Digitaler Ausweis

So lässt sich das Smartphone zur elektronischen Identitätsprüfung einsetzen

Uhr
von Pascal Müller, Lorena Wehner, Katinka Weissenfeld, BFH

Das Bedürfnis nach einer digitalen Ausweismöglichkeit wächst. Die elektronische Identität (eID) ist in der Schweiz durch das eID-Gesetz geregelt und sieht beispielsweise eine Aufgabenteilung zwischen Staat und Behörden vor. Es stellt sich deshalb die Frage, inwiefern ein mobiles Gerät die Identitätsprüfung unterstützen kann, unabhängig davon, ob man einen Service tatsächlich via Smartphone nutzt oder das Gerät nur für die Identifizierung und Authentifizierung eingesetzt wird.

(Source: johan63 / iStock.com)
(Source: johan63 / iStock.com)

Während die Herausforderungen hinsichtlich Sicherheit und Datenschutz im Zeitalter von Big Data zunehmend grösser werden, wird der Bedarf nach einer Identitätslösung mit hoher Benutzerfreundlichkeit immer wichtiger. Auf europäischer Ebene wird die Etablierung eines digitalen Binnenmarktes vorangetrieben. Die Schweiz hat ihrerseits die Strategie "Digitale Schweiz" verabschiedet. Beide Entwicklungen setzen die Realisierung einer vertrauenswürdigen elektronischen Identität voraus, um Unternehmen und Personen für elektronische Transaktionen mit Behörden zu authentifizieren. Die erfolgreiche Implementierung und die damit einhergehende Akzeptanz von elektronischen Identitätslösungen hängt jedoch sehr stark davon ab, wie benutzerfreundlich und einfach eine solche Lösung wahrgenommen wird.

Die elektronische Identität beschäftigt auch Bundespräsident Ueli Maurer. Wie er die Digitalisierung der Bundesverwaltung anpacken will, erfahren Sie hier im Interview.

Identifikation mit dem Smartphone

Einer Identitätslösung, der eine hohe Benutzerfreundlichkeit zugesprochen wird, ist die Identifikation über mobile Geräte wie dem Smartphone. Die Sicherheits- und Datenschutzaspekte für solche mobilen Identitätslösungen sind jedoch für die Schweiz noch nicht abschliessend geklärt. Besonders bei Transaktionen mit sensiblen Daten sind Mobile-Identity-Lösungen bis jetzt in der Schweiz wenig verbreitet. Ebenso finden Mobile–Identity-Lösungen bei E-Government-Services nur selten Anwendung. Generell sind die Anforderungen, die Bürgerinnen und Bürger an E-Government-Services stellen, sehr hoch. Zum einen muss der Schutz der Privatsphäre gewährleistet sein, zum anderen sollen die Dienstleistungen geräteunabhängig rund um die Uhr genutzt werden können. Das Beziehen von Dienstleistungen sowie das Abwickeln von Transaktionen via Smartphone oder Tablet sind heutzutage für viele Bürgerinnen und Bürger alltäglich.

Die in der Schweiz existierende Mobile-Identity-Lösung "MobileID" wird durch Swisscom, Salt und Sunrise betrieben und verwendet bei der Nutzung im Gegensatz zur elektronischen Identität (eID) nicht nur das Internet, sondern auch das Funknetz der drei Unternehmen. Um die MobileID in der Schweiz zu erhalten, sind die Beschaffung einer PKI-fähigen SIM-Karte und der Besitz eines Smartphones notwendig. Weitere mögliche und im Ausland existierende Formen der mID sind Chip- (Schweden) und Blockchain-basierte (Slowenien und Kanada) mIDs.

Die MobileID findet in der Schweiz nur vereinzelt Anwendung (Beispiel PostFinance), für E-Government-Services stellt sich jedoch die Frage, bei welchen Dienstleistungen und in welcher Form das mobile Gerät die Identitätsprüfung unterstützen kann und soll.

Im Ausland bereits verbreitet

Ein Blick in die Verwaltung im Ausland zeigt, dass elektronische Identitätslösungen über Chipkarten und USB-Sticks hinausgehen und durchaus erfolgreiche Integrationen mit Smartphones existieren.

Die folgenden Lösungselemente findet man bei den bisherigen auf dem Markt existierenden Mobile-Identity-Lösungen:

  • Föderierte Identität: Eine Mobile ID (mID) ist in der Lage, in verschiedenen IT-Systemen und Webseiten eingesetzt zu werden.

  • Zwei-Faktor-Authentifizierung: Ein mobiles Gerät wie ein Smartphone kann als zweiter Faktor für die Authentifizierung verwendet werden. Dieser zweite Faktor kann entweder aus Wissen, Besitz oder Merkmalen bestehen. Bezogen auf mobile Geräte bedeutet dies, dass der Besitz einer SIM-Karte und/oder eines Smartphones ein zweiter Faktor repräsentiert.

  • Mobile digitale Signatur: SIM-Karten sind in der Lage, kryptografische Operationen zu nutzen. Hierbei wird eine Wireless Public Key Infrastructure (WPKI) aufgebaut, durch die der Nutzer ein digitales Zertifikat via SIM-Karte erhält, welches er dann mehrfach und bei unterschiedlichen Webseiten nutzen kann. Auch besteht hierbei die Möglichkeit, eine digitale Signatur rechtlich mit einer physischen Unterschrift gleichzustellen.

In Finnland gibt es über 300 Dienstleistungen, bei denen die sogenannte mID Anwendung findet. Im Bereich von Sozialversicherungen, im Gesundheitswesen, aber auch als staatlich anerkannte Signatur wird die mID in Finnland intensiv genutzt. Gemäss dem Finnischen Recht werden mobile Signaturen den physischen Signaturen rechtlich gleichgestellt.

Ablauf der mID-Nutzung in Moldawien (Quelle: Moldawische Regierung, 2014)

In Moldawien ist seit 2012 bereits eine mID-Lösung im Einsatz. Die Registrierung erfolgt innerhalb von 15 Minuten und die Lösung basiert auf einer starken Authentifizierung. Besonders im Business-to-Government-Bereich wird die mID eingesetzt, aber auch in Bereichen der Steuererklärungen und der Sozialversicherungen. Rund ein Viertel der Sozialversicherungsformulare werden beispielsweise in Moldawien durch mID überprüft.

Identifikation via SIM-Karte

Auch in Estland basiert die mID auf der SIM-Karte. Das Zertifikat ist immer drei Jahre gültig und muss danach ausgetauscht werden. Die elektronische Signatur und die mobile Authentifikation basieren auf PKI-SIM-Karten. Fast alle Online-Dienstleister im öffentlichen und privaten Bereich in Estland akzeptieren die mID als Lösung für die Identifizierung und Authentifizierung. So findet die mID nahezu flächendeckend in Estland Anwendung, das heisst beispielsweise bei Fahrzeuganmeldungen, Führerausweisanmeldung, im Gesundheitswesen, im Sozialversicherungsbereich, als staatlich anerkannte Signatur, bei der Steuererklärung, bei Unternehmensanmeldung und bei Wahlen.

Diese genannten Beispiele zu Mobile-Identity-Lösungen werden fast alle auf Basis von PKI-fähigen SIM-Karten umgesetzt. Die Mobile-Identity-Lösungen haben sich aber nur dank Pionierleistungen und gewissen Misserfolgen schrittweise zu einer tauglichen Lösung entwickelt. Auffällig ist, dass in den untersuchten Ländern analog zur Schweiz jeweils nur eine einzige Mobile-Identity-Lösung existiert. Der Erfolgsfaktor ist dabei immer die landesweite Zusammenarbeit zwischen den Behörden und Telekommunikationsunternehmen. Zudem sind die Unterstützung der Privatwirtschaft und eine hohe Anzahl an nutzbaren Dienstleistungen aus dem öffentlichen und privaten Sektor entscheidend.

Moldawien schafft smarte Anwendungen ohne eID

In der Schweiz gibt es bislang nur eine geringe Anzahl an Business Cases, weshalb eine Mobile-Identity-Lösung aktuell nur wenig Mehrwert für eine Identifizierung und Authentifizierung mit einer mobilen Identitätslösung bieten. Die ausländischen Beispiele zeigen allerdings auch, dass der Einsatz beispielsweise bei der Fahrzeug- und Führerausweisanmeldung nicht komplex ist und gleichzeitig einen sehr grossen Mehrwert für die Benutzerfreundlichkeit bietet. Länder wie Estland zeigen auf, was mit einer Mobile Identity-Lösung potentiell alles möglich wäre, indem die mID in fast allen Bereichen zum Einsatz kommt. Moldawien demonstriert zudem, dass gar keine eID benötigt wird, wenn die Mobile-Identity-Lösung durch alle Stakeholder unterstützt wird.

Werden die Erfolgsfaktoren der führenden Länder auf die Schweiz extrapoliert, lässt sich festhalten, dass die Zusammenarbeit aller Telekommunikationsunternehmen bereits erfolgt und daher eine gute Basis gelegt ist. Die Telekommunikationsunternehmen sind staatlich geprüfte Identity Providers (IdPs), die bereits heute bei Bürgerinnen und Bürgern Identitätsprüfungen bei der Beschaffung einer gewöhnlichen SIM-Karte durchführen. Da der Erfolg einer Mobile-Identity-Lösung jedoch von der Anzahl nutzbarer Dienstleistungen im privaten und öffentlichen Sektor abhängig ist, scheint der Föderalismus besonders ein Hindernis bezüglich Interoperabilität im öffentlichen Sektor zu sein, wobei dieser Nachteil auch für die eID gilt. Kantone müssten Dienstleistungen im Zusammenhang mit der Implementierung der MobileID-Nutzung harmonisieren, um von den positiven Synergieeffekten profitieren zu können.

Dieser Artikel ist zuerst erschienen auf SocietyByte, dem Wissenschaftsmagazin des BFH-Zentrums Digital Society.

Webcode
DPF8_136723

Kommentare

« Mehr