E-ID – privat oder staatlich?

Am 7. März stimmt die Schweiz über das Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz) ab. Mit diesem Gesetz soll die Grundlage für die Einführung einer offiziellen digitalen Identität (E-ID) geschaffen werden. Eine E-ID kann man sich als digitale Variante einer Identitätskarte oder eines Reisepasses vorstellen. Bei der Frage, wer eine solche E-ID herausgeben soll, scheiden sich hingegen die Geister. Das Gesetz sieht nämlich vor, dass Private die E-ID herausgeben und der Staat nur für die Prüfung der Identität zuständig ist.

Wozu eine E-ID?

Viele Aspekte des täglichen Lebens spielen sich heute im Internet ab. Wir kaufen online ein, informieren uns aus Online Medien, erledigen Behördengänge digital und bezahlen unsere Rechnungen über Online Banking. Alle diese Dienste im Internet erfordern, dass wir uns auf irgendeine Art identifizieren. Das System, mit dem wir interagieren wollen, muss also irgendwie feststellen, wer auf der anderen Seite vor dem Bildschirm sitzt.

Bis anhin haben wir bei jedem Dienst, den wir neu nutzen möchten, ein Konto eröffnet. Wir haben einen Benutzernamen ausgewählt und ein Passwort gesetzt. Zusätzlich mussten wir noch eine gültige Mailadresse oder eine Mobiltelefonnummer angeben. Oft bekommen wir dann noch per E-Mail oder SMS einen Bestätigungscode, den wir zum Abschliessen der Anmeldung noch eingeben müssen. Dadurch kennt Dienstanbieter zumindest eine gültige E-Mail Adresse oder Telefonnummer der registrierten Person. Das Ergebnis sind viel Aufwand und haufenweise Zugangsdaten zu all den verschiedenen Diensten im Internet, die wir mal benutzt haben oder immer mal wieder nutzen.

Mit der E-ID soll nun die Möglichkeit geschaffen werden, ein Benutzerkonto für alle (oder zumindest die wichtigsten) Dienste zu haben. Zusätzlich werden die persönlichen Angaben (wie Name, Vorname und Geburtsdatum) amtlich überprüft. Wenn man sich dann mit der E-ID bei einem Dienst anmeldet, kann der Dienstbetreiber sicher sein, dass auf der Gegenseite wirklich die Person ist, auf die die E-ID ausgestellt wurde. Der Dienstanbieter kann zudem noch weitere Angaben abfragen, wie zum Beispiel das Alter. So soll es auch möglich werden, ohne Papierkram ein Konto bei einer Bank zu eröffnen oder eine Versicherung abzuschliessen.

Wie funktioniert die E-ID?

Die E-ID basiert auf einem kryptografischen Verfahren. Dabei wird ein sogenanntes Schlüsselpaar verwendet, das aus einem privaten und einem öffentlichen Schlüssel besteht. Jede E-ID hat ein eigenes solches Schlüsselpaar. Die Identität, also Angaben zu einer Person wie Name, Vorname und Geburtsdatum, werden nun zusammen mit dem öffentlichen Schlüssel vom Herausgeber der E-ID digital signiert. Dadurch ist der öffentliche Schlüssel fix mit den Angaben zur Person verbunden und diese Informationen entsprechen der digitalen Identität. Der private Schlüssel muss sicher aufbewahrt werden, weil damit der mathematische Beweis erbracht werden kann, dass man Eigentümer der digitalen Identität ist. Nur der Inhaber der E-ID darf darauf Zugriff haben. Denkbar sind zentrale oder dezentrale Lösungen für die Aufbewahrung der privaten Schlüssel.

Zentrale oder dezentrale Lösung?

Wie wir gesehen haben, ist der Schutz des privaten Schlüssels die zentrale Sicherheitsanforderung. Wer den privaten Schlüssel besitzt oder darauf zugreifen kann, kann sich als Eigentümer der E-ID ausweisen.

Ursprünglich verfolgte man die dezentrale Lösung. Dabei wird der private Schlüssel auf einer sogenannten Smartcard gespeichert. Diese Smartcard hat das Format einer Kreditkarte, darin eingebunden befindet sich ein kleiner Computer. Dieser verwaltet den darauf gespeicherten privaten Schlüssel. Wer also Zugriff auf diesen Schlüssel will, muss im Besitz der Smartcard sein. Zusätzlich ist der Schlüssel noch mit einem PIN gesichert, was bedeutet, dass man auch noch diesen PIN kennen muss (sowie am Bankomaten – man braucht die Karte und den PIN). Solche Systeme gibt es schon länger, zu erwähnen sind die Suisse-ID oder LiSign in Liechtenstein. Leider hat sich dieser Ansatz als untauglich erwiesen, da die technischen Hürden so hoch sind, dass die meisten Nutzer nicht in der Lage waren, diese Lösungen zu nutzen.

Neue Lösungen werden daher mit einem zentralen Ansatz umgesetzt. Dabei ist der private Schlüssel nicht mehr im physischen Besitz der Eigentümerin der E-ID. Stattdessen ist er auf einem zentralen System abgelegt, und zwar beim Betreiber des E-ID Systems. Der private Schlüssel liegt dabei nicht einfach in einer Datenbank, sondern wird von einem speziellen Gerät, einem HSM (Hardware Security Module) verwaltet. Die Schlüssel im HSM sind vor unbefugtem Zugriff geschützt, ähnlich wie die Schlüssel in der Smartcard mit einem PIN geschützt sind. Die Idee ist jetzt, dass nur der Eigentümer der jeweiligen E-ID den Zugriff auf seinen privaten Schlüssel freischalten kann. Dazu hat er eine App auf seinem Smartphone. Mit dieser App kann er dem HSM den Zugriff auf seinen Schlüssel erlauben. Die HSM ist zudem so aufgebaut, dass sie den privaten Schlüssel nicht herausgeben kann – sie kann lediglich kryptografische Operationen ausführen, bei denen der Schlüssel verwendet wird und dann das Resultat liefern. So bleibt der private Schlüssel ähnlich geschützt wie in der Smartcard, an deren Stelle das Smartphone tritt. Man braucht das Smartphone und einen PIN (oder Fingerabdruck) um den Zugriff auf die E-ID freizuschalten.

Welche Rolle spielt der Betreiber einer E-ID Lösung?

Der Betreiber eine E-ID Lösung (im Fachjargon IdP genannt) ist dafür zuständig, E-IDs auszustellen und Anmeldedienste für die Besitzer von E-IDs bereitzustellen. Zudem ermöglicht er es Anbietern von Internet basierten Diensten ihre Anwendungen so zu integrieren, dass deren Nutzer sich mit ihrer E-ID anmelden können.

Beim Ausstellen der E-ID muss man sich identifizieren. Dies kann durch persönliches Erscheinen z.B. bei einer Poststelle (in Liechtenstein beim Passamt) oder mit einer Videoidentifikation erfolgen. Die Angaben zur Person werden dabei von einem amtlichen Ausweisdokument auf die E-ID übernommen. Diese wird dann mit der E-ID App auf dem Smartphone verbunden. Die persönlichen Daten werden bei einer staatlichen Stelle überprüft, und zwar bei der Ausstellung und danach periodisch, so dass allfällige Änderungen (z.B. Namenswechsel) auf die E-ID übertragen werden können.

Meldet sich ein E-ID Nutzer danach zum ersten Mal bei einem eingebundenen Internetdienst an (z.B. bei einem Onlineshop), wird er aufgefordert, die Anmeldung über die E-ID App zu bestätigen. Der IdP schickt dann die notwendigen persönlichen Daten (in der Regel Name und Vorname) zum Anbieter des Dienstes. Dieser kann diese dazu verwenden, um für den neuen Benutzer ein Profil anzulegen. Zudem bekommt er eine eindeutige Nummer (E-ID#) geliefert, anhand derer er in Zukunft das Profil dem Nutzer zuordnen kann.

erste Anmeldung

Meldet sich der Nutzer später erneut mit der E-ID an, so wird er wiederum an den IdP weitergeleitet. Dieser prüft dann wieder die Identität, wobei der Benutzer die Anmeldung wiederum mit der App bestätigt. Ist die Anmeldung erfolgreich, schickt der IdP die E-ID Nummer an den Dienstanbieter. Dieser kann dem Nutzer damit sein Profil zuordnen.

weitere Anmeldung

Wichtig in diesem Zusammenhang ist die Erkenntnis, dass der IdP jedes Mal, wenn der Benutzer sich bei einem Dienst mit der E-ID anmeldet, davon Kenntnis erlangt. Der IdP lernt also, welche Dienste ein Nutzer wann nutzt. Gemäss Gesetz darf er diese Daten aber nicht für andere Zwecke (z.B. Marketing) nutzen oder diese an Dritte weitergeben und nach 6 Monaten müssen sie gelöscht werden.

Fazit

Dass es eine einheitliche E-ID braucht, um die Digitalisierung voranzubringen, scheint unbestritten zu sein. Sie würde erhebliche Vorteile bringen, insbesondere bei der Nutzung digitaler Angebote des Staates. Dort ist es oft erforderlich, dass die Nutzerin eindeutig als die Person identifiziert wird, die sie auch wirklich ist. Dies erfolgt heute auf zum Teil abenteuerlicher Weise, z.B. über einen Freischaltbrief per Post. Das ist sehr aufwändig und nicht wirklich sicher.

Worin sich die Geister scheiden, ist die Frage, wer einen solchen E-ID Dienst betreiben soll; private Firmen oder der Staat. Es geht da, wohl gemerkt, um den Betrieb und nicht um die Entwicklung.

Wenn die Schweiz keine eigene staatlich anerkannte E-ID hat, werden andere in die Bresche springen. Das sind dann internationale Konzerne wie Google, Apple, Microsoft oder Facebook. Diese Konzerne werden die gesammelten Daten mit Sicherheit nutzen, wie immer es ihnen beliebt. Aus Datenschutzsicht also keine wirkliche Alternative.

Meinung des Autors

Die Herausgabe von Identitätsausweisen wie Identitätskarten und Pässen ist eine staatliche Aufgabe. Warum das für digitale Ausweise anders sein sollte, ist für mich nicht nachvollziehbar. Auch deren Ausstellung sollte eine staatliche Aufgabe sein. Die Entwicklung der notwendigen Systeme soll privaten Firmen überlassen werden, der Betrieb muss durch den Staat erfolgen.

Bezüglich Datenschutz ist eine staatliche E-ID sicher Lösungen internationaler Konzerne vorzuziehen, die damit gesammelten Daten gehören aber nicht in die Hände von Privaten. Wir möchten ja auch nicht, dass jedes Mal, wenn wir unseren Pass oder unsere ID vorzeigen, diese von immer derselben privaten Firma überprüft wird.

Ob sich in der Schweiz mehr als ein IdP etablieren kann, ist fraglich. Zumal mit SwissSign bereits ein Anbieter am Start steht, der von den grössten potentiellen Nutzern zentraler Authentifizierungsdienste getragen wird. Es ist also davon auszugehen, dass es schlussendlich genau einen privaten IdP geben wird. Und dieser eine Betreiber wüsste dann von jedem E-ID Nutzer wann er welche Dienste genutzt hat.