E-ID-Gesetz verabschiedet
01.06.2018, 18:45 Uhr
Bundesrat bringt die elektronische Identität auf Kurs
Der Bundesrat will eine elektronische Identifizierung (E-ID) schaffen. Dafür hat er nun einen entsprechenden Gesetzesentwurf verabschiedet.
(Quelle: © 2008 Béatrice Devènes / Pixsil)
Die Digitalisierung verlangt eine sichere und einfache Identifikation im Internet. Identitätskarte oder Reisepass eignen sich dafür nur bedingt. Der Bundesrat will daher eine elektronische Identifizierung (E-ID) schaffen. Er hat am Freitag einen entsprechenden Gesetzesentwurf verabschiedet. Dabei ist er auf dem Kurs geblieben, den er mit der Vernehmlassungsvorlage eingeschlagenen hatte.
So sieht der Entwurf für ein E-ID-Gesetz eine Arbeitsteilung zwischen Staat und Privatwirtschaft vor. Aufgabe des Staates ist es, die Identität einer Person mithilfe von Angaben aus den Informationssystemen des Bundes amtlich zu überprüfen und zu bestätigen. Dafür wird beim Bundesamt für Polizei (fedpol) eigens eine Identitätsstelle geschaffen: Diese ist für die Erstidentifizierung zuständig. Zudem weist sie jedem Nutzer und jeder Nutzerin einer E-ID eine Registrierungsnummer zu. Die AHV-Nummer darf dafür nicht verwendet werden. Die Identifizierung läuft auch dann über das fedpol, wenn die Person bereits in einem anderen Verfahren identifiziert wurde, zum Beispiel von einer Bank.
Bund überfordert
Die E-ID selber wird von privaten Anbietern herausgegeben, sogenannten Identity Providern (IdP). Angesichts des technologischen Wandels und der Vielfalt möglicher technischer Lösungen wäre der Bund nicht in der Lage, die Träger der Identitätsangaben selbst zu entwickeln und herzustellen, begründet der Bundesrat die Arbeitsteilung. Der Bund unterzieht die Identity Provider und deren Systeme jedoch einem Anerkennungsverfahren und regelmässigen Kontrollen. Nach den Plänen des Bundesrats ist die Anerkennungsstelle dem Informatiksteuerungsorgan des Bundes (ISB) angegliedert. Der Gesetzesentwurf regelt auch den Datenschutz.
Dieses Zusammenspiel biete «optimale Voraussetzungen für den einfachen und benutzerfreundlichen Einsatz der E-ID durch Verwaltung, Private und Unternehmen», heisst es in der Botschaft. Nicht festgelegt ist darin der Träger der E-ID. Denkbar sind für den Bundesrat gängige elektronische Identifizierungsmittel wie Mobiltelefone oder Smartcards, aber auch Lösungen mit Nutzername, Passwort und allenfalls weiteren Authentifizierungen. Die konkrete Lösung dürfte vom Sicherheitsbedürfnis der Anwender abhängen.
Unterschiedlicher Schutz
Der Bundesrat schlägt drei Sicherheitsniveaus vor: niedrig, substanziell und hoch. Die Anforderungen dafür gelten nach seinen Angaben als weltweiter Standard. Für das tiefste Schutzniveau werden mit der E-ID-Registernummer der Name, Vornamen und das Geburtsdatum verbunden. Die Registrierung erfolgt online gestützt auf einen staatlichen Ausweis. Beim Sicherheitsniveau «substanziell» kommen Geschlecht, Geburtsort und Staatsangehörigkeit hinzu. Zudem ist eine persönliche Vorsprache oder eine Videoidentifikation nötig. Dieses Sicherheitsniveau verlangt mindestens eine 2-Faktor-Authentifizierung, wie sie heute für E-Banking-Lösungen üblich ist.
Nur für das Sicherheitsniveau «hoch» ist ein Gesichtsbild nötig. Zudem wird ein biometrisches Merkmal und die Echtheit des Ausweises geprüft. Mindestens ein Faktor der Zwei-Faktor-Authentifizierung muss biometrisch sein. In der Botschaft erwähnt sind Fingerabdruck-, Gesichts- oder Stimmenerkennung. Das Sicherheitsniveau «hoch» soll auch Schutz vor Cyberangriffen bieten.
Keine Registrierungspflicht
Die Nutzung der E-ID ist freiwillig. Im E-Commerce können damit die Kundinnen und Kunden eindeutig identifiziert werden. Spirituosenhändler können eine verbindliche Altersprüfung durchführen. Die E-ID soll Zugang zum elektronischen Patientendossier gewähren. Im elektronischen Verkehr mit den Behörden ist der Einsatz der E-ID in allen Anwendungen denkbar. Zweck der E-ID ist es, den sicheren elektronischen Geschäftsverkehr unter Privaten und mit Behörden zu fördern. Es handelt sich um ein Angebot, nicht um eine Pflicht. Daher soll die E-ID vorhandene Identifizierungssysteme auch nicht verdrängen. Diese würden allerdings keine staatliche Anerkennung geniessen.
Wirtschaft in den Startlöchern
Heute sind bereits zahlreiche Identifizierungsangebote mit unterschiedlichen Schutzniveaus im Umlauf. Viele Webseiten verlangen eine Anmeldung mit Nutzername und Passwort. Verbreitet sind E-Banking-Lösungen oder Angebote wie Apple-ID, Google-ID, Mobile-ID, OpenID, SuisseID, SwissID oder SwissPass. Ein Anbieter einer E-ID hat sich bereits in Position gebracht. Rund um die SwissID von Post und SBB hat sich ein Konsortium gebildet, das inzwischen 18 grosse Unternehmen umfasst. Dazu gehören Swisscom, Credit Suisse, Entris Banking, Raiffeisen, UBS, ZKB, Six Group und die Versicherungen Axa, Baloise, CSS, Helvetia, Mobiliar, SWICA, Swiss Life, Vaudoise und Zürich. Sie wollen eine E-ID anbieten, die für die Nutzer kostenlos ist. Finanziert werden soll diese durch Beiträge der Anbieter von Online-Dienstleistungen. Der Bund rechnet mit Kosten von rund 9 Millionen Franken für den Aufbau seiner Systeme und mit 2,4 Millionen Franken pro Jahr für den Betrieb.