arrow-down-01arrowscalendarcheck-iconclockclose-iconconnexionemailexcel-iconfacebookforward-iconglobelinkedinmagnifieropen-bookquestion-markshopping-bagtweeterwrite-icondeconnexion

Warum eine elektronische Identität kompliziert zu realisieren ist …

People

E-IDENTITÄT – WAS MEINT DER FACHMANN DANIEL STÄDELI (LC ZÜRICH-ALTSTADT)? Am 7. März hat der Bundesrat über die E-Identität abstimmen lassen. Die Meinung des Schweizer Volkes war eindeutig. Die Vorlage wurde klar abgelehnt. Bereits im Vorfeld haben wir Daniel Städeli (LC Zürich-Altstadt), einen Experten in Cybersecurity, zu diesem Thema befragt.

Tobias Jäger: Lieber Daniel, hast du bereits eine E-Identität?

Daniel Städeli: Nein, und ich benötige im Moment auch keine.

Noch mal kurz zur «Auffrischung»: Was ist die E-ID genau?

Es geht darum, dass im Kontext des Internets die Identität einer Person festgestellt werden kann. Nur, und das ist wesentlich, wie häufig ist das der Fall? Recht selten. Bei Kaufverträgen, also bei Webshops, genügt es für den Verkäufer, sicherzustellen, dass er bezahlt wird. Darum funktionieren praktisch alle Webshops mit Kreditkarte oder Vorauszahlung. Es ist nicht nötig, die Person zu identifizieren. In einigen Fällen kann es sein, dass das Alter einer Person bekannt sein muss. Da könnte eine E-Identität helfen. Hier ist vielleicht zu erwähnen, dass das in der Schweiz schon seit Längerem möglich ist, mit der SwissID.

Noch nie davon gehört? Das zeigt meiner Ansicht nach das Dilemma der

Vorlage: Wer braucht das wirklich? Tatsächliche Anwendungsgebiete einer E-Identität liegen vor allem im Umgang mit Behörden: Dort ist es wesentlich, die Person zu identifizieren. Oder bei der Eröffnung eines Bankkontos, weil die Banken ziemlich strenge Vorschriften zur Identifikation von Personen haben.

Wäre das Ganze wirklich so sicher, wie es allgemein und auch seitens des Bundesamts für Justiz heisst?

Die kurze Antwort: Wohl vernünftig sicher. Die längere Antwort: Das hängt vor allem davon ab, was die Anforderungen und die Vorurteile des Benutzers sind. Als Beispiel möge die Corona-App des Bundes dienen. Wer ein Smartphone benützt, hinterlässt verschiedene Spuren. Wer auf dem Smartphone bei Google oder Facebook angemeldet ist, liefert grosse Teile seiner Privatsphäre an Google bzw. Facebook. Solche Personen können ohne Verlust von Privatsphäre die Corona-App installieren. Doch gerade von solchen Personen höre ich immer wieder Bedenken «wegen der Privatsphäre». Zurück zur Sicherheit: Es ist prinzipiell möglich, die Applikation sicher zu bauen und sicher zu betreiben. Gleichzeitig ist auch sicher, dass die Menschen Fehler machen. Die konkrete Sicherheit kann jetzt nicht beurteilt werden, schlicht, weil die Anbieter einer E-Identität ihre eigene Lösung entwickeln werden und erst beim Vorliegen einer Lösung kann deren Sicherheit beurteilt werden.

Das tönt bis jetzt sehr plausibel und ist nachvollziehbar …

Es gibt aber noch einen Aspekt, der nicht unterschätzt werden sollte: Wer erhält welche Daten aus dem Gebrauch der neuen E-Identität? Das ist ja eines der Probleme, das mit dem Gebrauch des Google- oder Facebook-Logins zusammenhängt. Es ist praktisch, sich mit dem Facebook-Login auch bei anderen Services im Internet anmelden zu können. Nur: Facebook erhält alle diesbezüglichen Informationen. Hier liegt eines der Probleme, wenn eine E-Identität als generelles Login verwendet wird: Wer erhält die Daten und was darf er damit machen? Ein wesentlicher Vorteil der Vorlage liegt auf der Hand: Es wird wohl verschiedene Anbieter geben und damit wird eine Auswahl möglich sein.

Denkst du, dass die elektronische Identität irgendwann in der Zukunft dennoch zu einem internationalen Standard werden wird?

Der Vorschlag des Bundesrates dachte in diese Richtung: Die sicherste Version der E-ID enthält die Merkmale eines Reisepasses, eignet sich prinzipiell dafür, international eingesetzt zu werden. Praktisch gehe ich davon aus, dass sich nichts ändert. Das Problem ist relativ einfach zu beschreiben: Wie viele Leute brauchen heute im internationalen Verkehr eine Identität, die über das Internet verfügbar sein muss, weil die Person nicht vor Ort ist? Sobald aber wenige Personen das benötigen, steigen die Kosten für den Einzelnen an. Die Kostenfrage ist ja einer der Gründe, wieso die heute schon erhältliche Lösung von SwissID sich nicht gross verbreitet hat: Wer ist bereit, wie viel für eine elektronische Identität zu bezahlen? Vor allem weil der tatsächliche Nutzen eher überschaubar ist.

Dann braucht man den Pass oder die Identitätskarte ja eigentlich gar nicht mehr, oder?

Das ist zunächst Zukunftsmusik. Eines der Probleme kennen heute schon alle, die mit der SBB reisen: Es gibt das Billett, das funktioniert immer, dann den Swisspass, der funktioniert auch immer (es ist das Problem der SBB, den Swisspass lesen zu können) und dann gibt es noch die App. Bei der App ist es das Problem des Reisenden, ein gültiges Ticket oder Abo vorzuweisen. Wenn das Mobiltelefon keinen Strom hat, dann muss das der Reisende verantworten. Das gilt analog für einen rein digitalen Reiseausweis.

Wir befinden uns, nicht zuletzt aufgrund der Pandemie, auf einer riesigen Welle der digitalen Transformation. Was kommt als Nächstes?

Prognosen sind schwierig, besonders wenn sie die Zukunft betreffen. Je nach Quelle kommt der Aphorismus von Mark Twain, Niels Bohr oder Karl Valentin. Was kommt, weiss ich nicht. Was ich befürchte, ist Folgendes: Viele lernen jetzt die Vorzüge von Homeoffice kennen. Die Kehrseite davon: Wenn alles im Homeoffice erledigt werden kann, dann ist die Konkurrenzsituation ganz anders: Dann ist die ganze Welt zur Konkurrenz geworden, aber mit ganz unterschiedlichem Lohnniveau. Was die Schweizer Kreditorenbuchhalterin kann, das kann auch preiswert in Polen erledigt werden.

Interview: Tobias Jäger

Daniel Städeli, LC Zürich- Altstadt und Cybersecurity Consultant

Daniel Städeli lebt zusammen mit seiner Frau Karin (LC Pfäffikersee) im zürcherischen Wallisellen. Nach seiner Tätigkeit als Rechtsanwalt in Dübendorf wurde er als Partner mit der Geschäftsführung der «Städeli & Partner GmbH» betraut, bei der er auch als CFO amtet. Zudem ist Daniel Städeli Dozent an der Fachhochschule Nordwestschweiz. Er ist stellvertretender Teamleiter «Consulting» bei www.Ispin.ch, wo er seine Kunden zu Themen wie «Governance, Risk & Compliance », aber auch bezüglich Security Awarness, Strategy & Architecture sowie «Technology Consulting» beratend unterstützt.