Elektronische Identität – Wo stehen wir in der Schweiz?

Von Thomas Baumann

04.06.2004

Was ist eine digitale Identität?

Was in der realen Welt der Pass oder die Identitätskarte, ist in der digitalen Welt die eID, eine digitale Identität für alle Bürger, welche es dem Besitzer erlaubt, seine Identität elektronisch zweifelsfrei gegenüber einer Drittperson oder einem System zu beweisen, ein Dokument elektronisch zu signieren, oder vertrauliche für ihn bestimmte Daten zu entschlüsseln. Mit der Transformation unserer Gesellschaft hin zur Informationsgesellschaft, wird die eID als unabdingbare Voraussetzung für eine durchgängige und umfassende Nutzung elektronischer Dienste und Prozesse angesehen. E-citizen (Einwohnerkontrolle, Umzug, Geburten, Heirat), e-democracy (Wahlen, Abstimmungen, Referenden), e-tax (Eingabe Steuererklärung, Verkehrsabgaben), e-education (Anmeldung Kinderkrippen, Stipendien beantragen), e-health (Anmeldung Spital, Untersuchungsresultate, Arzt auswählen) und e-finance (Online Zahlungen, Börsenhandel) sind nur einige Nutzungsmöglichkeiten. In der realen Welt besitzt jede Person genau eine Identitätskarte oder Pass, welche grundsätzlich weltweit von allen Behörden als auch anderen Organen wie Banken oder Versicherungen als Identifikator anerkannt wird, dies soll auch in der digitalen Welt mit der eID erreicht werden. Die Frage stellt sich nun nach einer staatlichen eID.

Voraussetzungen für eine staatliche eID

Um eine eID für alle Bürger erfolgreich einführen zu können, müssen politische, gesellschaftliche, rechtliche, technologische und infrastrukturelle Voraussetzungen erfüllt sein. Sinnvollerweise sollte die Lösung nach Möglichkeit auch europäischen oder internationalen Anforderungen gerecht werden, so denn solche entwickelt werden können. Möglicherweise ist in einer ersten Phase die Entwicklung von staatlichen Insellösungen unumgänglich, um in einem zweiten Schritt eine mehrstaatliche Lösung erarbeiten und realisieren zu können.

Im Folgenden wird die Entwicklung und der aktuelle Stand der notwendigen Voraussetzungen in der Schweiz aufgezeigt.

Politische Voraussetzungen

Den Grundstein legte der Bundesrat 1998 mit seiner Strategie für eine Informationsgesellschaft in der Schweiz und anerkennt in dieser die vielfältigen Vorteile der eID und erachtet sie als wirksames Mittel, um den Übergang zur Informationsgesellschaft zu fördern. Eine im Jahre 2001 in Auftrag gegebene Studie führt fünf Hauptgründe auf, weshalb der Staat selbst aktiv die Einführung von Zertifikaten vorantreiben sollte. Diese auch heute noch gültigen Hauptgründe sind die Förderung des Wirtschaftsstandortes Schweiz, stärkeres Vertrauen, Automatisierung im eGovernment, digitale Ausweise als Kollektivgut und Identifikation und Ausweise als Aufgabe des Staates. Die Studie kam zum Schluss, dass die Gesamtheit der Beweggründe durchaus für ein staatliches Engagement sprechen.

Aufgrund der Motion „E-Switzerland“ beauftragte der Bundesrat im Jahr 2000 das EJPD, die Idee einer elektronischen Identität in politischer wie auch technischer Hinsicht zu prüfen und 2002 aufgrund der Ergebnisse mit den Vorarbeiten zur Einführung einer elektronischen eID zu beginnen. Das daraufhin gestartete Projekt zur Einführung einer eID für die Bundesverwaltung wurde jedoch 2003 aufgrund der finanziellen Lage sistiert. Im Frühling 2004 wurden ebenfalls alle Vorarbeiten zur Einführung einer eID für die Öffentlichkeit durch den Bundesrat gestoppt, woraufhin im Mai 2004 im Nationalrat wiederum eine Motion eingereicht wurde, mit welcher der Bundesrat nochmals beauftragt wurde, den eidgenössischen Räten eine Gesetzesvorlage und einen Zeitplan zur Schaffung und Einführung einer «digitalen Identität» für alle Schweizer Bürger in der Schweiz vorzulegen. Eine Antwort seitens des EJPD steht noch aus, wird aber im September 2004 erwartet.

Rechtliche Voraussetzungen

Aufgrund der Strategie für eine Informationsgesellschaft in der Schweiz wurden die notwendigen gesetzlichen Rahmenbedingungen geschaffen, indem im Jahre 2000 die zeitlich begrenzte Zertifizierungsdiensteverordnung (ZertDV) in Kraft gesetzt wurde. Sie legt die Voraussetzung für die freiwillige Anerkennung von Anbietern von Zertifizierungsdiensten fest. Die Verordnung wird auf Anfang 2005 durch das Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES) abgelöst. Dieses entspricht weitgehend der Verordnung, stellt aber zusätzlich die elektronische Signatur der handschriftlichen gleich und enthält einige das Obligationenrecht ergänzende Haftungsbestimmungen.

Im Bereich der Mehrwertsteuerabrechnung ist seit dem 1. März 2002 die Verordnung des EFD über elektronisch übermittelte Daten und Informationen (EIDI-V) in Kraft. Sie ermöglicht Unternehmen, untereinander für die Mehrwertsteuer relevante Daten papierlos auszutauschen, unter der Voraussetzung, dass diese Daten digital signiert sind. Solange in der Schweiz keine Zertifikate nach ZertDV erhältlich sind, gelten die Übergangsbestimmungen, welche auch nicht anerkannte Zertifzierungsdienstleister zulassen, sofern sie die Anforderungen gemäss ZertDV erfüllen.

Mit der Revision der Bestimmungen über die kaufmännische Buchführung (OR 957- 963, GeBüV) im Juni 2001 wurde auch die Archivierung elektronischer Daten rechtlich zugelassen. Somit kann der gesamte Dokumentenlebenszyklus elektronisch abgebildet werden, einen Medienbruch (Ausdruck auf Papier) ist nicht mehr notwendig.

Technologische und infrastrukturelle Voraussetzungen

Hier gilt es zwei Themenbereiche zu unterscheiden. Einerseits die zugrundeliegende Technologie analog der Drucktechnik zur Sicherstellung der Fälschungssicherheit von Pass und ID, und andererseits die Organisation zur Identifizierung des Antragstellers, der Erzeugung, Ausgabe und Revozierung der Zertifikate analog dem Passbüro.

Die technologische Basis zur Identifikation und Authentifikation bilden sogenannte „Public Key Infrastrukturen“ (PKI), deren Basistechnologie weitgehend bekannt, bewährt und international standardisiert ist und deshalb für diesen Zweck überwiegend unbestritten ist. Das Kernstück bildet das digitale Zertifikat, ein kleines Computer-File von rund 2 KB, das den «public key», sowie Angaben zur Person enthält. Das Zertifikat entspricht dem digitalen Identitätsausweis, der von einer privaten oder öffentlichen Stelle ausgegeben werden kann.

Die Diskussion betreffend Aufgabenteilung zwischen dem Staat und der Privatwirtschaft wird zur Zeit kontrovers geführt. Grundsätzlich muss der Staat nicht alle zur Ausgabe von amtlichen digitalen Ausweisen notwendigen Aufgaben selbst wahrnehmen. Der Staat muss nur die Garantie für die Qualität und Vertrauenswürdigkeit eines solchen Ausweises übernehmen und entsprechende Registrierungsstellen zur Verfügung stellen. Die weiteren Aufgaben können auch durch private Anbieter, welche den Anforderungen der ZertDV, resp. ZertES genügen, wahrgenommen werden. 2001 stellte jedoch Swisskey, die damals einzige öffentlich anerkannte Schweizerische Zertifizierungsstelle aufgrund ökonomischer Überlegungen nach knapp 3 Jahren den Betrieb ein. Die dadurch ausgelöste Verunsicherung war gross, Unternehmen wie die UBS, CS oder die Post stoppten ihre PKI Projekte und Forderungen nach staatlicher Intervention wurden in der Folge von verschiedenen Seiten erhoben.

Aufgrund fehlender akkreditierter Zertifizierungsdienstanbieter in der Schweiz anerkennt die Steuerverwaltung gestützt auf der EIDI-V seit 2002 Zertifikate der in Deutschland akkreditierten TC Trustcenter AG. Innerhalb der Bundesverwaltung wird bis Ende September 04 der Entscheid betreffend Weiterführung oder Abbruch einer verwaltungsinternen PKI-Lösung (AdminPKI des EJPD) erwartet.

Gesellschaftliche Voraussetzungen

Vertrauen in die Lösung und ein erkennbarer Nutzen für den Anwender sind mitunter die wichtigsten Voraussetzungen, um eine hinreichende Akzeptanz gegenüber der eID in der Bevölkerung zu erreichen. Auch hier stellt sich die Problematik der Externalität von Kosten und Nutzen. Stehen wenig eID basierte Dienste zur Verfügung, ist der Nutzen für den Bürger relativ klein. Der Nutzen liegt vorallem während er Einführungsphase vorwiegend bei den Diensteanbietern.

In 16 Ländern laufen zur Zeit Projekte in verschiedenen Phasen. In Finnland, Italien Österreich und Estland wurden bereits eIDs eingeführt oder deren Einführung ist in Vorbereitung, mit unterschiedlichem Erfolg. In Finnland, obwohl ein Land mit hoher Affinität zu neuen Kommunikationsmedien setzte sich bis heute die eID Karte erst verwaltungsintern durch, die Verbreitung unter der Bevölkerung ist noch gering.

Problemfelder

In einer tiefergreifenden Betrachtung zeigen sich jedoch fundamentale Problemfelder, für die keine einfachen Lösungsansätze bestehen. Die Grundproblematik besteht in der Komplexität, dem Investitionsbedarf, Grösse und Neuartigkeit der Thematik, bei der die Initialisierung und die gewünschte Nutzung mit einem derartig zeitlichen Versatz stattfindet, dass gängige Marktmechanismen nicht tragen.

Die drei wesentlichsten, in gegenseitiger Wechselwirkung stehenden Problemfelder sind aus unserer Sicht die folgenden:

1. Aufbau und Betrieb der Infrastruktur

Aufgrund der hohen Kosten für Aufbau und Betrieb der Infrastruktur und dem hohen unternehmerischen Risiko, sowie der gemachten Erfahrungen von Swisskey und der fehlenden Aussage seitens des Bundes zu seiner zukünftigen Funktion und Rolle ist in absehbarer Zeit von der Privatwirtschaft keine Initiative zu erwarten. Die Wirtschaftlichkeit hängt von der Akzeptanz und diese wiederum von der Verbreitung und Anzahl verfügbarer Dienste ab, die typische Huhn oder Ei Problematik.

2. Akzeptanz und Bedarf der Bevölkerung

Wie bereits dargelegt hängt die Akzeptanz vom erkennbaren Nutzen im Vergleich zu den entstehenden Mehrkosten und dem Vertrauen in die Lösung ab. Das Vertrauen kann durch den Staat geschaffen werden, der Nutzen für den Bürger hängt von der Anzahl verfügbarer Dienste und der durch die eID zu erreichende Vereinfachung beim Bezug von elektronischen Dienstleistungen ab. Erste Erfahrungen aus eID Projekten im Ausland zeigten, dass die Erwartungen betreffend Akzeptanz, Marktdurchdringung und Synergieeffekten nicht erfüllt werden konnten. Wie weit ein tatsächliches Bedürfnis in der Bevölkerung besteht ist nach wie vor umstritten.

3. Nutzen und Wirtschaftlichkeit

In diesem Zusammenhang stellt sich die Frage der Wirtschaftlichkeit und deren Betrachtungsweise. Wie erwähnt ist der Aufbau und Betrieb der Infrastruktur sehr kostenintensiv, der Nutzen fällt verteilt und indirekt in verschiedenen Bereichen an, sei dies in der Verwaltung, beim Bürger oder bei privaten Anbietern. Eine umfassende Nutzenanalyse als Grundlage zur Identifizierung möglicher Treiber einer eID-Lösung wäre wünschenswert. Der Bürger ist nicht gewillt, ohne sichtbaren Zusatznutzen Mehrkosten für eine eID zu tragen.

Interessant wird auch zu beobachten sein, wie die Anforderungen der USA betreffend Integration biometrischer Daten in Ausweisen, sowie die aktuelle Diskussion über die Ausgestaltung des Personenidentifikators die weitere Entwicklung der eID inhaltlich wie auch zeitlich mitbeeinflussen werden.

Vielleicht könnte durch eine neuartige konzertierte Aktion aller betroffenen Interessensgruppen dieser gordische Knoten gelöst werden. Eine sinnvolle Lösung käme schliesslich allen zu gute,dem Wirtschaftsstandort Schweiz, dem Staat und last but not least seinen Bürgern.

Beitrag als PDF

---

Zum Autor:

Thomas Baumann; Associate bei PricewaterhouseCoopers im Bereich eGovernment und Records Management

Zurück zum Dossier 7: Zum Stand des eGovernment in der Schweiz. Ein Werkstattbericht

Elektronische Identität – Wo stehen wir in der Schweiz?

Zur Übersicht: