Bewegen wir uns im Internet, hoffen wir auf ein möglichst hohes Mass an Anonymität. Doch manchmal lässt es sich nicht vermeiden, dass wir aus dem Schatten treten. Das gilt bei der Anmeldung in einem Onlineshop und natürlich erst recht bei Geldtransfers. Bei diesen Anmeldungen werden fast immer ein Benutzername und ein Kennwort verlangt. Ausserdem kommt zunehmend ein weiteres Element ins Spiel, die Zwei-Faktor-Authentifizierung oder kurz 2FA. Dieses zusätzliche Element muss ebenfalls verfügbar sein, um die Sicherheit zu erhöhen. Die Banken und Shopbetreiber können sich dabei auf mehrere Ansätze stützen: von der primitiven Streichliste über die Access Card bis hin zur SMS oder zum Farbmuster, Bild 1. Wir kommen auf die 2FA später im Artikel noch im Detail zu sprechen.
Bild 1: Das Punktemuster wird auf dem Smartphone entschlüsselt; der daraus resultierende Code gehört zur Anmeldung $('.magnificPopup').magnificPopup({
type: 'image'
});
Doch in einigen Fällen ist es mit der Anmeldung allein nicht getan – zum Beispiel dann, wenn ein wichtiges Dokument unterzeichnet wird. In solchen Fällen muss die Identität zweifelsfrei belegt werden. Dazu braucht es ein digitales, aber rechtlich anerkanntes Gegenstück zum Ausweis oder Pass. Damit werden auch die wichtigsten Geschäfte komplett digital abgewickelt, ohne dass Namen mit Tinte auf ein Stück Papier gekritzelt werden.
In der Schweiz kursieren zurzeit drei Begriffe, die sich einem dieser Ziele verschrieben haben: E-ID, Mobile ID und SwissID. Die Ähnlichkeit der Begriffe führt schnell zu Missverständnissen. Dabei sind die Unterschiede zwischen den drei Techniken gross, weil jede eine ganz andere Absicht verfolgt.
Ganz offiziell: die E-ID
Beginnen wir mit der Theorie, denn nichts anderes ist die E-ID zurzeit. Dieses Kürzel steht für Elektronische Identifizierung – also für eine elektronische Identität, die sich auf Augenhöhe mit dem Pass und der Identitätskarte befindet. Die E-ID ist einem klassischen, amtlichen Ausweis ebenbürtig – aber mit allen Verheissungen der Digitalisierung gesegnet.
Bevor es losgehen kann, muss das E-ID-Gesetz in Kraft treten, was nach einem jahrelangen Seilziehen voraussichtlich Ende Jahr der Fall sein wird. Dieses Gesetz sieht unter anderem eine Aufgabenteilung zwischen dem Staat und privaten Anbietern vor: Bei den Identity Providern (IdP) handelt es sich um nicht staatliche Firmen, die zur Ausstellung von anerkannten elektronischen Identitäten und zum Betrieb von E-ID-Systemen ermächtigt sind. Der Bund unterzieht die Identity Provider und deren Systeme einem Anerkennungsverfahren und regelmässigen Kontrollen. Allerdings wünscht sich gemäss Umfragen die Mehrheit der Bevölkerung, dass dieses delikate Thema nicht von Privaten, sondern vom Bund bewirtschaftet wird. Diesem Anliegen erteilt der Bundesrat jedoch eine Absage, weil der Bund angesichts des technologischen Wandels und der Vielfalt möglicher technischer Lösungen nicht in der Lage sei, die E-ID selbst zu entwickeln.
Denn zur Komplexität gesellt sich die Vielfalt. Eine E-ID ist nicht in Stein gemeisselt: Das E-ID-Gesetz macht keine Vorgaben, wie ein digitaler Ausweis aussehen soll. Es könnte sich dabei um das Smartphone handeln, aber auch um eine Zugangskarte oder einen Chip, ganz so, wie es am besten zum Besitzer und den Absichten passt. Das Gesetz überlässt es darüber hinaus den Identity Providern, ob sie noch weitere Vertrauensdienste anbieten möchten, die über die reine Identifizierung hinausgehen – also zum Beispiel eine elektronische Signatur für die Unterzeichnung digitaler Dokumente.
Damit werden papierlose Verträge jeder Grössenordnung möglich, die rechtlich bindend sind. Auch der Umgang mit den Ämtern wird dadurch vereinfacht.
Nächste Seite: Für die 2FA: die Mobile ID
Comments