Mit Sicherheit zur neuen E-ID

Nach dem Abstimmungsdebakel vom Frühjahr 2021 möchte ich in diesem Beitrag einige Fragestellungen zur Sicherheitsarchitektur und des Sicherheitsempfindens diskutieren und gleich vorwegnehmen: Im zweiten Anlauf scheint einiges gut angelaufen zu sein.

Zuerst werfen wir ein Blick darauf, was nach der deutlichen Abstimmungsniederlage geschah: Bereits ein halbes Jahr danach legt der Bund das «Diskussionspapier zum Zielbild E-ID» vor. Damit startet er im Herbst 2021 eine informelle Vernehmlassung über mögliche Vorgehensweisen – und überrascht die Expertengemeinschaft sowohl zeitlich, inhaltlich und qualitativ äusserst positiv. Er stellt drei verschiedene technische Ansätze für eine Neuauflage einer E-ID zur Diskussion. Nebst den etablierten, klassischen Ansätzen «IdP – Staatliche Identitätsprovider» (technisch vergleichbar mit dem ersten Anlauf zur E-ID) und «PKI – Public Key Infrastructure» (wie z.B. die SuisseID) wird zusätzlich mit «SSI – Selbst-souveräne Identitäten» ein moderneres, datensparsames, aber weniger etabliertes Verfahren zur Diskussion gestellt. Der Bericht lanciert mit drei vorgeschlagenen Ambitionsniveaus gleich noch eine weitere Diskussion – nämlich zur Frage, ob nur die E-ID bereitgestellt (Ambitionsniveau 1), oder ob gleich ein Ökosystem digitaler Nachweise angestrebt werden soll. Damit verbunden ist die Frage, ob nebst staatlichen Stakeholdern (Ambitionsniveaus 1 und 2) auch private Stakeholder (Ambitionsniveau 3) in dieses Ökosystem eingebunden werden, um damit die möglichen Anwendungsfälle deutlich zu erweitern.

Nach Auswertung der öffentlichen Konsultation und der eingegangenen Stellungnahmen fällt der Bundesrat kurz vor Weihnachten 2021 einen Richtungsentscheid: SSI soll die technische Basis für das künftige E-ID-Ökosystem bereitstellen und mit Ambitionsniveau 3 ein Ansatz verfolgt werden, der wesentlich breitere Nutzungsszenarien ermöglicht und private Provider mit einschliesst.

Meine eingangs erwähnte positive Einschätzung möchte ich nun anhand von drei Fragestellungen zur Sicherheitsarchitektur und zum Sicherheitsempfinden beleuchten. Wir schauen uns Fragestellungen an, die wir mit häufig geäussertem Unverständnis oder Ängsten im Abstimmungskampf von Anfang 2021 in Verbindung bringen:

• Drittparteien: Wieso muss ich beim Einsatz der staatlichen E-ID meine Daten zwingend zusätzlich einem E-ID-Provider (IdP) aus der Privatindustrie als Intermediär anvertrauen?
• Nutzungsprofile: Diese E-ID-Provider leiten meine Daten an die Dienste weiter, die ich besuche. Dadurch erhalten sie zusätzlich Nutzungsprofile. Kann es sein, dass diese Daten dann plötzlich seitens E-ID-Provider oder auch seitens des Staates neue Begehrlichkeiten wecken und für Zwecke genutzt werden, in die ich nicht einwilligen will?
• Honeypots: Auch wenn wir hier niemandem Fahrlässigkeit unterstellen: Zentral vorgehaltene Daten vieler Nutzenden können potenziell gestohlen werden. Das trifft nebst den Daten in der E-ID auch auf die oben genannten Nutzungsprofile zu. Und je mehr Nutzungsdaten in diesen Honeypots enthalten sind, desto attraktiver werden sie als Ziel. Nur zu oft taucht solches Diebesgut später im Darknet als Handelsware wieder auf. Ist es unumgänglich, dass im Rahmen einer E-ID solche zentralen Honeypots überhaupt geschaffen werden?

Die wesentlichste Änderung beim Übergang auf SSI besteht darin, dass es keinen E-ID-Provider mehr braucht, der meine Daten verwaltet und bei Bedarf an Dienste weiterreicht. Neu übernimmt diese Funktion ein von Nutzenden verwaltetes Wallet, typischerweise eine Mobile-App. «Selbstsouverän» nennt sich dieser Ansatz, weil dabei jede Person ihre Datenweitergabe selbst steuert und ohne Mithilfe eines Intermediärs direkt von ihrem Wallet an den Dienst übermittelt. Was bedeutet das nun für unsere drei Fragestellungen?

• Drittparteien: Da es die Rolle des E-ID-Providers beim SSI-Ansatz nicht mehr gibt, entfällt die Notwendigkeit, einem solchen vertrauen zu müssen. Neu ist hingegen, dass Nutzende ein Wallet benötigen und diesem für den korrekten Betrieb vertrauen müssen. Wir gehen aktuell davon aus, dass es ein vom Staat bereitgestelltes Wallet geben wird, dass aber auch andere Wallets genutzt werden können.
• Nutzungsprofile: Neu leiten Nutzende die Daten direkt vom selbstgesteuerten Wallet an nachfragende Dienste weiter. Somit fallen die Nutzungsdaten alleinig im Wallet an, nicht mehr bei einem Intermediär. In diesem Fall müssen Nutzende der Wallet-App vertrauen, dass diese die Nutzungsdaten nicht ungebührlich weiterverwertet und insbesondere nicht weitergibt.
• Honeypots: Durch den Wegfall des E-ID-Providers entfallen diese Datensätze mit Personen- und Nutzungsdaten vieler Nutzenden an einem Ort. Einzelne Wallets sind deutlich weniger lohnende Ziele, da sie lediglich die Daten einzelner Nutzenden enthalten. Als neue Komponente müssen wir aber auch hier einen Blick auf die Wallet-App werfen. Durch Manipulation an der Wallet-Software wäre es potenziell dennoch möglich, eine grosse Menge von Nutzungsdaten gleichzeitig zu gefährden.

Mit dem Richtungsentscheid für SSI verfolgt der Bundesrat einen Ansatz, der die angesprochenen Ängste ernst nimmt und ursächlich adressiert. Wir erkennen aber auch, dass dem Wallet als wichtige neue Komponente eine grosse Bedeutung zukommt. Eine grosse Herausforderung für alle Beteiligten am Ökosystem digitaler Nachweise besteht nun darin, diese Zusammenhänge verständlich darzulegen und auf diese Weise Vertrauen aufzubauen. Damit wird die Basis für einen erfolgreichen zweiten Anlauf zu einer E-ID für die Schweiz gelegt.