"AG, GR und LU dürften die SwissID ab dem 1. oder 2. Quartal einsetzen"

Wie hat sich SwissSign im ersten Jahr Ihrer Amtszeit entwickelt?

Markus Naef: Wir sind sehr gut gestartet. Die Anzahl digitaler Identitäten, die bei uns in Betrieb sind, liegt bei rund einer halben Million, und wir sind sehr zuversichtlich, dass wir unser Ziel von plus/minus 750 000 SwissIDs bis Ende des Jahres erreichen werden. Bei den Onlinedienstleistern trafen wir auf offene Ohren. Und wir erleben auch eine sehr gute Resonanz vor allem bei E-Government-Anbietern. Der Kanton Bern hatte ja für die Einführung einer E-ID eine Ausschreibung gemacht und gab SwissSign mit der SwissID den Zuschlag in Form einer freihändigen Vergabe. Mit den Kantonen Aargau, Graubünden und Luzern liegen unterschriebene Verträge vor. Mit weiteren Kantonen sind wir im Gespräch. Damit die SwissID flächendeckend in den Kantonen eingeführt werden kann, braucht es aber noch einige Anpassungen in deren IT-Systemen. Wir rechnen damit, dass diese Kantone ihre Onlineportale ab dem ersten oder zweiten Quartal 2019 mit der SwissID ausgestattet haben werden. Auch bei der Privatwirtschaft haben wir gute Fortschritte erzielt. So werden sich uns die SBB im ersten Quartal 2019 anschliessen. Zudem werden wir dann auch Baloîse, CSS, Mobiliar als sogenannte Relying Partys an die SwissID anbinden.

Und wie sieht es bei den Aktionären aus?

Auf Aktionärsseite sind wir seit dem letzten Digitaltag am 21. November 2017 bei 19 Konsortialpartnern angekommen. Staatsnahe Betriebe, Banken und Versicherungen sind Aktionäre von SwissSign. Auch freut mich in diesem Zusammenhang sehr, dass wir unseren Footprint mit der Vaudoise Versicherung und der Banque Cantonale de Genève auch auf die Westschweiz ausdehnen konnten. Ich bin zufrieden, dass wir unsere Meilensteine 2018 erreicht haben, beziehungsweise dabei sind, diese bis Jahresende zu erreichen. Ausser dem Wachstum konnten wir aber auch auf der technischen Seite vorwärtsmachen. So wird die SwissID um die SwissID-App und die geprüfte Identitätsaktivierung am Postschalter ergänzt. Bis Ende des Jahres werden wir auch noch den Signaturservice sowie die Mobile-ID für einen weiteren zweiten Faktor für die sichere Authentifizierung einführen.

Wie hat sich die neue Organisation etabliert?

Es gibt eine innere Organisation mit unseren eigenen Mitarbeitenden und eine äussere Organisation mit unseren Konsortialpartnern. Bei der inneren Organisation ist es so, dass wir sehr stark gewachsen sind und immer noch wachsen. Wir sind heute bei rund 74 Mitarbeitenden angelangt und ich glaube, dass wir so bei 90 landen werden. Das bedeutet, dass wir immer noch an unseren Prozessen feilen und auch die Rollen und Verantwortlichkeiten noch genauer definieren müssen. Wir sind immer noch im Start-up-Modus unterwegs und die Organisation entwickelt sich dynamisch. Alles in allem bin ich aber zufrieden und freue mich, mit dem Team die Digitalisierung der Schweiz prägen zu können. Die Zusammenarbeit mit den Konsortialpartnern läuft auch sehr gut. Wir binden sie strukturiert in alle nötigen Informationsflüsse ein und versuchen auch gemeinsam mit ihnen, Leverage-Effekte zu nutzen, etwa in der Kommunikation, oder fragen sie an, wenn wir Unterstützung in technischen Fragen, eine Zweitmeinung etc. benötigen. Der Tower ist aber hier bei SwissSign in Glattbrugg, hier treffen wir die operationellen Entscheidungen.

Sie haben es geschafft, eine eindrückliche Partnerlandschaft rund um SwissSign zu etablieren. Wie ist Ihnen das gelungen?

Wir haben natürlich offene Türen vorgefunden und SwissSign hat auch viele "Göttis". Zudem war das Momentum, im Zusammenhang mit der ganzen Digitalisierungswelle, auf unserer Seite. Und es hatten sich auch gewisse Protagonisten überlegt, selbst eine E-ID zu kreieren. Viele haben sich dann uns angeschlossen. Und so ergab das eine das andere und plötzlich waren wir viele, die dasselbe wollten. Wünschen würden wir uns noch mehr Konsor­tialpartner aus der Westschweiz, mit der Genfer Kantonalbank und der Vaudoise Versicherung haben wir zwei namhafte Partner in der Romandie – doch die Akzeptanz und auch Verbreitung in der Romandie wäre sicher besser, wenn sich uns noch ein oder zwei Partner aus der Romandie anschliessen würden.

Wie weit sind Sie mit der Migration der Post und den SBB mit Ihren total rund 4 Millionen E-IDs?

Mit der Post sind wir voll auf Kurs. Die SBB werden mit der Migra­tion im ersten Quartal 2019 starten.

Wie sicher ist die SwissID von SwissSign eigentlich und was tun Sie dafür, dass sie auch sicher bleibt?

Wir tun sehr viel für die Sicherheit, denn unser Geschäft basiert auf dem Vertrauen unserer Partner und Kunden, dass die SwissID sicher ist. So trennen wir etwa die Nutzungsdaten von den Identitätsdaten. Das heisst, es sind keine Rückschlüsse von der Nutzung auf die Identität der Nutzer oder umgekehrt möglich. Diese "doppelte Blindheit" ist eine strukturelle Sicherheitsmassnahme. Wir sind, da wir ja die alte Suisse-ID schon zehn Jahre betrieben haben, auch zertifiziert als Trust-Service-Provider des Bundes. Das heisst, wir erfüllen sehr hohe Sicherheitsanforderungen, denn diese Zertifizierung erhält man nicht einfach so. Zusätzlich machen wir regelmäs­sig Tests und Audits mit spezialisierten Unternehmen, die unsere Sicherheitsmassnahmen überprüfen. Zudem gibt es ein Awareness-Programm für die Mitarbeitenden, um sie in Cyber-Security zu schulen.

Wie steht SwissSign heute zur Blockchain? Vor einem Jahr war Ihre Haltung ja noch eher abwartend.

Es gibt eine enorme Dynamik im Identity-Markt mit neuen Technologien und Start-ups. Ich glaube auch, dass wir die Systeme, die wir heute haben, in Zukunft überdenken müssen. Deshalb beobachten wir die Entwicklung genau. Das gilt auch für die Blockchain. Allerdings sehen wir auch, dass die Technologie momentan noch nicht so weit ist, dass wir sie in der Breite für unsere Zwecke einsetzen könnten. Die Lösungen, die wir angeschaut haben, skalieren heute nicht oder sind von der User Experience her in puncto Latenzzeit derzeit ungenügend. Und auch auf Seite der Relying Partys wären Investitionen in die IT-Infrastruktur mit speziellen Adaptern nötig, die diese zurzeit nicht tätigen wollen. Ich möchte aber anfügen, dass ich überzeugt bin, dass diese "Kinderkrankheiten" sicher "geheilt" werden; es ist an uns, die sicherste Technologie zu evaluieren, die sowohl auf Seite User als auch Onlinedienst breite Akzeptanz findet. Wir möchten als SwissSign auch nicht unseren Ruf mit einem Technologie-Experiment aufs Spiel setzen. Wir müssen hier nicht First Mover sein, sondern wir setzen auf eine State-of-the-art-Technologie. Wir haben in der Schweiz eine einmalige Chance im doppelten Sinn. Einmalig, weil wir das, was wir tun, von Anfang an richtig machen müssen, denn dafür gibt es keine zweite Chance. Und einmalig, weil wir die einmalige Möglichkeit haben, die erste flächendeckende und breit abgestützte E-ID für die Schweiz erfolgreich zu etablieren.

Was sind die nächsten Schritte für SwissSign?

Wir werden sicher noch ein bis zwei Jahre mit dem Aufbau des Marktes beschäftigt sein. In dieser Zeit wird eine zentrale Aufgabe für uns sein, dass wir das Wachstum – auch technisch – bewältigen können. Wir werden also unsere IT-Infrastruktur noch ausbauen und prüfen in diesem Zusammenhang auch, wie uns die Containertechnologie Openshift dabei helfen könnte. Mit der wachsenden Anzahl an Dienstleistungen, an Partnern und Identity Owners brauchen wir Systeme, die diese Last bewältigen können. Es ist auch nicht auszuschliessen, dass wir mittelfristig einen Technologiewechsel vornehmen müssen. Wichtig ist in den kommenden zwei Jahren auch eine gewisse Lobby-Arbeit rund um das neue E-ID-Gesetz. Wir wollen, dass es möglichst rasch verabschiedet wird, damit wir Rechtssicherheit haben und wissen, wie genau wir die E-ID gesetzeskonform umsetzen müssen.