Die helvetische elektronische Identität
Hubert Rötzer | societybyte.swiss
Quelle: societybyte.swiss
Die Schweiz ist eine Föderation von Bund, Kantonen und Gemeinden. Föderierte Systeme entsprechen dem Charakter der Schweiz. Das Bundesgesetz über die elektronische Identität sollte die Interessen der Kantone und Gemeinden mitberücksichtigen und diese gleichberechtigt behandeln. In diesem Artikel stellt Experte Hubert Rötzer den föderalistischen Ansatz dem heute bevorzugten zentralistischen Modell gegenüber.
Wer auf Reisen geht, kennt die Angst, den Pass zuhause vergessen zu haben. In der realen Welt kann man sich eine Zeitlang unbehelligt bewegen, aber früher oder später kommt man in eine Situation, in der man seine Identität nachweisen muss. Das Recht auf Identität ist ein menschliches Grundrecht. Seinen Bürgerinnen und Bürgern eine Identität auszustellen, ist die hoheitliche Aufgabe jedes Staates. Die Digitalisierung bringt es mit sich, dass die meisten Personen auch digitale Welten durchstreifen. Sobald sie digitale Leistungen beanspruchen, Einkäufe tätigen oder auf sozialen Plattformen aktiv werden, ist eine digitale Identität notwendig.
Im einfachsten Fall genügt die Angabe des Namens und die Überprüfung der E-Mail-Adresse. In komplizierteren Fällen muss man vorstellig werden oder hinterlegt eine beglaubigte Fotokopie von Pass oder Identitätskarte.
In Zukunft möchte auch der Staat Behördenleistungen an Bürgerinnen und Bürger in die digitale Welt verlagern. E-Government aber funktioniert nicht ohne eine elektronische Identität (E-ID). Es erscheint auf den ersten Blick sinnvoll, dass es eine singuläre gesamtschweizerische E-ID geben müsste, die von einer Bundesbehörde ausgestellt wird. Im Herbst 2019 wurde das Bundesgesetz über die elektronische Identität vom Parlament verabschiedet. Sofort formierte sich Widerstand von verschiedenen Seiten. Ein Referendum gegen das E-ID-Gesetz ist zustande gekommen. Voraussichtlich in der zweiten Hälfte dieses Jahres dürfen Bürgerinnen und Bürger abstimmen. Nebst grundsätzlicher Ablehnung einer E-ID, ist die Zuständigkeit für die Vergabe der E-ID eine Hauptursache für das Referendum. Die Politik kam zu der Auffassung, dass angesichts des technischen Fortschritts und der Geschwindigkeit der technologischen Entwicklung, eine staatliche Lösung nicht mithalten könne. Deswegen seien für die technische Umsetzung Partnerschaften mit privaten Unternehmen anzustreben. Dies wäre auch für einen Wettbewerb um die beste Technologie förderlich. Die Rahmenbedingungen würden vom Staat geregelt. Die Umsetzung der Vergabe der E-ID soll unter Einhaltung staatlicher Vorgaben durch private Identitätsdienstleister erfolgen.
Bei der Gestaltung der E-ID Lösung geht der Gesetzgeber von einem rein zentralistischen Ansatz aus. Der Bund, welcher bereits über ein bestimmtes Set an Daten einer Person verfügt, würde diese an zertifizierte private Identitätsanbieter liefern. Dieses Vorgehen präjudiziert eine IT-Architektur, welche die Daten an einem zentralen Ort sammelt und von dort weitergibt, also eine klassische Registeranwendung. Solche Informationssysteme sind Informatikern vertraut und technisch gut realisierbar.
Es stellt sich aber die Frage, ob eine zentrale Instanz, welche das Gesamtsystem hierarchisch kontrolliert und steuert, überhaupt notwendig ist. Denkbar wäre nämlich auch, ein selbst organisierendes verteiltes System aufzusetzen. Selbstorganisierende Systeme funktionieren so, dass man Standards festlegt und eine minimale Infrastruktur bereitstellt. In diese können sich dann andere leistungsbringende Systeme dynamisch integrieren. Ein solches Konstrukt wäre flexibel konfigurierbar und würde sehr gut zur staatlich-behördlichen Struktur der Schweiz passen.
Hierzu sei ein Gedankenexperiment gestattet. Nehmen wir doch mal an, dass die Identitätskarte zusätzlich mit dem kantonalen Wappen versehen wird. Jeder Kanton hat eine Stelle, welche die Identitäten der Einwohner verwaltet und die Identitätskarten herausgibt. Grundlage dafür sind die Einwohnerregister. Der Bürger meldet sich in der Wohngemeinde an, wird im Einwohnerregister erfasst und gelangt über die Gemeindedaten zum Kanton. Die Passstelle ist kantonal. Das Datenmanagement ist föderalistisch, funktioniert von unten nach oben. Kantone sind bereits jetzt Identitätsdienstleister und würden sich auch als Identitätsprovider für die E-ID eignen. Wenn man sich vorstellt, dass die Identitätskarte durchaus auch die elektronische Identität transportieren könnte, dann erscheint ein solcher Gedanke naheliegend.
Im Vergleich zum Konstrukt mit einem Zentralregister ist ein solches verteiltes System allerdings komplexer. Es sind deutlich mehr Akteure beteiligt, und dies häufig in einer dynamischen Konfiguration. Es gibt mehrere Identitätsprovider, die mit unterschiedlichen technischen Systemen operieren. Identitäten müssten über System- und Organisationsgrenzen hinaus föderiert werden. Ausserdem wird ein Vermittler benötigt, der die Prozesse (Identifizierung, Authentifizierung, Autorisierung) zwischen dem Identitätsträger, dem Identitätsprovider und dem Leistungserbringer koordiniert. Kurz: Es braucht ein Konstrukt für die vermittlerbasierte Föderierung elektronischer Identitäten. Getreu dem Prinzip «structure follows process» ist zuerst die IAM-Geschäftsarchitektur zu entwerfen. Daraus leiten sich Standards für die beteiligten technischen Komponenten ab, und die Spielregeln für die Teilnehmer sind bestimmt. Das Gesamtsystem zu gestalten, ist eher eine organisatorische Herausforderung als eine technische. Der Vorteil eines solchen Systems ist, dass es sich flexibel auf die gesellschaftliche Situation anpassen lässt. Man bekommt so eine E-ID-Infrastruktur, welche sich an die Gegebenheiten in der Schweiz anpasst, eine vermittlerbasierte föderierte elektronische Identität.
Im Standard eCH-0107 sind die Gestaltungsprinzipien für die Identitäts- und Zugriffsverwaltung (IAM) beschrieben. In eCH-0219 „IAM Glossar“ werden die Begriffe definiert und erläutert. Weitere Standards beschreiben die technische Implementierung, sowie Qualitäts- und Reifegrad-Modelle. Eine solche, standardisierte Geschäftsarchitektur, ist für die erfolgreiche Implementierung der E-ID optimal, weil sie dem föderativen politischen System der Schweiz entspricht.