Digital Identity

Digitale Identität Schweiz: Das E-ID-Gesetz steht

1/2

Die zentralen Punkte zur Botschaft des Bundesrates zum Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz).

Mit seiner Botschaft vom 1. Juni 2018 legt der Bundesrat dem Parlament das E-ID-Gesetz als Entwurf zur Genehmigung vor.

Nach der Vernehmlassungsphase zum Vorentwurf der elektronischen Identität hat der Bundesrat im November 2017 das EJPD beauftragt, eine Botschaft für das Bundesgesetz über elektronische Identifizierungsdienste bis im Sommer 2018 auszuarbeiten.

Die Termine sind eingehalten worden, der Bundesrat hat die Botschaft verabschiedet und informiert ausführlich über das E-ID-Gesetz.

Zentrale Punkte im Überblick

Die Botschaft des Bundesrates ist mit 76 Seiten Umfang sehr ausführlich gehalten, der Entwurf zum E-ID-Gesetz enthält auf weiteren 15 Seiten die Bestimmungen. Die aus unserer Sicht zentralen Punkte haben wir zu einer Übersicht zusammengefasst, welche wesentliche Merkmale und Kernelemente präsentiert. Die von uns "eingedampfte" Version und Zusammenfassung enthält nicht sämtliche Details, ermöglicht jedoch als Konzentrat einen eher schnellen Überblick. 

Die Vorlage und das Konzept der E-ID

Im Einstieg der Botschaft informiert der Bundesrat über die Grundzüge der Vorlage und über das Konzept der E-ID. Im Kern beschreibt die Zusammenfassung die Notwendigkeit und die Rolle der Schweizer E-ID, welche Rechtssicherheit und Vertrauen schaffen soll.

So wie in der physischen Welt Schweizerpass, Identitätskarte und Ausländerausweis vom Bund als konventionelle Identifizierungsmittel ausgestellt werden, so kommt nun die E-ID als elektronisches Äquivalent. Damit können natürliche Personen ihre Identität auch in der digitalen Welt nachweisen, um sich bei Online-Diensten sicher zu registrieren und später ebenso sicher erneut anzumelden.

Das umgesetzte Konzept basiert auf den Vorarbeiten des EJPD (Fedpol), auf Konsultationen wichtiger Marktteilnehmer, es berücksichtigt die Erkenntnisse aus bisherigen E-ID-Lösungen anderer Länder sowie die internationalen Entwicklungen für praxisnahe E-ID-Lösungen und die Vorgaben für die EU-Kompatibilität gemäss eIDAS-Verordnung.

Pflicht und Kür

Die Botschaft lässt für Identity Provider (IdP) offen, ob sie über die reine Identifizierung (Pflicht) hinausgehende Vertrauensdienste wie die elektronische Signatur anbieten möchten. Auch die Ausgestaltung von Zugangsberechtigungen zu Online-Diensten (Access-Management) wird im E-ID nicht geregelt – es steht den einzelnen IdP frei, neben den Identifizierungslösungen auch sicheres Access-Management anzubieten und damit für E-ID-verwendende Dienste eine Gesamtlösung im sogenannten "IAM - Identity and Access Management" bereitzustellen.

Die Rollenverteilung: Zusammenspiel von Staat und Privaten

Der Bundesrat setzt auf die vertrauensbildende Kraft staatlicher Anerkennung und Aufsicht, welche mit dem technologischen Know-how und der Dynamik privatwirtschaftlicher Initiative kombiniert werden soll. Auf diese Weise soll die nötige Akzeptanz für die E-ID gewährleistet werden. Geeignete Identity Provider (IdP) werden vom Bund zur Ausstellung von E-ID und zum Betrieb von E-ID-Systemen ermächtigt. Alle E-ID-Systeme müssen untereinander interoperabel sein, damit ein hoher Kundennutzen entsteht.

Anbieterinnen (IdP) und die von ihnen eingerichteten Systeme sollen einem strengen Anerkennungsverfahren unterliegen sowie regelmässigen Kontrollen unterzogen werden. Die Anerkennungsstelle wird dem Informatiksteuerungsorgan des Bundes (ISB) angegliedert sein.

Prüfung der Identität durch den Bund
Eine neu geschaffene Identitätsstelle bei Fedpol prüft und bestätigt die Identität einer Person und weist den bestätigten Personenidentifizierungsdaten die E-ID-Registrierungsnummern zu. 

Ausstellen der E-ID durch private Anbieter
Die Identity Provider werden die E-ID ausstellen, den betreffenden Personen zuordnen und diesen die Zugangsmittel übergeben.

Der Bundesrat unterstreicht in seiner Botschaft, dass das funktionale Zusammenwirken zwischen Staat und Privaten optimale Voraussetzungen für den einfachen und benutzerfreundlichen Einsatz der E-ID durch Verwaltung, Private und Unternehmen bieten würde.

Zudem, so der Bundesrat: Angesichts des technologischen Wandels und der Vielfalt möglicher technischer Lösungen wäre der Bund nicht in der Lage, die Träger der vom Staat bestätigten Identitätsangaben selbst zu entwickeln und herzustellen.

Bundesrätin Simonetta Sommaruga betont in der Medienkonferenz, dass das neue Gesetz in einem Punkt keinen Zweifel lassen würde:

Auch bei den elektronischen Identitätsdiensten ist und bleibt es der Staat, der die Existenz einer Person und ihrer Identitätsmerkmale prüft und nach dieser Prüfung amtlich bestätigt.
 

Der Bund macht mit diesem Gesetz die Regeln, die Wirtschaft setzt diese mit ihren Anwendungen um – das heisst, wir halten uns an die bewährte Aufteilung

Der Einsatz der E-ID

Der Bundesrat beschreibt den Einsatz der E-ID mit folgenden Ausführungen:

Mit einer E-ID können sich natürliche Personen sicher und bequem bei Online-Portalen (E-ID-verwendenden Diensten) registrieren und später wieder anmelden. Bei der jeweiligen Registrierung bei einem E-ID-verwendenden Dienst müssen die persönlichen Angaben nicht manuell eingegeben werden. Setzt die sich registrierende Person eine nach diesem Gesetz ausgestellte E-ID ein, so werden diese Daten automatisch an den Dienst übermittelt, sofern der Inhaber oder die Inhaberin der E- ID dazu ihre Zustimmung gegeben hat. Wird das Portal später erneut besucht, identifiziert und authentifiziert sich der Inhaber oder die Inhaberin mit der E-ID. Die einmal registrierte E-ID wird wiedererkannt und gewährleistet eine verlässliche Anmeldung. Die E-ID ist also eine der Grundlagen für die sichere und einfache Nutzung von Online-Diensten und bringt dem Einzelnen mehr Sicherheit und Komfort im Internet.

Die Träger der E-ID

Im Entwurf wird nicht festgelegt, auf welchem Träger die E-ID geführt werden soll, der Bundesrat führt lediglich beispielhaft Smartphones, Karten oder Speichermedien mit integrierten Chips und weitere Träger an, hält jedoch fest: Es wird erwartet, dass unterschiedliche Träger angeboten werden, die den Präferenzen der einzelnen Nutzer entgegenkommen.

Die Ausstellung der E-ID

Bevor eine E-ID nach diesem Gesetz ausgestellt werden kann, ordnet das Fedpol die E-ID-Registrierungsnummer den Personenidentifizierungsdaten der antragstellenden Person zu. Jede Person erhält nur eine eindeutige E-ID-Registrierungsnummer. Die Ausstellung beinhaltet eine Identifizierung, die je nach Sicherheitsniveau mittels elektronischen Medien oder anlässlich einer persönlichen Vorsprache bei einem IdP durchgeführt wird. Der Ausstellungsvorgang erfolgt in mehreren Schritten:

  1. Wer eine E-ID will, beantragt deren Ausstellung bei einem IdP. Dieser leitet die antragstellende Person für die initiale Überprüfung der beanspruchten Identität an Fedpol weiter. Fedpol überprüft die Identität der antragstellenden Person aufgrund eines gültigen Ausweises (Pass, IDK oder Ausländerausweis).
  2. Fedpol verlangt von der antragstellenden Person zusätzliche identifizierende persönliche Daten (zum Beispiel Informationen über die Eltern, andere Ausweisdokumente usw.) und vergleicht diese mit den in den Personenregistern des Bundes gespeicherten Daten. Die von der antragstellenden Person gemachten Angaben müssen mit den staatlich erfassten Daten übereinstimmen, damit das Fedpol der Ausstellung einer E-ID zustimmt.
  3. Die antragstellende Person erklärt sich dem Fedpol gegenüber einverstanden, dass Fedpol die Personenidentifizierungsdaten inklusive der E-ID- Registrierungsnummer an den IdP übermittelt.
  4. Fedpol übermittelt die E-ID-Registrierungsnummer mit den Personenidentifizierungsdaten, die dem beantragten E-ID-Sicherheitsniveau entsprechen, an den IdP.
  5. Der IdP ordnet der antragstellenden Person ein Authentifizierungsmittel mit einem persönlichen Nutzernamen zu, mit dem sich die antragstellende Person online identifizieren kann. Je nach Sicherheitsniveau ist vorgängig noch die persönliche Vorsprache oder gleichwertige virtuelle Präsenz (zum Beispiel Videoidentifikation) der Antragstellerin oder des Antragstellers notwendig.
  6. Der IdP sorgt mit dem Authentifizierungsmittel für die richtige Zuordnung der E-ID-Registrierungsnummer zur E-ID und aktiviert die E-ID für den Gebrauch durch die Inhaberin oder den Inhaber.

Der ganze Vorgang sollte nicht mehr als ein paar Minuten dauern. Die technischen Vorgänge im Hintergrund werden über Standards und technische Protokolle definiert.

Die Sicherheitsniveaus im Überblick

Um für unterschiedliche Anwendungen und Geschäftsprozesse das angepasste Mass an Sicherheit zu bieten, sieht das E-ID-Gesetz drei Sicherheitsniveaus vor: Niedrig, substanziell und hoch. Die einzelnen Stufen sollen abwärtskompatibel funktionieren, dass heisst, die Sicherheitsniveaus "substanziell" und "hoch" sollen auch bei Diensten eingesetzt werden können, die ein tieferes Niveau verlangen.

Umgang und Prozedere
Der Bund stellt den IdP via eine elektronische Schnittstelle staatlich geführte Personenidentifizierungsdaten zur Verfügung (E-ID-Registrierungsnummer, amtlicher Name, Vornamen sowie Geburtsdatum für das Sicherheitsniveau «niedrig» resp. zusätzlich Geschlecht, Geburtsort und Staatsangehörigkeit für die Sicherheitsniveaus «substanziell» und zusätzlich das Gesichtsbild für die Sicherheitsniveaus «hoch»). Die erste Übermittlung der Daten an einen IdP oder eine Betreiberin eines E-ID-verwendenden Dienstes erfordert die ausdrückliche Zustimmung der betroffenen Person.

Anwendung und Flexibilität
Mit diesem Modell ist es zum Beispiel möglich, eine für das Sicherheitsniveau «substanziell» in technischer Hinsicht geeignete E-ID vorerst auf Niveau «niedrig»zu registrieren und diese später bei Bedarf mittels einer persönlichen Vorsprache auf ein höheres Sicherheitsniveau anzuheben. Dies erleichtert den Einstieg in E-ID-Systeme nach diesem Gesetz. Mit dem Sicherheitsniveau «niedrig» wird der Zugang zu E-ID einfach gehalten, was einen essenziellen Erfolgsfaktor für die Anbieterinnen und Anbieter von anerkannten E-ID-Systemen im Markt darstellt. Zudem kann eine Person mehrere E-ID von verschiedenen IdP auf unterschiedlichen Sicherheitsniveaus besitzen, wenn sie das möchte. Ihre E-ID-Registrierungsnummer bleibt aber immer dieselbe.

Kompatibilität
Die drei Sicherheitsniveaus für E-ID-Systeme sind so definiert, dass sie bezüglich Sicherheit die gleichen Anforderungen erfüllen, wie sie für die drei in der eIDAS-Verordnung der EU definierten E-ID-Sicherheitsniveaus gelten. Die gleichen drei Sicherheitsniveaus werden auch durch das NIST für E-Government-Anwendungen in den USA definiert und gelten heute als weltweiter Standard. Jedes Sicherheitsniveau wird sich zur Erfüllung seines Zwecks durch technische Spezifikationen, Normen und Verfahren einschliesslich technischer Überprüfungen auszeichnen und im Detail in Verordnungen, Weisungen und technischen Standards geregelt. Damit stellt der Gesetzesentwurf die grundsätzliche Kompatibilität zur EU oder den USA sicher.

Die drei Sicherheitsniveaus im Detail

Sicherheitsniveau «niedrig»
Die E-ID hat im Rahmen eines E-ID-Systems den Zweck, die Gefahr des Identitätsmissbrauchs oder der Identitätsveränderung zu vermindern. Die Registrierung kann online gestützt auf einen staatlichen Ausweis erfolgen. Beim Sicherheitsniveau «niedrig» werden nur wenige Daten zugeordnet (Name, Vorname, Geburtsdatum und E-ID-Registrierungsnummer). Der Einsatz der E-ID des Sicherheitsniveaus «niedrig» verlangt mindestens eine Ein-Faktor-Authentifizierung. Die Handhabung einer solchen E-ID ist damit vergleichbar mit einem Zutrittsbadge oder einer kontaktlosen Bezahllösung für kleinere Beträge.

Sicherheitsniveau «substanziell»
Das Sicherheitsniveau «substanziell» bezieht sich auf eine elektronische Identifizierungseinheit, die ein substanzielles Mass an Vertrauen in die beanspruchte oder behauptete Identität einer Person vermittelt. Die E-ID dieses Sicherheitsniveaus hat im Rahmen eines E-ID-Systems den Zweck, die Gefahr des Identitätsmissbrauchs oder der Identitätsveränderung erheblich zu vermindern. Die Registrierung erfolgt mit persönlicher Vorsprache beim IdP, mit Videoidentifikation gestützt auf einen staatlichen Ausweis oder einen Abgleich des Gesichtbildes, welches dem Ausweis zugeordnet ist. Im Sicherheitsniveau «substanziell» werden neben dem Namen und dem Geburtsdatum der E-ID noch weitere Personenidentifizierungsdaten zugeordnet (Geschlecht, Geburtsort und Staatsangehörigkeit). Der Einsatz der E-ID des Sicherheitsniveaus «substanziell» verlangt mindestens eine 2-Faktor-Authentifizierung. Die Handhabung einer solchen E-ID ist somit zum Beispiel mit im Bankenbereich üblichen Lösungen vergleichbar (Kontokarten oder Kreditkarten mit PIN, E-Banking-Lösungen).

Sicherheitsniveau «hoch»
Die E-ID mit dem Sicherheitsniveau «hoch» hat im Rahmen eines E-ID-Systems den Zweck, die Gefahr des Identitätsmissbrauchs oder der Identitätsveränderung zu verhindern. Die Registrierung erfolgt mit persönlicher Vorsprache beim IdP oder mit Videoidentifikation gestützt auf einen staatlichen Ausweis. Zusätzlich wird die Echtheit des Ausweises und mindestens ein biometrisches Merkmal gestützt auf eine behördliche Quelle überprüft (Ausweisgültigkeit und Gesichtsbild oder anderes biometrisches Erkennungsmerkmal). Die beim Einsatz der E-ID zur Identifizierung eingesetzten Mittel (Authentifizierungsmittel) müssen zudem sehr hohe Anforderungen bezüglich technischer Sicherheit erfüllen. Das Authentifizierungsmittel ist der antragstellenden Person persönlich zu übergeben.

Der Einsatz der E-ID mit dem Sicherheitsniveau «hoch» verlangt mindestens eine Zwei-Faktor-Authentifizierung, wobei ein Faktor biometrisch sein muss. Zusätzlich muss das Authentifizierungsmittel einen direkten Nachweis der Authentifizierung der Inhaberin oder des Inhabers liefern können, der vom E-ID verwendenden Dienst überprüft werden kann. Die Handhabung einer solchen E-ID ist vergleichbar mit einem Smartphone mit Fingerabdruck-, Gesichts- oder Stimmenerkennung, integriert in einem abgesicherten Bereich mit persönlichen Zertifikat. Die biometrische Authentifizierung bewirkt eine noch engere Bindung zwischen der E-ID und deren Inhaberin oder Inhaber. Bei Verlust des Authentifizierungsmittels der E-ID schützt die biometrische Authentifizierung die Inhaberin oder den Inhaber vor der Tätigung missbräuchlicher Transaktionen in deren Namen.

Mit Blick auf den Identitätsmissbrauch müssen Inhaberinnen und Inhaber auch vor Cyberangriffen geschützt werden können. Dies betrifft sowohl Cyberangriffe auf das Authentifizierungsmittel der E-ID selbst als auch Cyberangriffe auf weitere technische Hilfsmittel, die gegebenenfalls für den Einsatz des Authentifizierungsmittels der E-ID erforderlich sind, aber nicht in den Regelungsbereich dieses Gesetzes fallen. Missbräuchliche Transaktionen in fremdem Namen müssen auch dann verhindert werden können, wenn die technischen Hilfsmittel mittels Cyberangriff manipuliert wurden oder Informationen aus diesen herausgelesen wurde. Um dies zu gewährleisten, muss das Authentifizierungsmittel der E-ID des Sicherheitsniveaus «hoch» deshalb über Komponenten verfügen, die besonders vertrauenswürdig sind und dem Stand der Technik entsprechen.

Die Botschaft zum E-ID-Gesetz im Original

Der Bundesrat beschreibt im Weiteren in der Botschaft im Detail die Funktionen des Staates im Zusammenhang mit E-ID-Systemen, benennt Stellen, Aufgaben und Verantwortlichkeiten. Ein weiteres Kapitel ist der Begründung und der Bewertung der vorgeschlagenen Lösung gewidmet. Die Finanzierung wird präsentiert, ein Blick auf die Entwicklung und auf Lösungen im Ausland geworfen, Datenschutzaspekte werden beleuchtet – und mehr.

Die Botschaft des Bundesrates und der Entwurf zum E-ID-Gesetz können über die Links unten direkt runtergeladen werden.