«SwissID soll die digitale Schweiz voranbringen»
Hinter den Kulissen der SwissSign Group
CW: SwissSign ist Anbieter von Sicherheitszertifikaten...
Sprenger: Stimmt, wir sind der einzige Anbieter von digitalen Zertifikaten, der noch ganz in Schweizer Hand ist. Damit sind wir zugleich auch der grösste Schweizer Anbieter.
CW: … und SwissSign ist Herausgeber der SwissID. Wie viel Ihrer Arbeitszeit beansprucht das Zertifikatsgeschäft, wie viel der digitale Identitätsnachweis?
Sprenger: Aufgrund der Migration, die beide Bereiche auf eine komplett neue Plattform stellen wird, beschäftigt mich auch das Zertifikate-Business mehr als erwartet – obwohl es sich um ein jahrelang gewachsenes und stabiles Geschäft handelt. So nehmen die Zertifikate aktuell rund einen Drittel meiner Ressourcen in Anspruch, die SwissID die anderen zwei Drittel. Denn bei der Identität wechseln wir nicht nur die Plattform, sondern sind auch in der Produkt-Entwicklung sehr aktiv. Wir werden Integrationen mit dem elektronischen Patientendossier sehen. Und der erwähnte Signaturservice basiert ebenfalls auf der SwissID.
CW: Wie sieht die Infrastruktur heute aus, wie wird sie in Zukunft aussehen?
Sprenger: Aktuell arbeiten wir mit klassischer Technologie, unter anderem VMware-Virtualisierung und Application-Server auf Java-Basis. Für die Zukunft geplant ist der Wechsel auf eine moderne Kubernetes-Plattform mit einer komplett Software-definierten Infrastruktur.
Ein weiterer Unterschied ist der Automatisierungsgrad der Infrastruktur: Heute ist schon sehr viel automatisiert, in Zukunft werden wir auf der kompletten Entwicklungskette bis in die Produktion automatisiert sein. Dies bringt uns Vorteile auch bei Audits und der Compliance, denn jede noch so kleine Änderung an der Konfiguration wird künftig immer dokumentiert, automatisch getestet und die Nachweise in einem Repository abgelegt sein.
Wenn Sie jetzt die Frage anschliessen, warum wir mit Kubernetes nicht in die Google-Cloud wechseln, würde ich Ihnen gerne eine positive Antwort geben. Aus der Sicht der notwendigen Zertifizierungen ist es aber nicht möglich, unsere Produkte in einer fremden Infrastruktur zu betreiben. Aus regulatorischen Gründen haben wir keine Wahl und werden auch die neue Infrastruktur in unseren eigenen Rechenzentren hosten. Jedoch – wie erwähnt – mit einem langfristig viel geringeren Aufwand als heute.
CW: Wäre die Microsoft-Cloud eine Alternative – mit den Rechenzentren in der Schweiz?
Sprenger: Nein, genau wie Google hat auch Microsoft zwar Schweizer Rechenzentren, die ja aber von firmenfremden Mitarbeitern betrieben werden. Der Regulator schreibt uns derzeit noch vor, dass ausschliesslich SwissSign-Angestellte die Infrastruktur warten dürfen. Ob es auch in Zukunft so bleiben wird, werden wir sehen.
CW: Auf der Plattform sind heute über eine Million digitale Identitäten …
Sprenger: Um es genau zu sagen: 1,68 Millionen.
CW: Welche IT-Kapazitäten benötigt SwissSign für die alltägliche Nutzung der SwissID?
Sprenger: Die 1,68 Millionen Identitäten sind heute an rund 100 Touchpoints einsetzbar. Aktuell wachsen wir mit rund 2200 neuen Usern pro Tag, wobei die aktuelle Pandemiesituation mitunter ein Grund für den Zuwachs ist.
Wenn Sie nach der Nutzung fragen, kann ich von rund 2 Millionen Logins pro Monat berichten, die auf den verschiedenen Online-Portalen stattfinden. Weiter steigen die Zahlen derjenigen User, die sich mit der SwissID bei verschiedenen Portalen anmelden – genau, wie wir die digitale Identität konzipiert haben.
CW: Wird die SwissID ausschliesslich für die Anmeldung genutzt – oder auch für die Altersverifikation?
Sprenger: Sie sprechen das Ökosystem an Attributen an, die zur digitalen Identität hinzugefügt werden können. Wenn der User zustimmt, werden auch die Attribute mit an das Online-Portal oder den Shop übermittelt. Im Fall eines Weinhändlers benötigt der Shop allerdings nicht das genaue Geburtsdatum, sondern lediglich die Information, dass der Kunde älter ist als 18 Jahre. Denn das oberste Ziel ist die Datensparsamkeit: Der Shop-Betreiber muss für den Verkauf nur wissen, ob der Käufer volljährig ist. Das Offenlegen des Geburtsdatums ist dafür nicht erforderlich. Diese Funktion der «Incapsulation» und damit das Schützen von Kundendaten wollen wir als einen Teil der Produkte-Roadmap weiter vorantreiben.