E-ID: Bestechende Idee, schwierige Umsetzung

Steht bei einer E-ID die Sicherheit der Nutzerfreundlichkeit im Weg?
 
Es würde sich vieles vereinfachen lassen, wenn ein Identitätsnachweis sicher, einfach und vollumfänglich elektronisch und online erfolgen könnte. Nur ist das relativ schwierig umzusetzen. Das fängt bei der Sicherheit an und endet bei der Benutzerfreundlichkeit. Massstab ist die Äquivalenz zu normalen Ausweisdokumenten wie der Identitätskarte oder dem Pass. Am erfolgversprechendsten ist der Ansatz, Ausweisdokumente um einen Chip mit Smartcard- Funktionalität und NFC (Near Field Communication) zu erweitern. Die Elektronik wird so zum integralen Bestandteil des Ausweisdokuments.
 
Sicherer Ausweis
Fälschen lässt ich vieles. Dazu gehören auch Identitätskarten und Pässe. Selbst Ausweisdokumente mit integriertem Chip sind nicht fälschungssicher, da sich die Daten auf dem Chip ändern lassen. Bei der Kombination von Ausweisdokument und integriertem Chip stehen allerdings Massnahmen zur Verfügung, die eine Fälschung auffliegen lassen. Jedes Ausweisdokument verfügt über eingebaute Security-Massnahmen und dokumentspezifische Parameter wie Ausweisnummer, Ausstellungsort, ausstellende Behörde, Ausstellungsdatum und Gültigkeitsdauer.
 
Attribute des Ausweisberechtigten
Ein Ausweisdokument ist mit einem Ausweisberechtigten verbunden. Letzterer ist die Person, auf die der Ausweis ursprünglich ausgestellt wird. Die Attribute des Ausweisberechtigten sind in den Ausweis eingebunden. Dazu gehören Name, Bild, Unterschrift, Geburtsdatum und biometrische Daten. Diese können in ihrer Gesamtheit den Identitätsnachweis erbringen. Für viele Online-Dienstleistungen wird zur genügenden Identifikation allerdings nur ein Teil dieser Daten benötigt.
 
Das Grundproblem des sicheren Ausweises
Die Kombination eines Ausweisdokumentes mit digitalen Daten, die auch die Attribute des Ausweisberechtigten umfassen, erhöht sowohl die Sicherheit des Ausweises wie auch die Sicherheit der Daten. Trennt man die Daten vom Ausweis und verwendet sie ohne Rückgriffsmöglichkeit auf das Ausweisdokument, so ergeben sich neue Sicherheitsproblematiken.
 
Digitale Daten können kopiert, vervielfältigt und modifiziert werden. Ein ausdrückliches ereignisbezogenes Einverständnis durch den Ausweisberechtigen und die Möglichkeit der Überprüfung der Attribute ist erforderlich, um Missbrauch vorzubeugen. Das hat Auswirkungen auf die Anforderungen für den Ausweis sowie die Komplexität der Nutzung, der Integration und der Infrastruktur.
 
Die Problematik der nahtlosen Integration
Für eine gute Benutzerakzeptanz ist es unerlässlich, dass die Nutzung einer E-ID nahtlos in unterschiedliche Abläufe der Angebote von verschiedenen Dienstleister integriert werden kann. Dabei muss die volle Sicherheit gewährleistet bleiben.
 
Diese Knacknuss wurde bis heute noch nicht gelöst. Entweder ist der Lösungsansatz einfach zu benutzen, aber nur beschränkt sicher, oder der Lösungsansatz ist sicher, aber aufgrund der Einschränkungen weniger benutzerfreundlich. Ein Problemkreis ist dabei die lokale Verfügbarkeit des Ausweisdokuments und dessen digitaler Daten für Online-Dienstleistungen. Das hat Auswirkungen auf die Usability und damit auf die Akzeptanz und Nutzung.
 
Die Schweizer E-ID
Im Gegensatz zu Lösungen, welche äquivalent zu einem Ausweisdokument sind, fokussiert sich die Schweizer E-ID auf eine Lösung, die nebst hoheitlichen auch private Identitätsdienstleister (Identity Provider, IdP) zulässt.
 
Sie soll bei Geschäftsprozessen, die online abgewickelt werden, Vertrauen in die Identität und Authentizität des Gegenübers bieten. Zu diesem Zweck sollen anerkannte elektronische Identifizierungseinheiten für natürliche Personen geschaffen werden. Für juristische Personen gibt es mit der Unternehmensidentifikationsnummer (UID) bereits einen eindeutigen Identifikator.
 
Bei Diensten, welche die E-ID verwenden, soll über eine E-ID die Identität und Authentizität des Gegenübers rechtsgenügend sichergestellt werden. Dafür soll die Inhaberschaft einer E-ID genügen. Das tut sie aber nur in vertrauenswürdigem Masse, wenn sichergestellt ist, dass die E-ID effektiv von der berechtigen und nicht von einer anderen Person verwendet wird.
 
Für E-IDs gibt es drei Sicherheitsstufen: Niedrig, substantiell und hoch. Die verwendete Sicherheitsstufe ist vom jeweiligen Online-Dienst abhängig. Grundsätzlich gilt das Erfordernis einer Zwei-Faktor-Authentisierung, wobei einer der beiden Faktoren biometrisch sein muss.
 
Auf der Website des Bundes finden sich ausführliche Informationen zur geplanten gesetzlichen Grundlage und zum Konzept.
 
E-ID und Finanzdienstleister
Für Finanzdienstleister ist nicht nur der Einsatz von E-ID im Geschäftsbereich interessant. Vielmehr ergibt sich auch die Möglichkeit selbst als staatlich anerkannter Identitätsdienstleister tätig zu werden und entsprechende Dienste anzubieten.
 
An der Finance 2.0-Konferenz, die nächsten Dienstag in Zürich stattfindet, ist E-ID deshalb ein wichtiges Thema. Dazu Rino Borini, Mitorganisator der Konferenz: "Wir haben das Thema bewusst gewählt, da auch viele Finanzdienstleistungen effizienter abgewickelt werden können, dank einer digitalen ID. Und natürlich stellt sich die Frage, welche Rolle spielen hier die Banken. Denn eigentlich haben alle Schweizer eine Art digitale Identität – ihr Bankkonto. Keine andere Branche identifiziert ihren Kunden in einer Tiefe wie es Banken tun." (Christoph Jaggi)
 
Interessenbindung: inside-it.ch ist Medienpartner der Finance 2.0-Konferenz.