Die E-ID ist da und was Unternehmen sowie Verwaltungen nun tun können

Die Schweiz erhält eine staatlich anerkannte E-ID. Für viele klingt das nach einem simplen «Login für alles» und genau hier beginnt die strategische Falle. Wer die E-ID wie ein neues Passwort behandelt, baut die nächste Generation digitaler Sackgassen: teure Punkt-zu-Punkt-Integrationen, inkonsistente Sicherheitsniveaus, komplizierte Support- und Recovery-Prozesse sowie neue Abhängigkeiten zwischen Portalen, Fachapplikationen und Registern.

Die E-ID ist keine neue Login-Maske. Sie ist ein Vertrauens­anker. Richtig eingesetzt, beschleunigt sie digitale Verwaltungsleistungen, reduziert Betrug, stärkt Rechtsverbindlichkeit und schafft eine Basis für durchgängige Prozesse. Falsch eingesetzt, erhöht sie die Komplexität und verschiebt Risiken dorthin, wo Sicherheit in der Praxis am häufigsten scheitert: in Governance, Recovery und Betrieb. Was müssen Unternehmen und Verwaltungen jetzt konkret tun?
 

Begriffe trennen – sonst wird jede Architektur schief

In der Debatte werden drei Ebenen vermischt, mit teils gravierenden Folgen:

• Identifizierung (Identification): Wer bist du? Hier spielt die E-ID ihre Stärke aus: hoher Vertrauenslevel für Identität und Attribute (z. B. Wohnsitz, Alter, Berechtigungen), ideal für Onboarding, Mutationen und rechtsrelevante Vorgänge.
• Authentisierung (Authentication): Bist du es wirklich? Das ist die Domäne von Passkeys, Hardware-Token, MFA und ­risikobasierten Verfahren.
• Autorisierung (Authorization): Was darfst du? Rollen, Attribute, Policies, Zuständigkeiten, Delegationen, «Need to know».

Wer diese Ebenen sauber trennt, gewinnt: geringere Angriffsfläche, weniger Lock-in, bessere User Experience und klare Verantwortlichkeiten. Wer sie vermischt, verliert Zeit, Geld und Vertrauen.
 

Was die E-ID nicht ist – und warum das ­entscheidend ist

Die E-ID wird Erwartungen wecken: «Endlich ein digitaler Schlüssel für alles!» IT- und Digitalverantwortliche sollten hier bewusst gegensteuern.

Die E-ID ist kein Universal-SSO für jede Fachapplikation. Sie ersetzt auch kein professionelles Identity & Access Management (IAM). Sie liefert vor allem zwei Fähigkeiten:

• hochwertige Identitätsfeststellung (Proofing),
• standardisierbaren Attributnachweis.

Das ist enorm wertvoll, aber eben dort, wo Identität und Rechte rechtlich relevant sind. Session-Management, App-Login, Gerätebindung, fein granulare Zugriffssteuerung und Privileged Access bleiben Aufgaben einer modernen IAM-Architektur.

Der skeptische Blick lohnt sich: Eine E-ID, die als «Login für alles» in jede App einzeln eingebaut wird, erzeugt eine fragile Monokultur. Und sie verschiebt das Risiko in Support und Recovery. Genau dort entstehen in der Realität viele Identitätsvorfälle.
 

Passkeys: Sicherheitsgewinn mit Bedingungen

Parallel zur E-ID setzt sich eine zweite Entwicklung durch: Passkeys (FIDO2/WebAuthn). Passkeys ersetzen Passwörter durch kryptografische Schlüsselpaare und sind damit ein echter Schritt in Richtung phishing-resistente Authentisierung:

• phishingsicher «by design» (keine Codes, die man abfangen kann)
• keine Passwortdatenbanken als Jackpot für Angreifer
• hohe Benutzerfreundlichkeit (Biometrie/PIN am Gerät)
   

Aber: Passkeys sind nicht automatisch «magisch sicher». Es gibt zwei relevante Ausprägungen:

• Device-bound Passkeys: sehr stark, aber die Recovery ist ­anspruchsvoller.
• Synced Passkeys: UX hervorragend, aber Vertrauen verlagert sich auf den Plattform-Account und dessen Recovery.

Für Behörden und regulierte Branchen lautet die entscheidende Frage deshalb nicht «Passkeys ja oder nein?», sondern: Wie sieht ein belastbarer Recovery-Prozess aus, der Helpdesk-Social-Engineering übersteht? Ohne diese Antwort bleibt jede «Passkey-first»-Strategie halbfertig.
 

Sicherheit scheitert selten am Kryptoverfahren – sondern an Prozessen

Die meisten erfolgreichen Angriffe auf digitale Identitäten laufen nicht über «Krypto knacken», sondern über:

• missbrauchtes Account-Recovery (Support anrufen, ­Identität vortäuschen)
• MFA-Fatigue / Push-Bombing («Bitte kurz bestätigen …»)
• SIM-Swap (bei SMS-OTP)
• Session Hijacking (Token-Diebstahl)
• Fehlkonfiguration (zu breite Rollen/Policies)
• Schatten-IT (Exports, Kopien, Umgehungslösungen)

Wer die E-ID und Passkeys einführt, ohne Rollenmodelle, Governance und Betriebsprozesse mitzunehmen, erhöht das Risiko, trotz moderner Technologie.
 

Was Unternehmen jetzt tun sollten

Auch Unternehmen sowie staatsnahe Betriebe sollten die E-ID nicht als «Behördenthema» abtun.

• B2B/B2C-Use Cases identifizieren: betrugsanfälliges Onboarding, Alters-/Wohnsitznachweise, stark regulierte Prozesse, Delegationen (KMU/Treuhand/HR).
• Passkeys als Standard einführen: sonst bleibt das Passwort das grösste Einfallstor, trotz SIEM/EDR/DLP.
• Identity Debt abbauen: mehrere IdPs, gewachsene Rollenmodelle, APIs ohne Token-Strategie, externe Partnerzugänge ohne Lifecycle.
• Recht/Datenschutz/Security/Produkt gemeinsam steuern: digitale Identität ist Kundenerlebnis und Compliance zugleich.
   

Jetzt braucht es nüchterne Umsetzung statt E-ID-Romantik

Die E-ID wird kommen. Passkeys werden sich durchsetzen. Die entscheidende Frage ist, wie gut Unternehmen, staatsnahe Betriebe und Verwaltungen die Bausteine orchestrieren: E-ID als Vertrauensanker für Identifikation und Step-up, Passkeys als Standard-Login, IAM/Zero-Trust als Governance- und Betriebsmodell.

Wer jetzt strukturiert handelt, modernisiert Prozesse rechtssicher und bürgernah, senkt Risiken messbar und stärkt digitale Souveränität praktisch und eben nicht nur rhetorisch.
 

Sieben Prioritäten für Verwaltungen in den nächsten zwölf Monaten
 

1. Identity-Zielbild definieren – bevor die Integrationswelle startet. Die E-ID wird Projekte auslösen. Gefahr: Jede Direktion baut «ihr» Portal-Login. Ergebnis: Login-Silos, Mehrfachkonten, unklare Zuständigkeiten. Lösung: föderiertes IAM (OIDC/SAML) mit Rollen, Delegationen, Audit-Logging.
    
2. E-ID als Proofing und Step-up positionieren, nicht als Allzweck-Login. Typische Use Cases: Bürgerkonto, Mutationen (Adresse, Zivilstand, Bewilligungen), rechtsverbindliche Anträge/Verfügungen, Vollmachten. Entscheidend ist eine Step-up-Matrix: Wann reicht Passkey? Wann braucht es E-ID? Wann zusätzlich eine stärkere Verwaltungsrolle?
    
3. Passkey-first planen inklusive Recovery, Support und Ausnahmen. Passkeys sollten Standard werden, aber nur mit «helpdesk-resilient» Recovery, klaren Ausnahmen (Geräteverlust, Barrierefreiheit) sowie Fraud-Signalen (Rate-Limits, Risk Scoring).
    
4. Privileged Access (PAM) konsequent härten. Der «Crown-Jewel»-Pfad sind Admin-Accounts. Mindestset: getrennte Admin-Identitäten, Hardware-Key/Smartcard, Just-in-Time/Just-Enough-Access, lückenloses Logging und ­Alarmierung.
    
5. Attribut- und Registerflüsse sauber modellieren. E-ID stiftet nur dann Wert, wenn klar ist: Wer ist Issuer/Verifier? Welche Attribute sind minimal nötig? Wie wird unnötige Verknüpfbarkeit verhindert? Wie wird protokolliert, ohne zu überprotokollieren?
    
6. Pilotieren, aber messbar. Ein Pilot ohne Messung ist Marketing. Sinnvolle Kennzahlen: Anteil passwortloser Logins, Phishing-Inzidenz davor/danach, Support-Tickets pro 1000 Nutzer, Time-to-Recover, Fraud-Rate bei sensiblen Transaktionen.
    
7. Governance etablieren: Identität ist Chefsache. IAM betrifft Recht, Datenschutz, Organisation und Kommunika­tion. Zuständigkeiten für Schutzbedarfsstufen, Step-up-Regeln, Delegationsmodelle, Lifecycle, Logging/Aufbewahrung müssen verbindlich sein – sonst werden Entscheidungen projektweise getroffen und später teuer korrigiert.