CTO der SwissSign Group
30.11.2020, 06:35 Uhr
«SwissID soll die digitale Schweiz voranbringen»
Die digitale Identität SwissID wird heute von Millionen Menschen als Login genutzt. Künftig soll sie mithelfen, die Digitalisierung der Schweiz voranzubringen, sagt SwissSign-Group-CTO Tom Sprenger.
Etwas mehr als ein halbes Jahr ist Tom Sprenger CTO von SwissSign Group. Während dieser Zeit erlebte er wie wir alle einen Lockdown inklusive Online-Boom, einen Angriff auf die IT-Systeme seiner Firma und musste ein IT-Grossprojekt in geregelte Bahnen lenken. Wie er die Herausforderungen gemeistert hat, erzählt er im Interview.
Computerworld: Warum haben Sie sich als langjähriger CTO die SwissSign Group als neue Firma ausgesucht?
Tom Sprenger: Meinen früheren Arbeitgeber [AdNovum, Anmerk. d. Red.] habe ich über Jahrzehnte begleitet und mitgestaltet. Das Unternehmen ist in den vergangenen 20 Jahren von 30 auf über 600 Angestellte gewachsen. Das Wachstum ist dort noch nicht zu Ende, für mich war es aber an der Zeit, eine neue Herausforderung zu suchen. Ich konnte mir den Luxus leisten, während einiger Monate eine Auszeit zu nehmen und für mich herauszufinden, welche neue Aufgabe mich reizen würde.
Mir wurde schnell klar, dass mein künftiger Arbeitgeber kleiner sein sollte, damit ich in der neuen Rolle weniger administrativ, sondern nochmals mehr operativ und inhaltlich an den Themen arbeiten kann. Dann reizte mich eine IT-Produktefirma, denn ich konnte bei AdNovums Security-Suite «Nevis» schon erste Erfahrungen in diesem Bereich sammeln, was ich als sehr spannend empfand. Drittens habe ich eine Firma gesucht, die am Beginn ihrer Marktentwicklung steht. Mit SwissID bietet SwissSign so einen Geschäftsbereich, der nicht mehr komplett neu, aber aus meiner Perspektive doch noch sehr ausbaufähig ist.
CW: Diesen Ausbau treiben Sie nun als CTO voran?
Sprenger: Nicht nur den Ausbau. Während der vergangenen zwei Jahre habe ich mich nebenberuflich an der HSG weitergebildet. Nun bringe ich einen Executive Master of Business Administration mit, der mich befähigt, neben der Technologie auch die Organisation weiterzuentwickeln. In den Gesprächen habe ich dem SwissSign-Management denn auch signalisiert, dass ich die Rolle des CTOs sowohl technisch als auch als Management-Aufgabe ansehe. Diese Ansicht, gepaart mit den Erfahrungen, die ich im Incubator bei AdNovum sammeln konnte, haben die Führungskräfte von SwissSign überzeugt.
CW: Dennoch möchte ich hier die Frage anschliessen – programmieren Sie noch selbst?
Sprenger: [schmunzelt] Bei AdNovum habe ich zuletzt gar nicht mehr programmiert. In der neuen Rolle habe ich den Anspruch, zumindest die Grundlagen nachvollziehen zu können. Ich möchte wissen, welche Auswirkungen meine Rückmeldungen zu den Problemen haben und welcher Aufwand betrieben wird, wenn wir neue Herausforderungen angehen. Zudem ist mir die Nähe zu den Entwicklern wichtig. Entsprechend programmiere ich jetzt wieder, wenn auch sehr selten. Und was ich auch sagen kann: Jeder Kollege bei mir im Entwicklungsteam ist sicher ein besserer Software-Entwickler als ich.
Job-Antritt und gleich Lockdown
CW: Sie sind im März dieses Jahres bei SwissSign eingetreten – kurz vor dem Lockdown. Nicht eben optimal, um in der CTO-Rolle zu starten.
Sprenger: Korrekt. An den ersten Tagen konnte ich noch «normal» ins Büro in Glattbrugg gehen und mir ein Bild von der Situation machen. Ich fand eine IT-Produktefirma vor, die eigentlich eine Firma mit vielen unterschiedlichen IT-Projekten ist. Wir haben zwar Produkte auf dem Markt, intern laufen aber beispielsweise eine Plattformmigration, technische Funktionserweiterungen und die Lancierung neuer Produkte wie der digitale Signaturservice, der im nächsten Jahr auf den Markt kommen soll.
Es wurde recht schnell klar, dass die Pläne zu gross waren für die vorhandenen Kapazitäten. Ausserdem entwickeln wir noch auf verschiedenen Ebenen: Erstens befinden wir uns in der erwähnten Migration von den über Jahre gewachsenen Systemen hin zu einer topmodernen Cloud-Infrastruktur. Diese Systeme werden wir selbst betreiben. Zweitens implementieren wir eine Middleware, auf der wir drittens sämtliche Applikationen aufsetzen werden.
Diese drei Entwicklungen waren ursprünglich in aufeinanderfolgenden Phasen geplant: zuerst die Plattform, dann die Middleware und schliesslich die Applikationen. Es gab jedoch immer wieder Verzögerungen in den Teilprojekten, sodass ich Anfang März ein riesiges Gesamtprojekt vorfand. Aber solche Herausforderungen reizen mich sehr! Und mittlerweile sind wir auch auf gutem Weg, einen erfolgreichen Abschluss zu erreichen.
CW: Sie haben erwähnt, dass Sie anfangs noch «normal» ins Büro gehen konnten. Wie war die Stimmung?
Sprenger: Ich war hocherfreut, sehr kompetente und hoch motivierte Kollegen anzutreffen. Sie arbeiten mit grossem Einsatz an den Projekten und haben Freude an ihrem Job. Sie wussten selbst, dass sie sich viel vorgenommen hatten und waren dankbar, dass ich ihnen beim Kanalisieren der Arbeiten zur Seite stand. Wie gesagt, wir sind jetzt auf einem guten Weg.
Für Mitte nächsten Jahres wollen wir die weiteren Produkte-Roadmaps aufgleisen und dann neue Features tatsächlich zu dem Zeitpunkt lancieren, auf den sie angekündigt wurden. Das hat in der Vergangenheit nicht immer einwandfrei geklappt. Dank meinen Erfahrungen aus dem Produkt-Management bei AdNovum bringe ich aber Methoden und Praktiken mit, die für mehr Planungssicherheit sorgen. Ich bin guter Dinge, dass uns in Zukunft auch ein sauberes Release-Management gelingt.
CW: Wenn Sie von Schwierigkeiten in der Vergangenheit sprechen – waren es eher technische Probleme oder lag es am Management?
Sprenger: Niemand gewinnt oder verliert in der Software-Entwicklung aufgrund der Technologie. Es stehen immer genug Optionen bereit, die ein Problem auf die eine oder andere Weise lösen können. Entscheidender ist die richtige Firmenkultur, der konstante Austausch mit dem Business und die Mitarbeiter mit der notwendigen Eigenmotivation und dem passenden Mindset. Ich bin der festen Überzeugung, dass der Erfolg eines jeden Projekts mit den Soft Factors steht und fällt.
Zur Person
Tom Sprenger
ist seit März 2020 CTO und Mitglied der Geschäftsleitung der SwissSign Group. Er besitzt über 25 Jahre Erfahrung im IT-Security-Geschäft, zuletzt in der gleichen Rolle beim IT-Dienstleister AdNovum. Der diplomierte Informatik-Ingenieur hält einen Doktor der ETH Zürich und einen EMBA in Business Engineering der Universität St. Gallen. Sprenger ist verheiratet und Vater von zwei Kindern.
Hinter den Kulissen der SwissSign Group
CW: SwissSign ist Anbieter von Sicherheitszertifikaten...
Sprenger: Stimmt, wir sind der einzige Anbieter von digitalen Zertifikaten, der noch ganz in Schweizer Hand ist. Damit sind wir zugleich auch der grösste Schweizer Anbieter.
CW: … und SwissSign ist Herausgeber der SwissID. Wie viel Ihrer Arbeitszeit beansprucht das Zertifikatsgeschäft, wie viel der digitale Identitätsnachweis?
Sprenger: Aufgrund der Migration, die beide Bereiche auf eine komplett neue Plattform stellen wird, beschäftigt mich auch das Zertifikate-Business mehr als erwartet – obwohl es sich um ein jahrelang gewachsenes und stabiles Geschäft handelt. So nehmen die Zertifikate aktuell rund einen Drittel meiner Ressourcen in Anspruch, die SwissID die anderen zwei Drittel. Denn bei der Identität wechseln wir nicht nur die Plattform, sondern sind auch in der Produkt-Entwicklung sehr aktiv. Wir werden Integrationen mit dem elektronischen Patientendossier sehen. Und der erwähnte Signaturservice basiert ebenfalls auf der SwissID.
CW: Wie sieht die Infrastruktur heute aus, wie wird sie in Zukunft aussehen?
Sprenger: Aktuell arbeiten wir mit klassischer Technologie, unter anderem VMware-Virtualisierung und Application-Server auf Java-Basis. Für die Zukunft geplant ist der Wechsel auf eine moderne Kubernetes-Plattform mit einer komplett Software-definierten Infrastruktur.
Ein weiterer Unterschied ist der Automatisierungsgrad der Infrastruktur: Heute ist schon sehr viel automatisiert, in Zukunft werden wir auf der kompletten Entwicklungskette bis in die Produktion automatisiert sein. Dies bringt uns Vorteile auch bei Audits und der Compliance, denn jede noch so kleine Änderung an der Konfiguration wird künftig immer dokumentiert, automatisch getestet und die Nachweise in einem Repository abgelegt sein.
Wenn Sie jetzt die Frage anschliessen, warum wir mit Kubernetes nicht in die Google-Cloud wechseln, würde ich Ihnen gerne eine positive Antwort geben. Aus der Sicht der notwendigen Zertifizierungen ist es aber nicht möglich, unsere Produkte in einer fremden Infrastruktur zu betreiben. Aus regulatorischen Gründen haben wir keine Wahl und werden auch die neue Infrastruktur in unseren eigenen Rechenzentren hosten. Jedoch – wie erwähnt – mit einem langfristig viel geringeren Aufwand als heute.
CW: Wäre die Microsoft-Cloud eine Alternative – mit den Rechenzentren in der Schweiz?
Sprenger: Nein, genau wie Google hat auch Microsoft zwar Schweizer Rechenzentren, die ja aber von firmenfremden Mitarbeitern betrieben werden. Der Regulator schreibt uns derzeit noch vor, dass ausschliesslich SwissSign-Angestellte die Infrastruktur warten dürfen. Ob es auch in Zukunft so bleiben wird, werden wir sehen.
CW: Auf der Plattform sind heute über eine Million digitale Identitäten …
Sprenger: Um es genau zu sagen: 1,68 Millionen.
CW: Welche IT-Kapazitäten benötigt SwissSign für die alltägliche Nutzung der SwissID?
Sprenger: Die 1,68 Millionen Identitäten sind heute an rund 100 Touchpoints einsetzbar. Aktuell wachsen wir mit rund 2200 neuen Usern pro Tag, wobei die aktuelle Pandemiesituation mitunter ein Grund für den Zuwachs ist.
Wenn Sie nach der Nutzung fragen, kann ich von rund 2 Millionen Logins pro Monat berichten, die auf den verschiedenen Online-Portalen stattfinden. Weiter steigen die Zahlen derjenigen User, die sich mit der SwissID bei verschiedenen Portalen anmelden – genau, wie wir die digitale Identität konzipiert haben.
CW: Wird die SwissID ausschliesslich für die Anmeldung genutzt – oder auch für die Altersverifikation?
Sprenger: Sie sprechen das Ökosystem an Attributen an, die zur digitalen Identität hinzugefügt werden können. Wenn der User zustimmt, werden auch die Attribute mit an das Online-Portal oder den Shop übermittelt. Im Fall eines Weinhändlers benötigt der Shop allerdings nicht das genaue Geburtsdatum, sondern lediglich die Information, dass der Kunde älter ist als 18 Jahre. Denn das oberste Ziel ist die Datensparsamkeit: Der Shop-Betreiber muss für den Verkauf nur wissen, ob der Käufer volljährig ist. Das Offenlegen des Geburtsdatums ist dafür nicht erforderlich. Diese Funktion der «Incapsulation» und damit das Schützen von Kundendaten wollen wir als einen Teil der Produkte-Roadmap weiter vorantreiben.
E-Government und E-Health
CW: Welche Chancen und Risiken entstehen durch das allfällige Bundesgesetz E-ID aus Sicht von SwissSign?
Sprenger: In der aktuellen Situation ohne das Gesetz sind wir die Herausgeber der digitalen Identität. Ein Gesetz würde den Staat zum alleinigen Herausgeber machen. Dem Bundesamt für Polizei Fedpol käme diese Aufgabe zu. Wir wären Empfänger der Personendaten und würden verpflichtet, sie regelmässig zu aktualisieren. Wir hätten eine Public-Private-Partnership, die sich in anderen Ländern als Erfolgsmodell erwiesen hat. Die Aufgabe von SwissSign wäre dann, die E-ID nutzbar zu machen – beispielsweise für die Anwendungen, die wir schon heute implementiert haben. Mit einer gesetzlich legitimierten E-ID liessen sich dann auch E-Government-Dienstleistungen realisieren. So könnten wir einen Beitrag leisten, um den Rückstand der Schweiz bei digitalen Behördengängen zu verringern. Mit dem «Digital First»-Credo des Bundes könnten wir hier schneller aufholen als vielleicht gedacht.
CW: Stand heute – welche Rolle haben die Partner von SwissSign? Wenn ich mich bei der Post mit der SwissID anmelde, wer verifiziert meine Identität?
Sprenger: Beim Login mit SwissID auf der Post-Seite gibt es einen Abruf auf unserer Infrastruktur. Wir prüfen die Credentials, kontrollieren auf mögliche Auffälligkeiten und die Rechtmässigkeit der Anfrage. Anschliessend senden wir das Resultat des Login-Prozesses an den Post-Server zurück. Wenn zusätzliche Daten beispielsweise für ein spezifisches Geschäft erforderlich sind, wird der User vorab immer von unseren Servern gefragt, ob er die Informationen – für uns Attribute der SwissID – bereitstellen will.
Für die Verwendung der Daten aufseiten der Partner schliessen wir Verträge ab, in denen die Datensparsamkeit an oberster Stelle steht. Wenn ein Kunde einen Fernseher kaufen möchte, muss der Shop nicht zwingend das Alter oder Geschlecht abfragen. Dann genügen Name, E-Mail und Wohnadresse für eine allfällige Lieferung. Der Partner muss ausserdem vertraglich zusichern, dass er die von uns empfangenen Kundendaten mit der gleichen Sorgfalt behandelt wie wir auch. Wir haben überdies die Möglichkeit, das Einhalten der Vertragsbedingungen in Audits zu prüfen.
CW: Eine sinnvolle Anwendung der SwissID könnte das elektronische Patientendossier sein.
Sprenger: Korrekt. Wir können allerdings heute nur den Patienten einen digitalen Identitätsnachweis für das Dossier ausstellen – und nicht dem Fachpersonal. Denn Zielgruppe der SwissID sind die Bürger, nicht die Leistungserbringer.
Wir arbeiten mit einigen Stammgemeinschaften an der Integration in das elektronische Patientendossier. Dabei gelten naturgemäss noch viel striktere Vorschriften hinsichtlich des Datenschutzes und der Sicherheit als bei einem Online-Shop. Wir stellen uns dieser Herausforderung aber gerne und sind auf dem Weg, per Ende Jahr die notwendigen Zertifizierungen zu erhalten.
CW: Sind Sie mit allen Stammgemeinschaften im Geschäft? Ideal wäre ja doch eine schweizweit einheitliche digitale Identität.
Sprenger: Ehrlich gesagt bin ich da spontan überfragt. Denn die Verhandlungen fallen nicht in meine Zuständigkeit. Ich befürchte auch, dass wir wegen Verschwiegenheitsabkommen vor Vertragsabschluss nicht über alle Stammgemeinschaften reden dürften.
CW: Welche Unterschiede gibt es bei der Integration in die Post-Webseite und in ein Patientendossier?
Sprenger: Der grösste Unterschied ist die Technologie für die Authentifizierung. Unser Standard ist «OpenID Connect», die Patientendossiers arbeiten mit einer «SAML»-Implementierung (Security Assertion Markup Language). Weiter können wir zum Beispiel unser Produkt auf der Post-Seite direkt integrieren. Bei den Stammgemeinschaften funktioniert das nicht so einfach, da dort ein Framework etabliert ist, das die für die EPD-Lösung wichtige Interoperabilität zwischen den verschiedenen Teilnehmern sicherstellt. Aber wenn die Implementierung einmal geschafft ist, arbeitet die Technologie genau wie bei Online-Shops.
CW: Welche Kosten entstehen bei der SwissID? Fürs Ausstellen, den Betrieb der Infrastruktur und die Services in den Online-Shops?
Sprenger: Die Kosten verteilen sich auf zwei Kundengruppen. Die Konsumenten beziehen die SwissID kostenlos. Geld verdient SwissSign mit der zweiten Kundengruppe: den Händlern. Sie zahlen in Abhängigkeit von der Qualität der Identitätsinformationen – von selbstdeklariert, via Photo-ID verifiziert bis hin zu ZertES-compliant mit einer persönlichen Validierung. Der zweite Preisfaktor sind die Attribute, also zum Beispiel Geburtsdatum, Adresse etc. Abgesehen davon, dass die Shops sich auf die Korrektheit der Kundendaten verlassen können, profitieren sie auch von schlankeren Prozessen. Denn sie benötigen nicht zwingend ein eigenes Identity-Management-System. Wenn sie das Login mit SwissID nutzen, entfallen auch Support-Kosten für das Onboarden neuer User oder das Zurücksetzen der Passwörter.
Die Online-Shops beziehen die Identität quasi als Service. Sie zahlen nach der Qualität, dem Umfang und nach der Menge, wobei es eine Rabattstaffel gibt.
Zur Firma
SwissSign Group
hat zwei Eckpfeiler: Identitätsservices unter der Marke SwissID sowie Zertifikatsdienste. Das Vorläufer-Unternehmen SwissSign AG mit Fokus auf Sicherheitszertifikate wurde 2001 gegründet. 2005 übernahm die Schweizerische Post die Firma. Die Geschäftstätigkeit wurde 2010 durch die SuisseID erweitert. Als 2017 die SwissID lanciert wurde, wurden zuerst die SBB und dann die grössten Schweizer Banken und Versicherungen neue Aktionäre. Im Jahr darauf entstand das Gemeinschaftsunternehmen SwissSign Group.
Hacker-Angriff auf die SwissID
CW: Die Einheitlichkeit des Authentifizierungsprozesses durch die SwissID bringt die Herausforderung mit sich, dass die Infrastruktur anfällig für Angriffe ist. Während des DDoS-Angriffs im September konnten wir das beobachten. Was war geschehen?
Sprenger: Eine Organisation namens «Fancy Bear» hat versucht, mit einer «Distributed Denial of Service»-Attacke (DDoS) unsere Infrastruktur zu überlasten. Zu Spitzenzeiten kamen Anfragen mit 40 Gigabyte pro Sekunde auf unseren Servern an – wofür die Systeme natürlich nicht ausgelegt sind. Unsere erste Reaktion war, den Traffic zu prüfen und bestmöglich zu kanalisieren. Parallel haben wir die internen Schutzmechanismen aktiviert. Die vorhandene DDoS-Sicherung versagte allerdings aufgrund der Datenmenge. Teilweise mussten wir die Server vom Netz nehmen und den Service stoppen. So blieben wir nur sehr eingeschränkt verfügbar, während wir den Angriff analysiert haben.
Die erste Angriffswelle liess sich gut lokalisieren, sodass wir den entsprechenden IP-Bereich blockieren konnten. Die zweite Welle rollte global auf uns zu, sodass eine IP-Blockade nicht mehr funktionierte. Unterdessen hatten wir die Melde- und Analysestelle Informationssicherung Melani informiert und unsere IT-Partner involviert, die eine grosse Hilfe waren. Trotzdem dauerte der Angriff an. So entschieden wir, einen der globalen DDoS-Spezialisten um Hilfe zu bitten. Mit der Unterstützung von Akamai konnten die Attacken schliesslich erfolgreich abgewehrt werden.
CW: Wie lang hat der Angriff gedauert?
Sprenger: Die erste DDoS-Attacke erfolgte am 31. August. Am 11. September konnten Akamai und wir den Angriff letztendlich abwehren. Es waren zwar strenge zehn Tage, aber in Anbetracht des Ausmasses der Attacke haben wir die Situation noch gut durchgestanden.
“Technologie ist für mich wie Medizin. Sie hat Wirkungen und Nebenwirkungen.„
Tom Sprenger, SwissSign Group
CW: Eine Blockchain wäre in der Theorie ideal für eine digitale Identität. SwissSign setzt auch zukünftig auf herkömmliche IT-Systeme. Welche Gründe haben Sie?
Sprenger: Für mich ist Technologie wie Medizin. Sie hat Wirkungen und sie hat Nebenwirkungen. Bei Hype-Technologien wie Blockchain ist viel die Rede von den potenziellen Wirkungen. Aber sie hat auch viele Nebenwirkungen. Sie bringt etwa eine grosse Komplexität mit, ist in gewissen Bereichen langsam und aufwendig zu betreiben.
Um den Case der SwissID zu nehmen: Der grosse Vorteil einer Blockchain ist, dass sie Vertrauen abbildet, ohne dass es eine zentrale Kontrollinstanz erfordert. SwissSign sieht sich aber gerade in der Rolle der Vertrauensinstanz.
Wenn es zusätzlich um höherwertige digitale Identitäten geht, stösst die Blockchain an regulatorische Grenzen. Denn sie ist – Stand heute – nicht zertifizierbar. In Liechtenstein existiert zwar ein Gesetz, das aber auf der Blockchain verwaltete Assets abzielt. Die Vorschrift regelt nicht die Governance der Blockchain selbst, die für uns erforderlich wäre. Vorerst beobachten wir die Technologie natürlich weiter, fahren aber mit der «herkömmlichen IT» fort.