Die Rolle des Staates:
Bei der E-ID wird es Aufgabe des Staates sein, die Identität einer Person amtlich zu überprüfen und zu bestätigen. Er greift dabei auf die Angaben aus den Informationssystemen des Bundes zurück. Die beim Bundesamt für Polizei (fedpol) neu zu schaffende Identitätsstelle ist für die Erstidentifizierung zuständig und weist jedem Nutzer und jeder Nutzerin einer E-ID eine Registrierungsnummer zu. Die AHV-Nummer darf dafür nicht verwendet werden. Die Identifizierung läuft auch dann über das fedpol, wenn die Person bereits in einem anderen Verfahren identifiziert wurde, zum Beispiel von einer Bank.
Aufgaben und Kontrolle der Privatwirtschaft:
Die E-ID selber wird von privaten Anbietern herausgegeben, sogenannten Identity Providern (IdP). Angesichts des technologischen Wandels und der Vielfalt möglicher technischer Lösungen wäre der Bund nicht in der Lage, die Träger der Identitätsangaben selbst zu entwickeln und herzustellen, begründet der Bundesrat die Arbeitsteilung.
Der Bund unterzieht die Identity Provider und deren Systeme jedoch einem Anerkennungsverfahren und regelmässigen Kontrollen. Gemäss Bundesrat soll die Anerkennungsstelle dem Informatiksteuerungsorgan des Bundes (ISB) angegliedert werden. Dieses Zusammenspiel biete «optimale Voraussetzungen für den einfachen und benutzerfreundlichen Einsatz der E-ID durch Verwaltung, Private und Unternehmen», so die Botschaft.
Die Träger der E-ID:
Nicht festgelegt ist der Träger der E-ID. Denkbar sind gängige elektronische Identifizierungsmittel wie Mobiltelefone oder Smartcards, aber auch Lösungen mit Nutzername, Passwort und allenfalls weiteren Authentifizierungen. Die konkrete Lösung dürfte vom Sicherheitsbedürfnis der Anwender abhängen.
Drei Sicherheitsstufen:
Der Bundesrat schlägt drei Sicherheitsniveaus vor: niedrig, substanziell und hoch. Die Anforderungen dafür gelten als weltweiter Standard. Für das tiefste Schutzniveau werden mit der E-ID-Registernummer Name, Vorname und Geburtsdatum verbunden. Die Registrierung erfolgt online gestützt auf einen staatlichen Ausweis.
Bei der Stufe «substanziell» kommen Geschlecht, Geburtsort und Staatsangehörigkeit hinzu. Zudem ist eine persönliche Vorsprache oder eine Videoidentifikation nötig. Dieses Sicherheitsniveau verlangt mindestens eine 2-Faktor-Authentifizierung, wie sie heute für E-Banking-Lösungen üblich ist.
Nur für das Sicherheitsniveau «hoch» ist ein Gesichtsbild nötig. Zudem werden ein biometrisches Merkmal und die Echtheit des Ausweises geprüft. Mindestens ein Faktor der Zwei-Faktor-Authentifizierung muss biometrisch sein. Erwähnt sind Fingerabdruck-, Gesichts- oder Stimmenerkennung. Das Sicherheitsniveau «hoch» soll auch Schutz vor Cyberangriffen bieten.
Keine Pflicht zur E-ID:
Die Nutzung der E-ID ist freiwillig. Im E-Commerce können damit die Kundinnen und Kunden eindeutig identifiziert werden. Spirituosenhändler können eine verbindliche Altersprüfung durchführen. Die E-ID soll Zugang zum elektronischen Patientendossier gewähren. Im elektronischen Verkehr mit den Behörden ist der Einsatz der E-ID in allen Anwendungen denkbar.
Zweck der E-ID ist es, den sicheren elektronischen Geschäftsverkehr unter Privaten und mit Behörden zu fördern. Es handelt sich um ein Angebot, nicht um eine Pflicht. Daher soll die E-ID vorhandene Identifizierungssysteme auch nicht verdrängen. Diese würden allerdings keine staatliche Anerkennung geniessen.
Wirtschaft in den Startlöchern:
Heute sind bereits zahlreiche Identifizierungsangebote mit unterschiedlichen Schutzniveaus im Umlauf. Viele Webseiten verlangen eine Anmeldung mit Nutzername und Passwort. Verbreitet sind E-Banking-Lösungen oder Angebote wie Apple-ID, Google-ID, Mobile-ID, OpenID, SuisseID, SwissID oder SwissPass.
Ein Anbieter einer E-ID hat sich bereits in Position gebracht. Rund um die SwissID von Post und SBB hat sich ein Konsortium gebildet, das inzwischen 18 grosse Unternehmen umfasst. Dazu gehören Swisscom, Credit Suisse, Entris Banking, Raiffeisen, UBS, ZKB, Six Group und die Versicherungen Axa, Baloise, CSS, Helvetia, Mobiliar, SWICA, Swiss Life, Vaudoise und Zürich. Sie wollen eine E-ID anbieten, die für die Nutzer kostenlos ist. Finanziert werden soll diese durch Beiträge der Anbieter von Online-Dienstleistungen. Der Bund rechnet mit Kosten von rund neun Millionen Franken für den Aufbau seiner Systeme und mit 2,4 Millionen Franken pro Jahr für den Betrieb. (sda)