«Eine E-ID ist für Hacker ein lohnendes Ziel»

Der Bundesrat will, dass man sich künftig im Internet offiziell ausweisen kann, wie dies offline heute bereits mit ID, Pass oder Ausländerausweis geschieht. Dies soll beim Einkauf oder Geschäften im Internet für Vertrauen und Rechtssicherheit sorgen, etwa bei der Eröffnung eines Bankkontos, bei Post oder Gemeinde, beim Einkauf bei Zalando oder als Altersprüfung bei der Bestellung von Videospielen oder Alkohol. Alter, Geschlecht und Name sollen überprüfbar sein.

Bundesrätin Simonetta Sommaruga hob gegenüber den Medien hervor, dass man künftig nicht mehr für jeden Dienst ein eigenes Login brauche, sondern alles über die E-ID abwickeln könne. Auch ein allfälliges Einscannen eines Ausweises könnte entfallen.

Jeder Anbieter eines Online-Dienstes entscheidet selbst, ob er für die Nutzung seines Dienstes die Verwendung der staatlich anerkannten digitalen Identität verlangt oder nicht. Es ist also auch für Porno-Seiten nicht verpflichtend, eine entsprechende Prüfung zu verlangen – es sei denn, die Politik beschliesst eine solche Regelung.

Der Bundesrat will keine eigene Technologie entwickeln, sondern nur die Daten zur Verfügung stellen. Es sei momentan nicht abzusehen ob sich die Apple-ID, Google-ID, SwissPass, SuisseID oder andere Technologien durchsetzen würden. Darum solle der Bund dies den Privaten überlassen, denkbar seien eine Identifikation über das Handy, die Bankkarte oder ÖV-Abonnemente.

Dies habe man aufgrund der Erfahrungen im Ausland so entschieden, sagte Martin Dumermuth, Chef des Bundesamtes für Justiz. In Deutschland etwa liefere der Staat die Infrastruktur, Lesegeräte oder eine Ausweis-App. Dort sei die Adoptionsrate jedoch sehr tief. Private Anbieter seien «näher an den Userinnen und Usern sowie an der massgebenden Technologie».

Nein, die Privaten stellen lediglich die technologische Infrastruktur zur Verfügung, die Identität wird vom Bund kontrolliert. Dieser setzt die Regeln für die Datenübertragung, etwa zu Sicherheit oder Verschlüsselung. Er wird Anbieter und deren Lösungen einem «strengen Anerkennungsverfahren»

und regelmässigen Kontrollen unterziehen.

Es ist nicht vorgesehen, dass der Bund Daten der Partner selbst speichert. Er stellt lediglich die Identitätsdaten zur Verfügung. Sommaruga sagte, es würden «keine Datenpools geschaffen», Anbieter dürften die Angaben nicht weitergeben.

Dumermuth sagte dazu: «Zunächst braucht es für E-Voting ein sicheres System.» Die E-ID könnte dann ein Mittel zum Zugang zu diesem System bieten, die E-ID alleine würde aber noch kein E-Voting ermöglichen, dieses sei technisch viel komplexer.

Sommaruga versprach, die Datenschutzbestimmungen müssten «von A bis Z» eingehalten werden. Die Daten dürfen Dritten nur mit ausdrücklicher Einwilligung der Kunden weitergegeben werden. Die Hoheit über den Einsatz und die Freigabe der Daten liege ausschliesslich in der Hand der betreffenden Person. «Die Daten müssen verschlüsselt werden und Anonymität gegenüber privaten Dienstleistern muss möglich sein», sagt IT-Rechtsanwalt Martin Steiger.

Für Steiger ist dies eine grosse Gefahr. «Eine solche E-ID ist für Hacker ein lohnendes Ziel. Möglich sind Identitätsdiebstahl und Online-Betrug, oder – noch schlimmer – man beeinflusst Abstimmungen und Wahlen, wenn die E-ID für E-Voting verwendet wird.» Letztlich sei jede IT-Infrastruktur hackbar. «Gerade erst musste die E-ID in Estland suspendiert werden, weil der Chip auf der Karte nicht sicher genug ist.» Um den möglichen Schaden in Grenzen zu halten, dürften die Risiken der E-ID nicht grösser sein als bei einer klassischen ID, die ja auch gefälscht und missbraucht werden könne.

Laut Dumermuth besteht dann die Möglichkeit, den Technologieträger wie Handy oder Karte sperren zu lassen. Ein Vorteil, denn dies sei etwa bei einer klassischen ID nicht möglich.

Der Bund legt nun die Standards und Verfahren fest. Er will ein konkretes Gesetz bis Sommer 2018 ausarbeiten. Erst dann kann mit der Einführung überhaupt begonnen werden.