Schon bald wird in der Schweiz über die elektronische Identität abgestimmt, die E-ID. Ein guter Anlass um über Sicherheit im Netz nachzudenken!
Die Meinungsbildung gestaltet sich dabei als schwierig weil es sich um ein komplexes Thema handelt. Ich persönlich bin dafür. Und zwar nicht weil ich glaube, dass es sich um ein besonders innovatives Gesetz handelt sondern weil bei Annahme ein Innovationschub die Schweizer IT Branche erfassen würde. Aber warum geht es überhaupt?
Schon heute ist es möglich den Anmeldeprozess bei einer Website teilweise auszulagern. Dabei wird Authentisierung „Wer bin ich?“ von Autorisierung „Was darf ich?“ getrennt.
- Ein ‚Service Provider‘ ist zum Beispiel ein Onlineshop, der einen Dienst anbietet.
- Ein ‚Identity Provider‘ ist ein Dienstleister, der die Identitäten (Logins) erstellt, überprüft und verwaltet.
Ein einziges Login (Single SignOn) beim Online Shop für Elektronik oder beim Buchclub um die Ecke, das geht jetzt schon. Heute geschieht das meistens mit Facebook, Google, Apple oder Microsoft. Logge ich zum Beispiel bei digitec.ch ein habe ich die Wahl zwischen mehreren „Identity Providern“. Wem das nicht gefällt, der hat aber auch die Möglichkeit ein Konto direkt bei Digitec.ch zu eröffnen und nicht über Facebook und Co. zu gehen.
Geht denn Single-SignOn nur mit grossen amerikanischen Technologiekonzernen? Nein, überhaupt nicht. Beispiele aus der Schweiz sind:
- Anmeldung beim ZVV (Zürcher Verkehrsverbund) mit Identity Provider SBB (SwissPass)
- Anmeldung bei Universitäten über die EduID der Switch
- Anmeldung bei der Schweizer Post mit SwissID (von SwissSign)
Warum braucht’s jetzt das E-ID Gesetz wenn das doch schon alles vorhanden ist und funktioniert?
Die E-ID geht über das bereits bestehende hinaus indem es mit einer standardisierten Identitätsprüfung verknüpft wird. Die „Identity Provider“ stellen die Identität der angemeldeten Person sicher indem sie diese beim Bundesamt für Justiz abklären. Zudem überwacht und kontrolliert der Staat die Identity Provider, was heute eben nicht wirklich der Fall ist. Damit erhält die E-ID das staatliche Gütesiegel. Tatsächlich könnte die Identität natürlich auch anderweitig sicher gestellt werden ohne Mitwirkung des Staates. Auch das wird heute schon gemacht und ohne Gesetz. Löse ich heute zum Beispiel ein Handyabo muss ich meine ID über eine App einscannen und hochladen. Will ich bei einem Onlineshop auf Rechnung kaufen kann er vorher mein Zahlungsfähigkeit beim ZEK anfragen.
Die E-ID ist keine bahnbrechende Neuerung. Sie bringt einen standardisierten Ansatz in einem Bereich wo es heute schon viele gute Lösungen gibt. Die meisten Dienstanbieter warten beim Thema Digitalisierung zum Glück nicht auf den Staat sondern entwickeln innovative eigene Ideen. Aber nicht alle haben die finanziellen Mittel und Möglichkeiten um selber von Grund auf eine Lösung zu entwickeln. Die kleineren und mittleren Onlineshops im Internet werden bei Annahme E-ID auf eine standardisierte und allgemein akzeptierte Variante vertrauen können und werden dadurch gestärkt.
Diskutiert wird im Abstimmungskampf wie weit private Firmen die Aufgaben des Staates übernehmen sollen und ob die E-ID technisch genug durchdacht und auch sicher genug ist. Das sind Nebenschauplätze. In Wahrheit geht es um den Technologiestandort Schweiz, der mit dem Gesetz gestärkt werden soll. Ein Nein stärkt dagegen nicht den Staat sondern die grossen privaten Anbieter.
Zum Schluss noch der nicht ganz ernst gemeinte Vergleich der E-ID mit der titelgebenden Area 52. Man weiss, da ist etwas aber nicht genau was….
ClickCoach - Approach the Coach 
Wie immer aufschlussreich und unterhaltsam zugleich!
Keep up the great work and make informatics great again!
LikeLike