In vielen Medien und auch auf Social Media wird aktuell fleissig über die E-ID diskutiert, über welche am 7. März 2021 mit dem neuen „Bundesgesetz über anerkannte
elektronische Identifizierungseinheiten“ abgestimmt wird. Dabei scheinen sich praktisch alle in einem Punkt einig: Wir brauchen eine E-ID. Doch wer denn schlussendlich dafür zuständig sein soll führt zu politischem Zündstoff.
Aber Hand auf’s Herz: Wüssten Sie, wie so eine E-ID eigentlich funktionieren würde? In diesem Blog-Beitrag zeigen wir auf, wie man sich eine E-ID vorstellen kann, welche Akteure bei einer E-ID mitspielen und wer dabei was mitkriegt.
Wie funktioniert eine E-ID?
Zu Beginn ist es wichtig zu wissen, dass wir alle bereits irgendwo eine Art „E-ID“ besitzen. Eine E-ID ist schlussendlich nichts anderes, als eine digitale Identität, also ein Konto. Besitzer eines Apple-Produkts melden sich hierfür z.B. mit ihrer Apple-ID an, während ein Android-Benutzer über sein Google Konto Apps installiert oder kauft.
Gewisse Anwender sind sich darüber teilweise gar nicht bewusst, da die Registration schon beinahe etwas „versteckt“ in das Setup eines neuen Smartphones fliesst.
Mit einer neuen „E-ID“ kriegen wir also nicht wie häufig dargestellt eine neue Karte oder einen Badge, sondern im Prinzip lediglich ein Login.
Aber schauen wir uns das einmal konkret an.
Wer aus der Geschäftswelt kommt, dem kommt womöglich dieses Fensterchen bekannt vor:
Dabei handelt es sich um den Anmeldevorgang von Microsoft, welcher z.B. für Microsoft Teams, Outlook oder SharePoint benötigt wird.
Sobald wir uns also bei solch einem Anbieter wie Microsoft, Apple oder Google (und unzählige weitere) anmelden, bewegen wir uns mit der entsprechenden digitalen Identität . Ein solcher Anbieter wird deshalb „Identitätsanbieter“ oder kurz IdP (Identity Provider) genannt.
Was hat es nun mit diesem Identity Provider auf sich?
Der Identitätsanbieter (oder eben IdP) kennt, wie es der Name schon vermuten lässt, deine Identität. Genauer gesagt die Identitäts-Informationen, welche du dem IdP mitgeteilt haben. Warum dieses Detail entscheidend ist: später mehr dazu. Meist sind dies Informationen wie Name, Adresse, Geburtsdatum und vielleicht noch eine Mobilenummer.
Wir machen dabei ein fiktives Beispiel mit Andrea, welche heute Abend bei einer Besprechung in Microsoft Teams teilnehmen will. Andrea hat sich auf Ihrem neuen Notebook noch nie bei Teams angemeldet, besitzt jedoch ein Microsoft-Konto von ihrem Geschäft. Da Teams noch keine Anmeldung hinterlegt hat, fordert es Andrea auf, sich zu authentifizieren.
Nun haben viele das Gefühl, dass sich Andrea wohl direkt bei Teams anmeldet, was jedoch nicht ganz korrekt ist. Denn für die Anmeldung/Authentifizierung ist nun dieser „Identitätsanbeiter“, hier also Microsoft IDP, zuständig. Deshalb wird Andrea nun auf die Microsoft Anmeldeseite umgeleitet und meldet sich dort an. Wenn sie ihre Anmeldedaten richtig eingegeben hat, wird ihr Teams geöffnet.
Im Hintergrund klopft nun Teams beim Microsoft IDP an, prüft, ob Microsoft mit der Anmeldung von Andrea einverstanden war und holt sich dann Informationen von Andrea’s Profil / Identität.
Visuell dargestellt sieht das dann etwa so aus:
Wie klar zu sehen ist, ist der IDP eine ganz eigene Stelle und nur für die Authentifizierung respektive Identifizierung von Andrea zuständig.
Diese Möglichkeit bietet sich mit dem Microsoft IdP nicht nur bei Microsoft Produkten, sondern auch für ganze viele andere Plattformen, welche eine Anmeldung benötigen, an.
Dieses System wird „Single-Sign-On“ genannt. Das bedeutet, dass ich mich mit einem Login (und damit ist nicht gemeint, dass wir überall dasselbe Passwort hinterlegen :-)) bei allen möglichen Diensten und Plattformen anmelden kann und diese meine Identität, sofern ich es erlaube, beim Identitätsanbieter abrufen können.
Warum braucht es dann noch eine E-ID Abstimmung?
Das grundlegende Problem hinter den ganzen digitalen Identitäten ist einfach: Ich kann angeben, was ich will. Wenn ich mich bei Facebook als Max Mustermann ausgebe, hat Facebook kaum eine Möglichkeit sicherzustellen, ob das auch mein tatsächlicher Name ist. Oder ob ich auch schon wirklich volljährig bin, wie es das angegebene Geburtsdatum suggeriert.
Die Korrektheit dieser Informationen wird dann sehr wichtig, wenn jemand online Verträge abschliessen oder direkt via Internet ein neues Bankkonto eröffnen möchte. Die Anbieter oder Vertragspartner brauchen eine Sicherheit, dass Sie auch wirklich die Person sind, für welche Sie sich ausgeben.
Aus diesem Grund sind die bisherigen digitalen Identifikationen gesetzlich nicht verankert oder akzeptiert.
Und hier kommt das neue E-ID Gesetz ins Spiel: Mit dem neuen Gesetz könnten vom Bund anerkannte Identitätsanbieter beim Bund eine Identitäts-Validierung beantragen. Der Bund prüft diesen Antrag und bestätigt diesen, sofern alles korrekt ist. Danach ist meine digitale Identität beim entsprechenden Identitätsanbieter validiert und kann somit für Vertragsabschlüsse etc. verwendet werden.
Worüber wird nun in der Abstimmung gestritten?
Wie in den vorherigen Kapitel bemerkbar wurde, sind die heute gängigen resp. meistgenutzten Identitätsanbieter Unternehmen wie Facebook, Microsoft, Apple, Google und co. Also Unternehmen, welche sicherlich nicht für einen besonders lobenswerten Datenschutz bekannt sind. Es ist jedoch ebenfalls ein Fakt, dass dies die gefragten Anbieter sind und wahrscheinlich fast jede(r) von uns bereits ein Konto bei einem dieser Unternehmen angelegt hat.
Die Gegner der Initiative möchten, dass nur unser Bund als staatlich anerkannter Identitätsprovider fungieren kann. Nur dieser soll für die Verwaltung und Bestätigung von Identitäten Schweizer BürgerInnen verantwortlich sein.
Die Befürworter argumentieren, dass jeder Identitätsanbieter die Möglichkeit einer solchen gesetzlich bestätigten Identität haben soll. Nur so könne sich das vollständig etablieren und weltweite Akzeptanz gewinnen.
Weitere Informationen zur Abstimmung sind unter folgenden Websites zu finden:
- Offizielle Informationen zum Bundesgesetzt: https://www.bj.admin.ch/bj/de/home/staat/gesetzgebung/e-id.html
- E-ID JA-Komitee: https://e-id.info/de/
- E-ID NEIN-Komitee: https://www.e-id-referendum.ch/
Zudem wurden vom Bund mehrere Erklärvideos zur Verfügung gestellt. Unter anderem:
Abstimmungs-Video „E-ID“ des Bundes
Erklärvideo „Ausstellung einer E-ID“
Fazit des Authors
Es ist wohl unbestritten, dass die Schweiz eine E-ID braucht. Die Schweiz muss digital à jour bleiben und hat bezüglich digitaler Identifizierung Nachholbedarf.
Hinsichtlich des umstrittenen Punktes, also ob nun nur der Bund ein Identitätsprovider sein darf oder dies durch andere Anbieter abgedeckt werden soll, argumentieren beide Seiten mit nachvollziehbaren Begründungen und Kritikpunkten wie Datenschutz oder Etablierung.
Ein möglichst hoher Datenschutz sollte immer an oberster Stelle stehen. Dass dieser eingehalten wird, muss vom Bund überprüft werden. Gemäss Gesetztext soll dies mit einer unabhängigen Bundesstelle (EIDCOM) sichergestellt werden. Aus technischer Sicht würde ein rein staatlicher IDP-Dienst bedeuten, dass sich die weltweiten Anbieter nach diesem zu richten haben, sofern sie genannte Möglichkeiten für Schweizer Bürger anbieten möchten.
Die Frage ist aus meiner Sicht also: Würden sich die weltweiten Anbieter an der Schweiz orientieren oder wird es nur umgekehrt funktionieren?
Hinterlassen Sie einen Kommentar