22. Februar 2017
Die Einführung einer staatlich anerkannten elektronischen Identität ist äusserst anspruchsvoll. Für den Erfolg braucht es ein Zusammenspiel verschiedenster Faktoren und verschiedenster Expertisen. Dies zeigen Autoren der Berner Fachhochschule in der Januar-Ausgabe 2017 des Online-Magazins „Society Byte“.
Wie kommt man zu einer staatlich anerkannten eID, die breit genutzt wird? Auf diese Frage gibt es keine einfachen und kurzen Antworten:

Das eID-Ökosystem


Das neue Online-Magazin „SocietyByte“ der Berner Fachhochschule (BFH) widmet dem Thema der elektronischen Identität deshalb in seiner Januar-Ausgabe mehrere Beiträge. Reinhard Riedl, Leiter des Zentrums „Digital Society“ der Berner Fachhochschule und Herausgeber von „SocietyByte“, schildert in seinem Editorial einige häufige Fehlüberlegungen und Fehleinschätzungen zum Thema. Weder das „Zuwarten und Zuschauen“ führt zum Ziel noch das kurzsichtige und planlose Losrennen. Auch von „Best Practices“ und „Bad Practices“ hält Riedl wenig. Es gibt nicht die eine richtige Lösung, es geht nicht ohne viel Kommunikation und nicht ohne einen intensiven Lern- und Erfahrungsprozess.

„Einige Staaten waren bei der Entwicklung ihres nationalen eID-Ökosystems recht erfolgreich, einige Staaten waren überhaupt nicht erfolgreich, einige Staaten waren und sind teilerfolgreich, und wieder andere haben nach Jahren weitgehender Erfolglosigkeit den Weg zum Erfolg gefunden“, hält Reinhard Riedl fest. Auch die erfolgreichen Lösungen waren aber nur in einem ganz bestimmten Kontext, in ihrem jeweiligen „eID-Ökosystem“, erfolgreich.

Die Erfahrungen sind also nie direkt übertragbar. Dennoch lassen sie einige allgemeine Schlussfolgerungen zu. Die Berner Fachhochschule fasst diese unter anderem in ihrem Abschlussbericht zum europäischen Projekt STORK 2.0 im Auftrag des SECO zusammen. Die internationalen Erfahrungen zeigen mit den Worten des BFH-Fachmanns Riedl vor allem eines: „Es ist äusserst schwierig, Erfolg zu haben, es ist aber durchaus möglich!“

Lernen von den SuisseID-Erfahrungen


Auch das SuisseID-Projekt mag Reinhard Riedl nicht schlechtreden. Zwar sei vieles nicht optimal gelaufen. Unter anderem wurde zu wenig kommuniziert, und es fehlt eine „Killer-Applikation“ in der Privatwirtschaft. Trotzdem sei die SuisseID „verglichen mit den Lösungen einiger anderer Staaten noch eine recht gute Lösung“. Vor allem aber habe man bei diesem Projekt viel gelernt. Wenn nun die Schweiz doch noch eine staatlich anerkannte eID bekommen soll, müssen die Erfahrungen mit der SuisseID einfliessen.

Identitätsverbund


In der Januar-Ausgabe von Society Byte zeigen verschiedene Autoren den aktuellen Stand der Vorarbeiten in der Schweiz. Einer dieser Beiträge widmet sich dem Identitätsverbund Schweiz. Wenn der Bund schon entschieden habe, nicht selber eine elektronische Identität auszustellen, so sei der Entscheid durchaus sinnvoll, dass der Bund wenigstens eine Aufgabe bei der Verwaltung und Vermittlung von Identitätsinformationen zu übernehmen gedenke, schreibt hier Gerhard Hassenstein, Dozent an der Berner Fachhochschule. Immerhin hätte der Bund eigentlich das höchste Vertrauensniveau in diesem Bereich.

Mit dem Identitätsverbund Schweiz IDV wolle der Bund die verschiedenen Anbieter von Identitätsinformationen miteinander verbinden, „ohne dass diese viel voneinander wissen müssen“. In einem ersten Schritt profitierten davon Kantone und Gemeinden, „indem Mitarbeiter und Mitarbeiterinnen sich bei elektronischen Diensten anderer Gemeinden, Kantone oder beim Bund anmelden können, und zwar mit den Zugangsmitteln, die sie täglich in ihrer eigenen Behörde verwenden“. Der IDV-Broker als Vermittlungsdienst stelle dabei „die Vertrauensbeziehung zwischen den Partnern her“, so erläutert Hassenstein das Modell.

Qualitätsmodell


Die Berner Fachhochschule hat unter anderem die eCH-Standards eCH-0168, eCH-0174 und eCH-0170 ausgearbeitet, die „eine wichtige Grundlage“ für die Gestaltung von IDV Schweiz gelegt hätten, wie Hassenstein in seinem Artikel zum Identitätsverbund Schweiz erläutert. Dem Qualitätsmodell von eCH-0170 widmet sich denn auch ein eigener Beitrag in der gleichen Ausgabe des Online-Magazin.

Annett Laube erläutert in diesem Beitrag unter anderem den Unterschied zwischen der erstmaligen Authentifizierung eines Subjekts bei einer Registrierungsstelle (RA) und der späteren Nutzung der E-Identität im konkreten Anwendungsfall. Insgesamt identifiziert das Qualitätsmodell eCH-0170 vier Prozesse und Teilmodelle, deren Ausprägung zusammen die Qualität und Vertrauensstufe des Gesamtsystems ausmacht.

Die Registrierungsstelle (RA) prüft dabei die Identität des Subjekts und erstellt eine eIdentity. Ein Credential Service Provider (CSP) stellt danach für diese eIdentity ein Authentifizierungsmittel aus oder bindet ein vorhandenes an. Im Credential wird die Verbindung zwischen der E-Identity und dem Authentifizierungsmittel abgelegt. Mithilfe des Credentials authentifiziert sich schliesslich das Subjekt im konkreten Anwendungsfall. Dieser Authentifizierungsprozess steuert den Zugriff des Subjekts auf eine konkrete Ressource.


Weitere Informationen:
Berner Fachhochschule: Schwerpunktausgabe Identität und Privatsphäre, Januar 2017
Reinhard Riedl: Good Practices beim Bau von eID-Ökosystemen, SocietyByte Januar 2017
Berner Fachhochschule: Erfolgreich | Projekt Stork 2.0, News vom 8. Februar 2016 mit angehängtem Projektabschlussbericht
Gerhard Hassenstein: Föderierter Identitätsdienst für die Schweiz, SocietyByte Januar 2017
Annett Laube: Qualität der Authentifizierung, SocietyByte Januar 2017

Social Media

Twitter 
 
Auf Social Media teilen