Bundesrat ver­ab­schiedet Gesetzes­entwurf für E-ID

Das Fedpol ist für die Identifizierung zuständig; die E-ID wird von privaten Anbietern herausgegeben.
 
Die Digitalisierung verlange eine sichere und einfache Identifikation im Internet, schreibt der Bundesrat. Er will daher eine elektronische Identifizierung (E-ID) schaffen und hat heute einen entsprechenden Gesetzesentwurf verabschiedet.
 
Dabei ist er auf dem Kurs geblieben, den er mit der Vernehmlassungsvorlage eingeschlagen hatte. So sieht der Entwurf für ein E-ID-Gesetz eine Arbeitsteilung zwischen Staat und Privatwirtschaft vor.
 
Fedpol ist für Identifizierung zuständig
Aufgabe des Staates ist es, die Identität einer Person mithilfe von Angaben aus den Informationssystemen des Bundes amtlich zu überprüfen und zu bestätigen. Dafür wird beim Bundesamt für Polizei (Fedpol) eigens eine Identitätsstelle geschaffen: Diese ist für die Erstidentifizierung zuständig. Zudem weist sie jedem Nutzer und jeder Nutzerin einer E-ID eine Registrierungsnummer zu.
 
Die AHV-Nummer darf dafür nicht verwendet werden. Die Identifizierung läuft auch dann über das Fedpol, wenn die Person bereits in einem anderen Verfahren identifiziert wurde, zum Beispiel von einer Bank.
 
Arbeitsteilung zwischen Bund und Wirtschaft
Die E-ID selber wird von privaten Anbietern herausgegeben, den sogenannten Identity Providern (IdP). Angesichts des technologischen Wandels und der Vielfalt möglicher technischer Lösungen wäre der Bund nicht in der Lage, die Träger der Identitätsangaben selbst zu entwickeln und herzustellen, begründet der Bundesrat die Arbeitsteilung.
 
Der Bund unterzieht die Identity Provider und deren Systeme jedoch einem Anerkennungsverfahren und regelmässigen Kontrollen. Nach den Plänen des Bundesrats ist die Anerkennungsstelle dem Informatiksteuerungsorgan des Bundes (ISB) angegliedert. Der Gesetzesentwurf regelt auch den Datenschutz.
 
Dieses Zusammenspiel biete "optimale Voraussetzungen für den einfachen und benutzerfreundlichen Einsatz der E-ID durch Verwaltung, Private und Unternehmen", heisst es in der Botschaft. Die Nutzung der E-ID ist freiwillig.
 
Nicht festgelegt ist darin der Träger der E-ID. Denkbar sind für den Bundesrat gängige elektronische Identifizierungsmittel wie Mobiltelefone oder Smartcards, aber auch Lösungen mit Nutzername, Passwort und allenfalls weiteren Authentifizierungen. Die konkrete Lösung dürfte vom Sicherheitsbedürfnis der Anwender abhängen.
 
Drei Sicherheitsstufen
Der Bundesrat schlägt drei Sicherheitsniveaus vor: niedrig, substanziell und hoch. Die Anforderungen dafür gelten nach seinen Angaben als weltweiter Standard. Für das tiefste Schutzniveau werden mit der E-ID-Registernummer der Name, Vornamen und das Geburtsdatum verbunden. Die Registrierung erfolgt online gestützt auf einen staatlichen Ausweis.
 
Beim Sicherheitsniveau "substanziell" kommen Geschlecht, Geburtsort und Staatsangehörigkeit hinzu. Zudem ist eine persönliche Vorsprache oder eine Videoidentifikation nötig. Dieses Sicherheitsniveau verlangt mindestens eine 2-Faktor-Authentifizierung, wie sie heute für E-Banking-Lösungen üblich ist.
 
Nur für das Sicherheitsniveau "hoch" ist ein Gesichtsbild nötig. Zudem wird ein biometrisches Merkmal und die Echtheit des Ausweises geprüft. Mindestens ein Faktor der Zwei-Faktor-Authentifizierung muss biometrisch sein. In der Botschaft erwähnt sind Fingerabdruck-, Gesichts- oder Stimmenerkennung. Das Sicherheitsniveau "hoch" soll auch Schutz vor Cyberangriffen bieten.
 
Wirtschaft in den Startlöchern
Heute sind bereits zahlreiche Identifizierungsangebote mit unterschiedlichen Schutzniveaus im Umlauf. Viele Webseiten verlangen eine Anmeldung mit Nutzername und Passwort. Verbreitet sind E-Banking-Lösungen oder Angebote wie Apple-ID, Google-ID, Mobile-ID, OpenID, SuisseID, SwissID oder SwissPass.
 
Ein Anbieter einer E-ID hat sich bereits in Position gebracht. Rund um die SwissID von Post und SBB hat sich mit der SwissSign Group, ein Konsortium gebildet, das inzwischen 18 grosse Unternehmen umfasst. Dazu gehören Swisscom, Credit Suisse, Entris Banking, Raiffeisen, UBS, ZKB, Six Group und die Versicherungen Axa, Baloise, CSS, Helvetia, Mobiliar, SWICA, Swiss Life, Vaudoise und Zürich. Sie wollen eine E-ID anbieten, die für die Nutzer kostenlos ist. Finanziert werden soll diese durch Beiträge der Anbieter von Online-Dienstleistungen.
 
Der Bund rechnet mit Kosten von rund neun Millionen Franken für den Aufbau seiner Systeme und mit 2,4 Millionen Franken pro Jahr für den Betrieb. (kjo/sda)