SBB sucht Lieferanten für neue SwissPass-Generation

Der Aufgabenkatalog für potentielle Anbieter ist riesig. Der neue SwissPass soll auch die 2-Faktor-Authentifizierung ermöglichen.
 
Die Bahnbranche will eine neue Generation des SwissPass, der ab dem 1. Mai 2020 entwickelt werden soll. Dafür sucht die SBB, welche die technische Umsetzung verantwortet, in einem selektiven Verfahren einen Dienstleister für das Projekt. Dieser wird für mindestens fünf Jahre für den gesamten Prozess die Verantwortung innehaben – von der Herstellung der SwissPass-Karte bis zur Übergabe an die ausliefernde Schweizerische Post.
 
Der "alte" SwissPass wurde Mitte 2015 eingeführt. Bislang wurde er durch den Cyber-Security- und Chip-Hersteller Gemalto produziert und verwaltet. Für das Projekt wurden vor der Einführung rund 55 Millionen Franken veranschlagt. Zum Umfang der neuen Ausschreibung könne man derzeit noch keine Angaben machen, erklärt SBB-Sprecherin Sabine Baumgartner auf Anfrage von inside-it.ch.
 
Mittlerweile wurden rund vier Millionen Karten ausgegeben. Diese werden alle fünf Jahre nach ihrer Ausgabe ersetzt, die neue Ausschreibung habe mit dem Austausch aber nichts zu tun, so Baumgartner.
 
Das Herzstück des SwissPass sind zwei RFID-Chips, über deren eindeutige ID in einer Datenbank Leistungen abgerufen werden können. Diese Chips sind nun inklusive der damit verbundenen Dienstleistungen ausgeschrieben. Der künftige Anbieter muss entsprechend seine Projekt-, Service- und Tech-Expertise sowie seine Erfahrung auf diesem Gebiet nachweisen.
 
Neue Generation, neue Funktionalitäten
Der Aufgabenkatalog ist umfassend. So soll der künftige Lieferant das Management der Schnittstellen zu SBB-Systemen und zwischen den einzelnen Prozessschritten verantworten. Zudem nennt die SBB die Einbindung von möglichen Drittlieferanten und Partnerdienstleistungen in die Prozesskette.
 
Laut Baumgartner soll mit der neuen Generation auch die 2-Faktor-Authentifizierung eingebunden werden können. Das wäre eine Mindestvoraussetzung für eine staatlich anerkannte E-ID, wie der Bundesrat in einem Gesetzesentwurf festgehalten hat. Über die Details wird derzeit in den beiden Kammern des nationalen Parlaments gerungen.
 
Bereits heute kann der SwissPass bei 240 Schweizer Transportunternehmen sowie weiteren Partnern eingesetzt werden. Die finale Freigabe von neuen Funktionalitäten müssten jeweils von der gesamten Transport-Branche abgesegnet werden, so Baumgartner.
 
Datenschutz, Schlüsselmanagement und Qualitätssicherung
Als weitere Aufgaben eines künftigen SwissPass-Lieferanten nennt die SBB auf Simap die Sicherstellung von Sicherheits- und Datenschutzanforderungen. Der Lieferant fungiert dabei auch als Zertifizierer für die Echtheit der Karte, inklusive Public-Key-Infrastruktur und dem Management der Zertifikate und Schlüssel.
 
Einzureichen ist auch ein Konzept für die Datenbearbeitung, für die der Lieferant zuständig ist. Sie muss in einem "Land mit einem angemessenen Datenschutzniveau" verarbeitet werden. Auch für die Haltung und allfällige Löschung von Daten sowie Zugriff und Dokumentation zeichnet der Gewinner der Ausschreibung verantwortlich.
 
Zudem fallen die Qualitätssicherung über die gesamte Prozesskette sowie Produktion, Personalisierung, Konfektionierung und Versand der SwissPass-Karten in den Aufgabenbereich des Lieferanten. (ts)