- Story
E-ID zwischen Datenschutz und Transparenz
08.09.2024 Zweiter Anlauf für die E-ID: 2021 vom Volk abgelehnt, soll es nun ab 2026 doch möglich sein, sich in der Schweiz elektronisch auszuweisen. Die BFH-Datensicherheitsexpertin Annett Laube klärt offene Fragen.
Das Wichtigste in Kürze
- Die E-ID kommt. Wahrscheinlich 2026.
- Die Implementierung wird entweder leichten Datenaustausch mit anderen Systemen oder starken Datenschutz priorisieren.
- Die BFH berät die Politik und prüft die E-ID auf Herz und Nieren.
Prof. Dr. Annett Laube ist Informatik-Dozentin an der BFH und hat die Entstehung der E-ID mit ihrer Forschungsgruppe aktiv begleitet. Sie ist engagiertes Mitglied des Technical Advisory Circle des Bundes und hat bei diversen Anhörungen und Partizipationsmeetings im Bundeshaus am E-ID-Gesetz mitgewirkt. Wir befragen Sie zum aktuellen Stand des Dossiers.
Professor Laube, was genau ist eine E-ID?
Die E-ID ist das elektronische Pendant zur Identitätskarte aus Plastik, die man im Portemonnaie hat. Sie soll diese zumindest teilweise ersetzen.
Und warum braucht die Schweiz das?
Ein Vorteil besteht darin, dass der Staat dereinst keine Plastikkarte mehr auszugeben braucht. Die Leute brauchen nur noch ihr Device und können alles andere zuhause lassen. Das ist sicher ein Vorteil. Und natürlich kann man sich mit der E-ID nicht nur in der realen, sondern auch in der digitalen Welt ausweisen. Das ist etwas, was die Plastikkarte nicht kann.
Klargestellt: Erklärungen zur E-ID
Kein Login
Eine E-ID ist ein Identitätsnachweis und kein Login. Die E-ID dient fürs Onboarding, also z.B. zum Erstellen eines Accounts. Der Login wird dann aber mit ganz normaler Zweifaktor-Authentifizierung durchgeführt.
Kein Pass
Für Reiseverkehr, für Personenverkehr ist die E-ID nicht geeignet. Es wird kein Ersatz für den Pass geben. An der Grenze wird man weiterhin den Pass oder die ID-Karte benutzen. Aber wenn man ein Bankkonto im Ausland machen will, könnte man die E-ID anwenden.
Keine Cloud
Man braucht ein Smartphone idealerweise mit einem Secure Element. Die E-ID wird auf dem Smartphone gespeichert. Wenn sie gelöscht, die Wallet-App deinstalliert wird, oder das Smartphone verloren geht, muss die E-ID neu beantragt werden. Es gibt keine Cloud aus der alles per Knopfdruck wiederhergestellt werden kann.
Wo stehen wir denn in der Schweiz mit der E-ID?
Die Schweiz hinkt etwas hinterher. Sie hat ein paar Versuche gestartet, die vielleicht etwas zu früh waren (SuisseID). Und die erste, eher privatwirtschaftlich gestützte, E-ID-Initiative ist dann 2021 am Stimmvolk gescheitert.
Der Aufbau der E-ID kostet 100 Millionen Schweizer Franken. Lohnt sich dieser Aufwand?
Fest steht: Die E-ID hat sich bis jetzt noch nirgends durchgesetzt. Eine Ausnahme sind Länder wie Estland, wo Bürger*innen verpflichtet sind, die E-ID zu verwenden. Aktuell sehe ich den Killer Use Case für die E-ID noch nicht.
In der Schweiz gibt es zudem schon viele digitale Identitäten, z.B. Edu-ID, SwissPass, Swiss-ID, Logins der kantonalen Steuerbehörden usw. Diese könnten dereinst durch die E-ID abgelöst werden. Ich erwarte aber, dass dieser konsolidierende Effekt der E-ID erst in den nächsten 20 Jahren Wirkung zeigt.
Das Gesetz stellt zwei Anforderungen, die nicht gleichzeitig erfüllt werden können.
Wie muss eine funktionierende E-ID gestaltet werden?
Es gibt grundsätzlich zwei Technologie-Ansätze, wie man eine E-ID gestalten kann. Beim einen wird Transparenz, beim anderen Privatsphäre stärker betont.
Der Ansatz, den zum Beispiel die EU aktuell verfolgt, setzt auf Transparenz und vergibt eine eindeutige Nummer, die bei jeder Identifikation mitgegeben wird. Das kann für Profiling verwendet werden und erhöht das Potenzial für Missbrauch. Denn die einzelnen Anwendungen der E-ID können so theoretisch verknüpft werden.
Und der andere Ansatz?
Der zweite Ansatz setzt Technologien ein, die eine solche missbräuchliche Verknüpfung der einzelnen Identifikationen erschwert. Das E-ID-Gesetz in der Schweiz will nun, dass das Schweizer System sowohl die Privatsphäre schützt, als auch kompatibel mit E-ID-Systemen ausserhalb der Landesgrenze ist. Das stellt die Umsetzenden vor eine Knacknuss, denn: Ein System kann nicht EU-interoperabel sein, und die Privatsphäre der Bürger*innen schützen. Das Gesetz stellt zwei Anforderungen, die nicht gleichzeitig erfüllt werden können.
Das untersucht die BFH aktuell an der E-ID
Verifiable Credentials
Wir untersuchen Ansätze, die das Überprüfen der Identität ermöglichen, ohne dabei eine eindeutige Datenspur zu hinterlassen.
Holder Binding
Wir untersuchen Wege, wie belegt werden kann, dass der oder die Besitzer*in eines Smartphones berechtigt ist, die E-ID auf dem Gerät einzusetzen. Dies möglichst ohne eindeutig identifizierbare Daten dabei offenzulegen.
Revozierung
Wir klären, was passiert, wenn eine E-ID verloren geht. Aktuell werden verlorene E-IDs auf eine schwarze Liste von sogenannt «revozierten» Identitäten gesetzt. Wir suchen nach Wegen, wie dies möglich ist, ohne dass dabei Datenschutzrisiken entstehen.
Wie geht man mit diesem Widerspruch um?
Man favorisiert einen der beiden Aspekte. In der Schweiz, so wurde am Partizipationsmeeting vom 4. Juli 2024 entschieden, soll die Entwicklung der elektronische Identität in Richtung Interoperabilität – und damit in Richtung des europäischen Modells gehen.
Welchen Beitrag leistet die BFH zur E-ID?
Die E-ID ist auch bei der EU erst im Konzept- und Prototyp-Stadium. Egal, welche Technologie sich schlussendlich durchsetzt: Es gibt noch viele spannende Fragen zu klären.
An der BFH knöpfen wir uns die oftmals noch recht abstrakten Konzepte aus der Gesetzgebung vor und schauen uns an, wie sie mit den neusten Technologien implementiert werden können. Wir fragen: Geht das technisch überhaupt? Kann ein Smartphone das? Verstehen das die Bürger*innen? Mit unserer angewandten Forschung machen wir den Praxistest.
