit der involvierten Unternehmen stehe. Sie habe die Annahme einer Lösung beeinflusst, die durch die Verwendung etablierter, aber weniger datenschutzfreundlicher Protokolle einfach in jeden Dienst im Internet integriert werden könne.

Der Mangel an profundem Fachwissen im Parlament im Bereich Digitaltechnologie habe bei der Ausarbeitung des Gesetzes ebenso wenig geholfen wie das Fehlen einer offenen Diskussion mit etablierten Expertinnen und Spezialisten, sagt Forster.

“Die von der Schweizer Regierung vorgeschlagene Lösung mag nicht perfekt sein, aber es ist ein pragmatischer, stark regulierter Public-Private-Partnership-Ansatz, der funktionieren wird”, hält Matthias Stürmer von der Universität Bern dagegen.

Trotz der bekannten Unzulänglichkeiten des Gesetzes sind er und andere Befürworter überzeugt, dass es sich die Schweiz nicht leisten könne, auf die perfekte Lösung zu warten. Das Internet werde immer komplexer und anfälliger, und es sei an der Zeit, jetzt zu handeln.

“Wir befinden uns in einem Wettlauf, und wir haben keine Zeit, noch zwei oder drei Jahre auf ein neues Gesetz zu warten”, sagt Stürmer.

“Der Markt der Authentifizierung ist zu umkämpft und die Schweizer E-ID ist besser als die Identifizierungs-Plattformen der grossen Tech-Unternehmen, weil sie die Nutzung von Metadaten für kommerzielle Zwecke verhindert.”

(Übertragung aus dem Englischen: Renat Kuenzi)