6 Gründe gegen einen zentralen staatlichen Identitätsprovider
Das Eidgenössische Justiz- und Polizeidepartement (EJPD) stellt in seinem «Zielbild E-ID» drei verschiedene technische Szenarien vor. Eine davon ist eine «E-ID-Lösung mittels zentralem staatlichem Identitätsprovider». Wir zeigen aus technischer Sicht auf, warum ein zentrales «E-ID»-Login die Digitalisierung in der Schweiz nicht voranbringen kann.Die Umfrage der Arbeitsgruppe “Identitätsmanagement und E-ID” der Schweizerischen Informatikkonferenz SIK zu den «Anforderungen an die E-ID» hat gezeigt, dass viele Verantwortliche potenziell E-ID verwendende Dienste aus dem behördlichen Umfeld einen zentralen Identitätsprovider (IdP) bevorzugen. Doch löst dies das Problem der Digitalisierung im e-Government?
Benutzerkreis
Ein zentraler Identitätsprovider würde nur dann Sinn machen, wenn der Benutzerkreis der vertrauenden Dienste deckungsgleich mit dem des zentralen Identitätsproviders wäre. Benutzer*innen, der sich bei einem vertrauenden Dienst einloggen und dessen Funktionalität verwenden wollen, können somit von einem zentralen Identitätsprovider authentisiert werden. Aber dies ist in seltensten Fällen gegeben. Folgende Ausnahmen sind dabei erwähnenswert:
- Die E-ID ist freiwillig. Folglich wird es immer eine Anzahl von Bürger*innen geben, welche keine E-ID haben. Eine vertrauende Partei muss aber diese Bürger dennoch digital bedienen können. Die ausschliessliche Verwendung eines solches zentralen Dienstes käme einem E-ID-Zwang gleich.
- Ökosysteme, wie das Transportwesen, die Hochschullandschaft oder etwa die Finanzwelt haben nicht nur Kunden aus der Schweiz. Die schweizerische E-ID ist ausschliesslich Schweizer Bürger*innen und Ausländer*innen mit Ausländerausweis vorbehalten.
Wenn der Benutzerkreis nicht deckungsgleich ist, muss es für alle Benutzer*innen, die keine E-ID besitzen oder verwenden wollen, einen zweiten IdP geben. Sowohl für den Dienst wie auch für die Benutzer*innen, ist das Vorhandensein von zwei verschiedenen IdPs intransparent und aufwendig. Der Benutzer*innen muss sich merken, welchen IdP er für welchen Dienst verwendet hat. Der Dienst wiederum muss vermeiden, dass Benutzer*innen sich mit verschiedenen Identitäten einloggen können und ggf. Identitäten verknüpfen.
Oft werden nebst Attributen, die von der E-ID bestätigt werden (Basisidentität), noch weitere fachliche Attribute benötigt, um die Zugriffe der Benutzer*innen auf eine bestimmte Ressource steuern zu können. Diese sind so spezifisch, dass sie meist in einem Identitätsmanagement-System (Benutzerverwaltung) des vertrauenden Dienstes abgelegt werden. Somit muss dieser sowieso einen entsprechenden Dienst unterhalten.
Vertrauen
Sowohl der Benutzer*innen wie auch der Dienstleister (vertrauende Partei) müssen dem zentralen Identitätsprovider voll vertrauen. Aus Sicht dieser beiden Akteure, ist dieser Identitätsprovider eine «Trusted Third Party». Solche vertrauenswürdige Drittanbietersysteme eignen sich nur dort, wo die Einhaltung der Privatsphäre nicht eine so grosse Rolle spielt oder wo ein grundsätzliches Vertrauen gegeben ist, also z.B. in einem Intranet.
Schutz der Privatsphäre
Ein zentraler Identitätsprovider ist bei jedem Zugriff des Benutzers auf eine Anwendung involviert. Eine Lösung mit zentralem staatlichem Identitätsprovider ist daher nicht zeitgemäss und nicht «privacy» konform.
Dass sich die Bürger*innen eine Lösung wünschen, bei der niemand nachvollziehen kann, wann sie welchen Dienst verwendet haben, hat auch die Abstimmung über das e-ID-Gesetz vom 7. März 2021 gezeigt.
Sicherheit
Ein zentraler Identitätsprovider mit Identitätsdaten der Schweizer Bürger*innen und in der Schweiz lebenden Ausländer*innen ist auch ein begehrtes Angriffsziel und erfordert einen ständig steigenden Aufwand zum Schutz. Wie einige Beispiele in der Vergangenheit gezeigt haben, führt dies zu grossen Datenschutzverletzungen, wenn solche Angriffe erfolgreich sind, denn auch grosse Identitätsdienste können Opfer von Cyberkriminalität werden.
Abhängigkeit
Auch in einem gut gesicherten und stark ausgebauten Identitätssystem kann es zu ungeplanten Ausfällen kommen, wie der Totalausfall von Facebook am 6. Oktober 2021 gezeigt hat. Bei einem Ausfall einer Identitätsinfrastruktur, wie Facebook, ist es für die Benutzer*innen nicht mehr möglich, auf die angebundenen Dienste zuzugreifen, auch wenn diese noch verfügbar wären.
Kompatibilität mit der EUid
Am 3. Juni 2021 hat die EU-Kommission einen Entwurf zur Weiterentwicklung der eIDASVerordnung sowie zur Etablierung sicherer digitaler Identitäten für EU-Bürger*innen veröffentlicht. In der EU will man die Phase mit zentralen staatlichen Identitätsprovidern hinter sich lassen und beginnt nun mit der Entwicklung der EUid, einer digitalen Identität für EUBürger* innen, welche nicht auf einer zentralen Infrastruktur basiert, sondern auf dezentralen, selbstkontrollierten Identitäten. Diese sollen in einer EUid-Brieftasche aufbewahrt werden und bei Bedarf online oder auch in der realen Welt vorgewiesen werden können.
Fazit
Ein zentraler staatlicher Identitätsprovider erfüllt weder die in ihn gesetzten Erwartungen der Behörden, um die Digitalisierung im e-Government voranzutreiben, noch ist er kompatibel mit den neusten Entwicklungen im europäischen Ausland. Eine dezentrale Lösung, z.B. mittels Self-Sovereign-Identities, wie im «Zielbild E-ID» vorschlagen, ist daher deutlich zu bevorzugen.