Ein wachsendes Bedürfnis nach einer digitalen Identität

Identität ist eine Voraussetzung für die Teilhabe an der Gesellschaft, indem sie den Zugang zu Gesundheits- und Sozialsystemen, Bildung sowie Finanz- und Regierungsdienstleistungen erleichtert. Mit der beschleunigten digitalen Transformation werden immer mehr Transaktionen online abgewickelt, wodurch der Bedarf an einer digitalen Identität immer dringlicher wird.

Basierend auf verifizierten persönlichen Informationen kann eine digitale Identität als eine Reihe digital erfasster und gespeicherter Attribute wie Name, Geburtsdatum oder Geschlecht in Verbindung mit Anmeldeinformationen definiert werden, die mit einer eindeutigen Kennung verknüpft sind, um eine Person zu identifizieren und dadurch Transaktionen in der EU zu erleichtern Digitale Welt. Zukünftig könnten die Kernmerkmale der digitalen Identität durch zusätzliche Attribute und Dokumente aus allen Lebensbereichen wie Sozialversicherungsnummer, Krankenakten oder Schulzeugnisse ergänzt werden, was die digitale Transformation für unzählige Anwendungsfälle katalysieren würde, die von der Eröffnung eines Bankkontos bis hin zur Eröffnung eines Bankkontos reichen vom Abschluss einer Versicherung bis zur Abgabe einer Steuererklärung.

  • Bevor uns bewusst wurde, wie stark das Internet in unserem Alltag Einzug halten würde, wurde das Internet ohne eine native Identitätsschicht aufgebaut. Da es keine standardisierte Methode zur Identifizierung von Personen oder Organisationen gab, begann jede Website, ihre eigene digitale Identitätslösung mit eigenen lokalen Konten und Passwörtern zu entwickeln. Infolgedessen sammeln Menschen in ihren digitalen Interaktionen eine Vielzahl digitaler Identitäten, die von verschiedenen E-Mail-Konten und Social-Media-Profilen bis hin zu E-Banking-Konten reichen.

    Die Möglichkeit, das Internet zu nutzen, ohne seine wahre Identität preiszugeben, ist nicht unbedingt schlecht. Bei der Nutzung bestimmter digitaler Dienste, wie etwa dem Teilen von Inhalten in sozialen Medien, ist ein Pseudonym völlig ausreichend. In manchen Fällen, etwa bei der Ausübung des Rechts auf freie Meinungsäußerung in einem autoritären Staat, ist es entscheidend, anonym zu bleiben. In vielen anderen Fällen, beispielsweise bei der Eröffnung eines Bankkontos oder dem Abschluss einer Versicherung, sind Unternehmen gesetzlich verpflichtet, die Identität ihrer Gegenpartei zu kennen.

    Trotz der positiven Aspekte ist klar, dass die heutige fragmentierte digitale Identitätslandschaft mit ihrer großen Anzahl an Konten und Passwörtern ihren Preis hat. Für Benutzer ist eine unüberschaubare Anzahl an Konten und Passwörtern zeitaufwändig und umständlich, da sie ihre Identitätsdaten bei jedem neuen Kontrahenten immer wieder registrieren müssen und oft den Zugriff auf ihre Konten verlieren. Aus sicherheitstechnischer Sicht ist die heutige fragmentierte digitale Identitätslandschaft unreguliert und durch eine erschreckende Anzahl heterogener und unregulierter Sicherheitsstufen gekennzeichnet. Angesichts dieser Komplexität vernachlässigen viele Benutzer Sicherheitsbedenken und verwenden für viele verschiedene Dienste dasselbe einfache Passwort.

    Im Gegensatz dazu hat eine einzige digitale Identität das Potenzial, sowohl das Benutzererlebnis als auch den Komfort erheblich zu verbessern, indem sie eine breite Palette digitaler Dienste nahtlos zugänglich macht und eine wiederholte Registrierung überflüssig macht. Darüber hinaus können Benutzer die Kontrolle über ihre digitale Identität zurückgewinnen, indem sie verwalten können, welche Attribute sie mit welcher Gegenpartei teilen möchten. Gleichzeitig führt das „Alles auf eine Karte setzen“ und die Beauftragung eines einzigen digitalen Identitätsökosystems mit der Verwaltung Ihrer digitalen Identität zu einem erhöhten Clusterrisiko im Falle eines Angriffs, eines technischen Ausfalls oder eines böswilligen Verhaltens. Trotz dieser Sicherheitsbedenken wird erwartet, dass sich die allgemeine Sicherheitslage für den Durchschnittsbenutzer dank geringerer Komplexität sowie standardisierter und klar regulierter Sicherheitsniveaus im gesamten digitalen Identitätsökosystem verbessert.

    Aus betriebswirtschaftlicher Sicht wird die Identifikation desselben Kunden bei jedem Unternehmen, mit dem ein Kunde eine Geschäftsbeziehung unterhält, redundant repliziert. Dies bedeutet, dass jedes Unternehmen seine eigenen kostspieligen und oft weitgehend papierbasierten Identifikationsprozesse für die Aufnahme neuer Kunden sowie die Authentifizierung bestehender Kunden entwickeln und pflegen muss, um ihnen Dienstleistungen anbieten zu können. Darüber hinaus muss jedes Unternehmen die Kundendaten regelmäßig überprüfen und aktualisieren, um etwaige Änderungen widerzuspiegeln.
    Vor diesem Hintergrund stellt eine universell einsetzbare digitale Identität für Unternehmen eine Chance dar, Risiken zu reduzieren und erhebliche Kosteneinsparungen durch eine Steigerung der Prozesseffizienz und eine faktische Auslagerung der Kundenidentifizierung zu erzielen. Unternehmen können ihre Konversionsraten steigern, indem sie die Schwelle zum Abschluss einer Transaktion senken und neue Produkte und Dienstleistungen mit einem besseren Benutzererlebnis auf den Markt bringen, um sich einen Wettbewerbsvorteil zu verschaffen.

Digitale Identität verstehen

Teilen Sie Informationen über Ihre Marke mit Ihren Kunden. Beschreiben Sie ein Produkt, machen Sie Ankündigungen oder heißen Sie Kunden in Ihrem Geschäft willkommen.

Ökosystem der digitalen Identität

An der Bereitstellung und Nutzung digitaler Identität sind eine Reihe voneinander abhängiger Akteure beteiligt, die gemeinsam ein digitales Identitätsökosystem bilden. Angesichts der zunehmenden Komplexität aufgrund wachsender Transaktionsvolumina und steigender Kundenerwartungen erfordert jedes erfolgreiche digitale Identitätsökosystem eine gemeinschaftliche Anstrengung über Organisationen und Branchen hinweg.


In allen Phasen des digitalen Identitätslebenszyklus übernimmt jeder Akteur bestimmte Aufgaben oder Vorgänge, die mit seiner Rolle verbunden sind. Aber digitale Identitätssysteme können in vielen verschiedenen Formen auftreten. Die Anzahl der definierten Rollen und der Umfang ihrer Aktivitäten hängen weitgehend von den spezifischen Anforderungen der rechtlichen Rahmenbedingungen eines Landes und der beteiligten Akteure ab.

Daher wird eine Reihe archetypischer Rollen in einem digitalen Identitätsökosystem vorgestellt. Die ersten drei Kernrollen Identitätseigentümer, Identitätsanbieter und vertrauende Partei stellen das Minimum für jedes digitale Identitätsökosystem dar und werden auch im neuen Regulierungsrahmen der Schweiz abgedeckt (siehe Abschnitt 4). Die drei Rollen Broker, Attribute Provider und Service Provider werden als ökosystemabhängige Rollen bezeichnet, da sie bei Bedarf in ein digitales Identitätsökosystem eingebunden werden können. Es ist wichtig zu beachten, dass diese generischen Rollen weiter unterteilt werden können, um unterschiedlichen Umständen und Anforderungen gerecht zu werden.

In der Praxis ist die entscheidende Frage bei der Gestaltung eines digitalen Identitätsökosystems, ob ein Modell eingeführt werden soll, das auf Makler oder auf Identitätsanbieter ausgerichtet ist.

administrator-male

Identity Owner (IO)

• Owner and controller of a digital identity

• Uses their digital identity to conveniently and securely identify themselves in digital transactions

• Natural person (e.g. Alice or Bob)

identity-theft

Identity provider (IdP)

• Responsible for the provision of a digital identity

• Verifies an individual’s identity and issues the corresponding digital credentials to ascertain their digital identity

• Government agency (e.g. passport office) or government-recognised organisation (e.g. bank)

external-cash-bill-and-payment-method-xnimrodx-lineal-xnimrodx-2

Relying Party (RP)

• Relies on a digital identity for onboarding of new customers and authentication of existing customers

• Integrates digital identity in its operating model to improve the user experience and increase efficiency

• Industry-agnostic role including businesses (e.g. online shops) and government agencies (e.g. tax offices)

sample-rate

Broker

• Ensures interoperability in the ecosystem and enhances privacy by preventing tracking actions across different roles

• Intermediates the data flow between the Identity Provider and the Relying Party

• Neutral organisation (e.g. infrastructure provider)

broker

Attribute Provider (AP)

• Offers additional attributes that are not collected by the Identity Provider during registration

• Additional attributes allow Relying Parties to accelerate their digital processes and offer more tailored services

• Government agency (e.g. fedpol), state-affiliated company (e.g. Post) or private company (e.g. Telco)

external-certificate-award-and-badge-yogi-aprelliyanto-basic-outline-yogi-aprelliyanto

Service provider

• Offers electronic trust services such as digital signatures

• Electronic trust services allow providers to enhance and expand the interactions and services within the ecosystem

• Private company (e.g. Telco)

 

  Core roles   Ecosystem-dependent roles

Fokussiert auf Identitätsanbieter

In einem auf den Identitätsanbieter ausgerichteten Modell fließen die Daten direkt vom Identitätsanbieter zur vertrauenden Partei und umgekehrt. Daher können die Aktionen des Identitätseigentümers im gesamten Ökosystem verfolgt werden. Beispielsweise könnte der Identitätsanbieter nachverfolgen, wie oft sich der Identitätseigentümer bei einem Online-Casino anmeldet, während das Casino registrieren könnte, bei welcher Institution der Identitätseigentümer seine digitale Identität registriert hat.

Maklerzentriert

In einem Broker-zentrierten Modell vermittelt ein Identitätsbroker den Datenfluss zwischen dem Identitätsanbieter und der vertrauenden Partei, um die Interoperabilität sicherzustellen und die allgemeine Privatsphäre des Systems zu verbessern, indem er den Identitätsanbieter und die vertrauende Partei voneinander „blendet“. Das bedeutet, dass die Handlungen des Identitätseigentümers nicht nachvollzogen werden können.

Die Kanalisierung des gesamten Datenflusses über den Broker als zentrale Instanz führt jedoch zu einem Single Point of Failure und schafft einen Honeypot mit einer riesigen Menge wertvoller Daten. Die Implementierung eines auf einer privaten Blockchain basierenden Brokers wie im Fall der kanadischen digitalen Identitätslösung (entwickelt von SecureKey) könnte eine Lösung für dieses Problem bieten und die sogenannte Triple-Blindness-Anforderung erfüllen.

Lebenszyklusmodell der digitalen Identität

Die Bereitstellung und Nutzung digitaler Identität ist kein einzelnes, einmaliges Ereignis, sondern eine Abfolge von (wiederkehrenden) Ereignissen, die in einem Lebenszyklusmodell konzeptualisiert werden können. Im Folgenden wird ein generischer End-to-End-Lebenszyklus digitaler Identitäten vorgestellt, der auf einem maklerzentrierten Ökosystem digitaler Identitäten basiert.

Anmeldung

Die Registrierungsphase leitet den Lebenszyklus der digitalen Identität ein und kann weiter in die Beanspruchung und Überprüfung der digitalen Identität unterteilt werden. (1) Der Identitätsinhaber registriert in einem ersten Schritt seine digitale Identität durch Betreten einer Reihe von Vider-Räumlichkeiten oder durch eine gleichwertige Online-Präsenz wie beispielsweise eine Videoidentifizierung (siehe auch FINMA-Rundschreiben 2016/7 Video- und Online-Identifizierung).

Abhängig von der Gestaltung des digitalen Identitätsökosystems (3b) kann der Identitätseigentümer den Registrierungsprozess verkürzen und eine bestehende Geschäftsbeziehung nutzen. Identitätsanbieter (z. B. Banken) können die bereits erfassten verifizierten Identitätsdaten wiederverwenden, um ihren Verpflichtungen zur Kenntnis Ihrer Kunden (KYC) und zur Bekämpfung von Geldwäsche (AML) nachzukommen.

erforderliche Identitätsattribute in der Web- oder Mobilanwendung des Identitätsanbieters. Die Attribute können in biografische Daten wie Name, Geschlecht, Adresse, biometrische Informationen (z. B. Fingerabdruck, Iris-Scan) und/oder zusätzliche Datenformate wie Verhaltensdaten kategorisiert werden. (2) Abhängig von der gewählten Sicherheitsstufe muss der Identitätseigentümer eine entsprechende Authentifizierungsmethode einrichten. Bei der 2-Faktor-Authentifizierung (2FA) umfasst dies sowohl einen ersten als auch einen zweiten Faktor Ihrer Wahl. (3) Der ausgefüllte Antrag wird anschließend an den Identitätsanbieter übermittelt.

Überprüfung

In einem nächsten Schritt (4) fordert der Identitätseigentümer die Verifizierung seiner Identitätsdaten an. Als Reaktion darauf (5) überprüft der Identitätsanbieter die beanspruchte Identität anhand vorhandener Daten. Dies ist notwendig, um festzustellen, ob die beanspruchte Identität existiert und eindeutig ist (Deduplizierung). In den meisten Fällen ist die
Die Verifizierung basiert auf mindestens einem amtlichen Ausweis. Abhängig von der gewünschten Sicherheitsstufe wird dieser Schritt als persönliche Verifizierung beim Identitätsprüfer durchgeführt.

Ausgabe

Sobald die Identität des Identitätsinhabers erfolgreich verifiziert wurde, (6) bearbeitet der Identitätsanbieter den Antrag des Identitätsinhabers und (7) stellt die Anmeldeinformationen in Form einer digitalen Identität aus. Mit der Ausstellung von Anmeldeinformationen stellt der Identitätsanbieter die Identität des Identitätseigentümers fest, indem er die digitale Identität über eine eindeutige Kennung maßgeblich mit mindestens einem Authentifikator verknüpft. Anmeldeinformationen können kategorisiert werden als etwas, das Sie kennen (z. B. Passwort oder PIN), als etwas, das Sie sind (z. B. biometrische Informationen wie ein Fingerabdruck) oder als etwas, das Sie besitzen (z. B. Personalausweis oder Sicherheitstoken).

Authentifizierung

(8) Der Identitätseigentümer kann nun seine digitale Identität verwenden, um auf digitale Dienste zuzugreifen und diese anzufordern, beispielsweise um sich beim Webportal einer Fluggesellschaft anzumelden, um ein Flugticket zu kaufen. (9) Um den erforderlichen Dienst bereitzustellen, muss die vertrauende Partei den Anforderer authentifizieren. In einem Broker-zentrierten digitalen Identitätsökosystem wird der Identitätseigentümer zum Zweck der Authentifizierung an das Mobil- oder Webportal des Brokers weitergeleitet. Zu diesem Zeitpunkt wird der Identitätseigentümer gebeten, (10) seinen bevorzugten Identitätsanbieter für diese Transaktion auszuwählen, (11) einen oder mehrere (digitale) Anmeldeinformationen zum Nachweis seiner Identität vorzulegen und (12) der Weitergabe der angeforderten Identitätsattribute zuzustimmen der Relying Party auf einmaliger oder zeitgebundener Basis. Sobald die Authentifizierungsanfrage vom Identitätseigentümer vollständig genehmigt wurde (13), fordert der Broker die gewünschten Identitätsattribute an
vom gewählten Identitätsanbieter und (14) übermittelt die empfangenen Daten an die anfragende Relying Party zur Authentifizierung des Identitätseigentümers.

Autorisierung und Leistungserbringung

(15) Nach der Authentifizierung des Antragstellers (16) prüft die Relying Party im Rahmen des Autorisierungsprozesses, welche Rechte mit der digitalen Identität des Nutzers verbunden sind. Wenn das Ergebnis der Autorisierung positiv ist, kann die Transaktion genehmigt werden und (17) die angeforderte Dienstleistung an den Identitätseigentümer geliefert werden.

Digitale Identität in der Schweiz: Wo stehen wir heute?

Das Eidgenössische Polizeidepartement erkannte die Notwendigkeit einer digitalen Identität und begann 2013 mit der Arbeit an einem Konzept für ein elektronisches Identifikationsdokument (eID). In Anlehnung an die physische Welt ging dieser anfängliche Ansatz davon aus, dass die Ausstellung einer elektronischen oder digitalen Identität lediglich eine ist staatliche Verantwortung. Das Eidgenössische Justiz- und Polizeidepartement (EJPD) hat 2015 eine breit angelegte Stakeholder-Konsultation zwischen Kantonen, Branchenverbänden und Grossunternehmen initiiert. Die Ergebnisse sowie Erkenntnisse aus ähnlichen Initiativen in anderen Ländern legen nahe, dass staatlich entwickelte digitale Identitätslösungen zu vergleichsweise höheren IT-Kosten führen und nicht flexibel genug sind, um sich an sich schnell ändernde Marktbedürfnisse und technologische Fortschritte anzupassen.

Basierend auf diesen Erkenntnissen hat der Bundesrat Anfang 2016 eine Aufgabenteilung zwischen Staat und Markt bekannt gegeben: Marktakteure entwickeln und betreiben digitale Identitätssysteme auf Basis modernster Technologie, während der Staat den entsprechenden Regulierungsrahmen bereitstellt und Private zertifiziert Identitätsanbieter und stellen verifizierte Identifikationsdaten einschließlich einer eindeutigen Kennung bereit.

Die Vernehmlassung zum Entwurf eines Bundesgesetzes über elektronische Identifizierungsdienste (D-eID-Gesetz) fand zwischen Februar 2017 und November 2017 statt. Die Rolle des Staates blieb unter den 62 Befragten ein äußerst umstrittenes Thema, da viele von ihnen die Idee des D-eID-Gesetzes ablehnten Der Privatsektor ist für die Ausstellung digitaler Identitäten zuständig. Es überrascht nicht, dass die Gewährleistung eines Höchstmaßes an Sicherheit und Datenschutz für alle Beteiligten Priorität hatte.

Am Schweizer Digitaltag im November 2017 kündigte ein Konsortium aus neun großen Schweizer Unternehmen den Start der Initiative SwissID zur Entwicklung einer einheitlichen digitalen Identität für den Schweizer Markt an. Mit einem schrittweisen Ansatz möchte SwissID ein komplettes Ökosystem schaffen, das eine Reihe verschiedener Identitätsdienste von der Authentifizierung bis zur elektronischen Signatur bietet.

Kurz darauf begann die Schweizerische Post mit der Migration aller Benutzerkonten auf eine SwissID-Lösung mit einfacher Login-Funktionalität. Trotz gemischter Reaktionen der Postkunden konnte das SwissID-Konsortium gleich zu Beginn eine substanzielle Nutzerbasis aufbauen. Im März 2018 wurde die SwissSign Group AG gegründet, um die Entwicklung von SwissID voranzutreiben. Heute kann die Basis-SwissID auch als Single-Login bei anderen Unternehmen wie Blick, Bilanz, St. Galler Kantonalbank oder dem Kanton Graubünden genutzt werden. Demnächst sollen unter anderem die SBB, der Kanton Zug, die Mobiliar und die AXA Wintherthur folgen.

Im Frühsommer 2018 machten zwei weitere Schweizer digitale Identitätslösungen von sich reden. Nach einer viermonatigen Pilotphase hat der Kanton Schaffhausen mit eID+ eine eigene digitale Identitätslösung dauerhaft eingeführt.

eID+ wurde in Zusammenarbeit mit dem Zürcher Startup Procivis entwickelt und ermöglicht seinen Nutzern den Zugriff auf eine wachsende Zahl von E-Government-Diensten. Im April 2019 gab Procivis eine Partnerschaft mit dem Anbieter elektronischer Signaturen Skribble bekannt, um digitale Identität mit rechtsverbindlichen elektronischen Signaturen zu verbinden.

Um ihrem Ruf als Crypto Valley gerecht zu werden, startete die Stadt Zug im November 2017 ein Pilotprojekt mit der weltweit ersten Blockchain-basierten digitalen Identität. Unter Nutzung des Technologie-Stacks von uPort implementierte das IT-Unternehmen ti&m die ZugID als sogenannte selbstsouveräne Identität. Das Konzept der selbstsouveränen Identität ist unabhängig von jeglicher zentraler Kontrolle und zielt darauf ab, dem Benutzer volle Autonomie und Kontrolle über seine Identität zu gewähren. Im Juni 2018 wurde die ZugID erfolgreich für eine unverbindliche Volksabstimmung eingesetzt.

In der Frühjahrssession 2019 hat der Nationalrat den Entwurf des Bundesgesetzes über elektronische Identifizierungsdienste (D-eID-Gesetz) gutgeheissen (näheres siehe Ziffer 4) und damit einen wichtigen Schritt hin zu einer staatlich anerkannten elektronischen Identität getan. In der Sommersession 2019 folgte der Ständerat und verabschiedete das Gesetz.

Angesichts der stetig steigenden Zahl digital abgewickelter Transaktionen war die Notwendigkeit einer elektronischen Identität selbst in beiden Kammern weitgehend unumstritten. Allerdings war der Grundgedanke der Verordnung, eine Rollenverteilung zwischen Staat und Privatwirtschaft vorauszusetzen, ein Streitpunkt in der Debatte im Schweizer Parlament. Viele Politiker halten die Ausgabe physischer und digitaler Legitimationsmittel für eine ausschliessliche Aufgabe der Schweizerischen Eidgenossenschaft. Trotz dieser Bedenken soll mit der neuen Gesetzgebung die vertrauensbildende Wirkung staatlicher Anerkennung und privatwirtschaftlicher Dynamik kombiniert werden, um eine sichere und benutzerfreundliche Lösung zu ermöglichen und so den Erfolg der eID sicherzustellen. Mit einem Inkrafttreten des Gesetzentwurfs ist frühestens 2020/2021 zu rechnen, es sei denn, es findet eine Volksabstimmung statt.

Diese jüngsten Entwicklungen am Markt – aber auch seitens der Regierung – deuten darauf hin, dass die digitale Identität in der Schweiz an Dynamik gewinnt. Die Frage ist also nicht so sehr, ob eine digitale Identitätslösung auf nationaler Ebene eingeführt wird, sondern vielmehr, wann sie eingeführt wird und wie ein erfolgreiches Modell aussehen wird.

Entwurf eines Bundesgesetzes über elektronische Identifizierungsdienste (D-eID-Gesetz)

Der Entwurf des Bundesgesetzes über elektronische Identifizierungsdienste (D-eID-Gesetz) schafft die rechtlichen Grundlagen für eine staatlich anerkannte elektronische Identität in der Schweiz und ermöglicht natürlichen Personen, sich im elektronischen Geschäftsverkehr mit Unternehmen und Behörden sicher und einfach auszuweisen. Der Gesetzentwurf regelt den gesamten Lebenszyklus elektronischer Identifikationsmittel von der Ausstellung bis zum Widerruf und definiert die Rechte und Pflichten der verschiedenen Akteure im Ökosystem einer elektronischen Identität. Die folgende Abbildung veranschaulicht die wesentlichen Säulen des D-eID-Gesetzes und geht auf die damit verbundenen regulatorischen Bestimmungen ein.

Rollen und Verantwortlichkeiten

In Abschnitt 2.1 wurde eine Reihe archetypischer Rollen in einem generischen digitalen Identitätsökosystem vorgestellt. Für das entstehende digitale Identitätsökosystem der Schweiz definiert und regelt der Entwurf des Bundesgesetzes über elektronische Identifizierungsdienste klar die relevanten Ökosystemrollen und die damit verbundenen Rechte und Pflichten.

Anspruchsberechtigt für eine eID sind Schweizerinnen und Schweizer sowie Ausländerinnen und Ausländer mit einem gültigen Ausweis nach dem Ausländer- und Integrationsgesetz (AIG) oder Ausländerinnen und Ausländer, deren Identität in einem besonderen Verfahren nachgewiesen werden kann. Die eID ist personenbezogen, nicht übertragbar und freiwillig. Der Inhaber einer eID hat die Sorgfaltspflicht, einen Missbrauch seiner eID zu verhindern.

Während die Ausstellung eines Ausweises traditionell eine hoheitliche Aufgabe staatlicher Behörden ist, geht der Entwurf des Bundesgesetzes über elektronische Identifizierungsdienste (D-eID-Gesetz) von einer Zusammenarbeit zwischen Staat und Privatwirtschaft bei der Bereitstellung digitaler Identität aus. Dabei wird die vertrauensbildende Wirkung der staatlichen Anerkennung mit der Flexibilität und Technologiekompetenz des Marktes kombiniert, um eine rasche Verbreitung der eID in der Schweiz sicherzustellen.

Daher wurden private Unternehmen mit der Bereitstellung digitaler oder elektronischer Identitäten (eID) betraut. Um eine eID auszustellen, müssen Identitätsanbieter eine formelle Anerkennung von der neu geschaffenen eID-Kommission des Bundes (EIDCOM) einholen. Die Anerkennung wird für drei Jahre gewährt und setzt die Einhaltung zahlreicher (betrieblicher) Voraussetzungen voraus, wie zum Beispiel die Eintragung ins Handelsregister, qualifiziertes Personal, die Einhaltung der Sicherheitsanforderungen an die eID-Systeme oder die Meldung an die Behörden.

Trotz der oben erwähnten Aufgabenteilung spielt der Staat immer noch eine zentrale Rolle im Ökosystem der digitalen Identität. Mit EIDCOM wird eine unabhängige Bundesorganisation geschaffen, die die Einhaltung des Entwurfs des Bundesgesetzes über elektronische Identifizierungsdienste überwacht und die notwendigen Entscheidungen trifft, um ein reibungslos funktionierendes eID-Ökosystem sicherzustellen. EIDCOM ist unter anderem für die Anerkennung von Identitätsanbietern und die Veröffentlichung einer Liste aller anerkannten Identitätsanbieter sowie für die Pflege eines Informationssystems zur Unterstützung ihrer Aktivitäten verantwortlich.

Das Bundesamt für Polizei (fedpol) ist verantwortlich für die Überprüfung der Identität des Antragstellers und die Übermittlung verifizierter persönlicher Identifikationsdaten an den Identitätsanbieter sowie für die Führung eines Informationssystems zur Unterstützung der Arbeit von fedpol.

Um die eID als Identifikationsmittel verwenden zu können, benötigen vertrauende Parteien eine vertragliche Vereinbarung mit dem Identitätsanbieter, in der das gewünschte Sicherheitsniveau sowie organisatorische und technische Prozesse festgelegt sind. Das eID-Gesetz zielt auf die Interoperabilität innerhalb des Ökosystems ab
verpflichtet die vertrauenden Parteien, jede eID für die erforderliche Sicherheitsstufe zu akzeptieren. Zur Identifizierung kann die von fedpol vergebene eID-Registrierungsnummer verwendet werden.

1

Identity Owner

• Requirements for applying for an eID: (Art. 3)

a. Swiss citizens with valid ID

b. Foreigners with valid ID based on FNIA

c. Foreigners whose identity can be proved in a special procedure

• The eID is personal, non-transferrable (Art. 12) and voluntary (Art. 3)

• A duty of care applies to the owner to prevent abuse (Art. 12)

2

Identity Provider (IdP)

• Issuing eIDs requires formal recognition from eID-Commission (EIDCOM) (Art. 13)

• Identity Providers ensure interoperability of their eID solutions

 • Recognition is granted for three years (Art. 14) and requires meeting (operational) requirements such as such as skilled staff, data protection & security and reporting (Art. 15)

3

Relying Party (RP)

 • Relying Parties need a contractual agreement with the Identity Provider to define security level as well as organisational and technical processes (Art. 20)

• Relying Parties can use the eID registration number for identification (Art 21)

• Relying Parties are required to accept any eID for the required security level (Art. 22)

4

Role of the state

Like in the physical world, the state assumes a pivotal role in the digital identity ecosystem:

• The federal office police (fedpol) is responsible for identity verification, providing verified personal identification data to the Identity provider (Art. 6) and assigning the Identity Owner a unique eID registration number

 • The EIDCOM is responsible for the IdP recognition and publishing a list with all IdPs (Art. 25) as well as maintaining an information system to support their activities (Art .24)

5

Security levels

• 3 different security levels: Low, Substantial, High (Art.4)

• Principal of downward compatibility (Art. 4): An eID issued with a higher security level can also be used, if a lower level is required

 • The security levels differ by the number of personal identification attributes (Art. 5) as well as the rules for issuance, usage and operation (Art. 6)

6

Data protection

In some aspects, the data protection provisions of the eID Act go beyond the Federal Act on Data Protection:

• Processing of personal identification data is limited to the purpose of identification as long as the eID is valid (Art. 9)

• The transfer of personal identification data is limited to the necessary minimum and requires consent (Art. 16)

• Personal Identification data, usage data and other data have to be kept segregated (Art. 9)

7

Lifecycle

 • An eID is issued by the Identity Provider together with an authentication mean after the fedpol has verified the applicant’s identity and assigned him an eID registration number (Art. 6)

• An eID can be temporarily blocked by the IdP for example in the event of suspected fraud or loss of the password

• The fedpol can revoke the eID registration number, if the eID is no longer used on a permanent basis

8

Fees

 • The fedpol and the EIDCOM can charge fees on a pay-per-use basis for their provisions and services. The Federal Council specifies the fees in an ordinance and considers whether an IdP charges a fee for issuing an eID. (Art. 27) • Queries regarding the validity of an eID are free of charge (Art. 27)

Sicherheitsstufen und Datenschutz


Sicherheit ist ein zentrales Anliegen, wenn es um die elektronische Identität geht. Der Entwurf des Bundesgesetzes über elektronische Identifizierungsdienste (D-eID-Gesetz) unterscheidet zwischen drei Sicherheitsstufen für die eID, da nicht alle Geschäftsprozesse identische Sicherheitsanforderungen haben. In der Praxis können zu strenge Sicherheitsmaßnahmen als umständlich empfunden werden und die Masseneinführung digitaler Identität behindern. Wie oben dargestellt, unterscheiden sich die Sicherheitsstufen vor allem hinsichtlich der Anzahl der persönlichen Identifikationsmerkmale, der Aktualisierungshäufigkeit der Attribute und den Regeln zur Registrierung und Authentifizierung sowie dem Anwendungsbereich.

Die Sicherheitsstufe niedrig beinhaltet nur Basisattribute und reicht für den Online-Einkauf (inkl. Altersverifizierung) oder die Anmeldung in einem Bürgerportal aus. Mit mehr Attributen und höheren Sicherheitsstandards bei der Registrierung und Authentifizierung eignet sich die Sicherheitsstufe „Substantiv“ für den Online-Abschluss einer Versicherung oder die Online-Eröffnung eines Bankkontos. Die hohe Sicherheitsstufe wurde für den höchsten Schutz vor der Bedrohung durch Identitätsbetrug und Identitätsänderung entwickelt und kann für die sensibelsten Dienste wie E-Voting verwendet werden.

Bei der Ausstellung und Nutzung einer elektronischen Identität werden sensible und personenbezogene Daten verarbeitet. Datenschutz und Datensicherheit geniessen daher im Schweizer Parlament höchste Priorität. Dies spiegelt sich auch im Entwurf des Bundesrates wider. In bestimmten Bereichen gilt der Entwurf eines Bundesgesetzes
über elektronische Identifizierungsdienste geht über das aktuelle Schutzniveau des Schweizer Datenschutzgesetzes hinaus. Beispielsweise darf der Identitätsanbieter personenbezogene Identifikationsdaten nur an vertrauende Parteien (z. B. Online-Shops) weitergeben, wofür der Identitätsinhaber eingewilligt hat. Der Identitätsanbieter muss Protokolldaten, die bei der Nutzung der eID anfallen, nach sechs Monaten löschen. Darüber hinaus müssen personenbezogene Identifikationsdaten, Nutzungsdaten und sonstige Daten getrennt aufbewahrt werden. Auch das Schweizer Datenschutzgesetz wird derzeit einer Totalrevision unterzogen, die bei Inkrafttreten wichtige Auswirkungen auf die eID haben könnte.

Lebenszyklus und Gebühren

Das eID-Gesetz regelt wichtige Schritte des digitalen Identitätslebenszyklus wie die Registrierung, Sperrung oder den Widerruf der eID. Um eine eID zu erhalten, muss der Identitätsinhaber zunächst beim Identitätsanbieter eine eID beantragen. Nach einer ersten Prüfung wird der Antrag an fedpol zur Überprüfung der Identität anhand von Identitätsdaten in bestehenden Regierungsregistern übermittelt. Vorbehaltlich einer erfolgreichen Verifizierung und der Einwilligung des Nutzers übermittelt fedpol die persönlichen Identifikationsdaten des Antragstellers und die ihm zugewiesene eID-Registrierungsnummer an den Identity Provider. Durch die Ausstellung eines Authentifizierungsmittels gegenüber dem Identitätsanbieter aktiviert der Identitätsanbieter die eID zur Nutzung. Bei Betrugsverdacht oder Passwortverlust kann der Identity Provider eine eID vorübergehend sperren. Wird eine eID nicht mehr verwendet, kann fedpol die eID-Registrierungsnummer dauerhaft widerrufen.

Sowohl Fedpol als auch EIDCOM können zur Finanzierung ihrer Ausgaben Gebühren für ihre Dienste erheben, die auf einem Pay-per-Use-Modell basieren. Der Bundesrat wird das detaillierte Gebührenmodell in einer Verordnung konkretisieren und berücksichtigen, ob die Identity Provider ihre Dienste kostenlos anbieten. Um die Markteinführung zu beschleunigen, kann auf die Gebühren für die erstmalige Übermittlung persönlicher Identifikationsdaten während des Ausstellungsprozesses verzichtet werden. Für jede weitere Überweisung wird eine Gebühr im zweistelligen Rappenbereich erhoben. Abfragen zur Überprüfung der Gültigkeit einer eID sind kostenlos.

Hauptherausforderungen für die digitale Identität in der Schweiz

Eine Benutzerperspektive: Vertrauen in die digitale Identität aufbauen

Vertrauen spielt im Adoptionsprozess der digitalen Identität eine wesentliche Rolle, wie Erfahrungen mit aktuellen Beispielen wie E-Commerce, E-Banking und Mobile Banking zeigen. Angesichts einer zunehmenden Zahl von Cyber-Bedrohungen, die von Datenschutzverletzungen und Betrug bis hin zu Identitätsdiebstahl reichen, gehören die Bedenken der Benutzer hinsichtlich der Sicherheit und des Datenschutzes ihrer Identitätsdaten zu den Haupthindernissen für die Einführung von E-Commerce und digitaler Identität.

Mangels vorhandener Kenntnisse oder Erfahrungen in Bezug auf digitale Identität ist Vertrauen eine Voraussetzung, um die wahrgenommenen Sicherheits- und Datenschutzrisiken zu verringern, die mit der Nutzung einer solchen neuen Technologie verbunden sind. Wenn alle Aktionen mit absoluter Sicherheit ausgeführt werden könnten und keine (wahrgenommenen) Risiken bestünden, wäre kein Vertrauen erforderlich. Um das Vertrauen des Benutzers zu gewinnen und aufrechtzuerhalten, ist es von größter Bedeutung, dem Benutzer die notwendigen Garantien für den Schutz seiner Identitätsdaten zu geben. Schon bei einem einzigen Vorfall kann das Vertrauen des Nutzers unwiderruflich verloren gehen.

In der fragmentierten digitalen Identitätslandschaft von heute muss der Identitätseigentümer eine Vielzahl unregulierter digitaler Identitäten verwalten, die von verschiedenen Organisationen ausgegeben werden. Trotz heterogener und weitgehend intransparenter Sicherheitsniveaus muss der Identitätsinhaber allen diesen Organisationen den Schutz ihrer Identitätsdaten anvertrauen, um Online-Transaktionen durchführen zu können.

Bei der Einführung einer staatlich anerkannten digitalen Identität wie der Swiss eID muss der Identitätsinhaber nur einem einzigen digitalen Identitäts-Ökosystem vertrauen. Trotz eines erhöhten Clusterrisikos ist die Verwendung eines einzigen Identitätsanbieters für den durchschnittlichen Benutzer sicherer, da die derzeit heterogenen und unregulierten Sicherheitsniveaus im gesamten Ökosystem standardisiert würden, was dazu beiträgt, die Gesamtsicherheit für den Identitätseigentümer zu erhöhen.

Neben der Vertrauenstendenz des einzelnen Benutzers sind strukturelle Garantien wie ein starker Regulierungsrahmen (siehe Abschnitt 4) oder ein erstklassiger Sicherheits- und Datenschutzrahmen wichtige Faktoren für den Aufbau von Vertrauen in ein digitales Identitätsökosystem. Der Aufbau von Vertrauen ist jedoch zeitaufwändig und kostspielig, da er auf langfristigen Beziehungen und gesammelten Erfahrungen basiert, die dem Benutzer ein Gefühl der Vertrautheit vermitteln. Daher profitieren staatliche Behörden, staatsnahe Unternehmen sowie bestimmte private Akteure wie Banken oder Versicherungen von ihrer Erfolgsbilanz im Umgang mit sensiblen Daten und sind ideal positioniert, um ihren Ruf zu nutzen, um Vertrauen in das Ökosystem der digitalen Identität zu schaffen.

Eine geschäftliche Perspektive: Erfolgreich in einem zweiseitigen Markt

Für beide Kundengruppen in einem zweiseitigen digitalen Identitätsmarkt – Identitätseigentümer und vertrauende Parteien – ist der Nutzen eines digitalen Identitätssystems eine Funktion der Anzahl der Teilnehmer auf der anderen Marktseite, die es ihnen ermöglicht, positive Netzwerkeffekte zu realisieren. Mit anderen Worten: Identitätsinhaber sind nur dann bereit, sich für eine digitale Identität zu registrieren, wenn sie diese universell nutzen können. Für Relying Parties lohnt sich die Integration einer digitalen Identitätslösung in ihre Systeme und Prozesse nur dann, wenn sie eine hohe Anzahl an Kunden und Interessenten erreichen können. Dies bedeutet, dass Strategien zur Lösung des Henne-Ei-Problems im entstehenden digitalen Identitätsökosystem der Schweiz sowohl an Identitätseigentümer als auch an vertrauende Parteien gerichtet sein sollten.

Finanzielle Zuschüsse sind eine wirksame Maßnahme zur Steigerung der Akzeptanz. Durch die Subventionierung einer Seite des Identitätssystems erhöht sich die Teilnehmerzahl auf der subventionierten Seite, was das Identitätssystem für die andere Seite attraktiver macht. Der Identitätsanbieter kann die Kosten der Subventionen in einem Markt durch höhere Nachfrage und Gewinne auf der anderen Seite des Marktes ausgleichen. Aber wen soll man subventionieren? Die optimale Preisstrategie in einem zweiseitigen Markt wird unter Ökonomen immer noch diskutiert. Grundsätzlich sollte der weniger preissensiblen Akteursgruppe ein höherer Preis zugunsten der preissensibleren Marktseite in Rechnung gestellt werden. Die Herausforderung besteht darin, die Preiselastizität der verschiedenen Akteursgruppen und deren Zahlungsbereitschaft zuverlässig zu ermitteln.

Erkenntnisse aus dem eher erfolglosen digitalen Identitätsprojekt SuisseID lassen jedoch erste Rückschlüsse auf die Gestaltung einer effektiveren Preisstrategie für eine Schweizer digitale Identitätslösung zu. Im Fall von SuisseID wurde die traditionelle Preislogik auf einen zweiseitigen Markt angewendet, ohne die gegenseitigen Abhängigkeiten zwischen Identitätseigentümern und vertrauenden Parteien zu berücksichtigen. Nach einer ersten Phase mit staatlichen Zuschüssen mussten Identitätsinhaber eine Registrierungsgebühr sowie eine jährliche Nutzungsgebühr zahlen. Die Registrierungskosten machten das Ökosystem für neue Benutzer unattraktiv, während die Mehrheit der bestehenden Benutzer nicht bereit war, ihr Abonnement zu verlängern.

Daher sollte ein erfolgreiches digitales Identitätsökosystem in der Schweiz Identitätsinhabern kostenlose digitale Identitäten zur Verfügung stellen und den Geschäftsfall auf Gebühren der vertrauenden Parteien und zusätzlichen Diensten stützen. Gerade in der Anfangsphase des Ökosystems sind auch monetäre Anreize für Relying Parties in Form von Rabatten sinnvoll, um Dynamik zu erzeugen.

Eine weitere wirksame Strategie zur Überwindung des „Henne-Ei-Problems“ besteht darin, zunächst hochwertige Nutzer anzulocken. Bei digitalen Identitätssystemen kann die Einbindung hochwertiger vertrauender Parteien wie großer Banken, Telekommunikations- oder E-Commerce-Unternehmen die Gesamtattraktivität einer digitalen Identität für Identitätsinhaber erheblich steigern, da sie diese breiter nutzen können. Sobald sich der Identitätseigentümer daran gewöhnt hat, seine digitale Identität bei der Interaktion mit diesen hochwertigen vertrauenden Parteien zu verwenden, erwartet er von anderen Unternehmen den gleichen Grad an Komfort, was für andere vertrauende Parteien einen Wettbewerbsdruck erzeugt, diesem Beispiel zu folgen.

Während die Einführung der eID den vertrauenden Parteien viele Vorteile bringt, ist es von entscheidender Bedeutung, ihren Übergang in das aufstrebende digitale Identitätsökosystem der Schweiz durch die Senkung der technischen und betrieblichen Eintrittsbarrieren zu erleichtern. Dies ist besonders wichtig im Fall kleiner oder mittlerer öffentlicher oder privater Organisationen, denen die Fähigkeiten und/oder Ressourcen für ein groß angelegtes Projekt zur Implementierung einer digitalen Identität fehlen. Das Onboarding der vertrauenden Parteien sollte einem optimierten Prozess folgen und einen bestehenden Vertragsrahmen nutzen. Aus technischer Sicht kann ein Broker, der vertrauende Parteien und Identitätsanbieter vermittelt, die technische Integration in Zeiten knapper IT-Ressourcen erleichtern. Anstatt Schnittstellen zu mehreren Identitätsanbietern erstellen zu müssen, fungiert der Broker als zentraler Ansprechpartner für die vertrauende Partei.

Eine der effektivsten Strategien zur Überwindung des Henne-Ei-Problems besteht darin, auf einen bestehenden Nutzerpool zuzugreifen. Heutzutage verfügen die meisten Identitätsinhaber bereits über (mehrere) digitale Identitäten, die möglicherweise genutzt werden könnten, um den Aufwand für den Erhalt einer eID zu minimieren.

Ein Treffen planen