#Agile
Thomas Verasani
Favicon: Kompassnadel in turbulenten Zeiten

Erkenntnis ist der erste Schritt zur Besserung

Natürlich heisst es im Original: «Einsicht ist der erste Schritt zur Besserung». Aber genau diese Einsicht reicht in der heutigen Zeit nicht aus. Betrachten wir die «Erkenntnis» wie einen Prozess, so ist das Prozessresultat Wissen, welches aus Einsicht und Erfahrung gewonnen wird. Erfahrung muss man sammeln, da führt kein Weg daran vorbei. Es gibt allerdings eine gewissen Anzahl an «Einsichten», die man zumindest kennen und verstehen sollte.

Erkenntnis: wird laufend aus Einsicht und Erfahrung gewonnen

Diese Einsichten alleine nützen Ihnen erst mal wenig; betrachten wir diese allerdings im Kontext der Digitalisierung oder der Industrialisierung 4.0 in Kombination mit politischen Entscheidungen, dann wären Sie gut beraten, wenn Sie diese Einsichten kennen und sich daran orientieren würden. So würden Sie auch ohne Programmierkenntnisse die Einsichten der Vordenker nachvollziehen können. Diskussionen im Kontext zu e-Voting, Billag, Bildung, Überwachung, Netzneutralität, Geosperren oder Netzsperren wären so viel interessanter zu führen, wenn die Befürworter solcher Instrumente nur halbwegs bewaffnet an die Diskussionen erscheinen würden. Die Lösungen auf die Probleme im aktuellen Zeitalter könnten nachhaltiger gefunden werden.

X.509 (als soziale Bewegung)

  • Publikationsjahr: 1988 (im Jahr 2019 seit 31 Jahren)
  • Autor: Network Working Group
  • Infos: RFC 5280 (Stand: Mai 2008 – Version 3)

Lage der Nation

  • Mit der SuisseID gibt es in der Schweiz eine private Lösungen seit dem Jahr 2010.
  • Eine staatliche e-ID wurde für die Jahre 2011, 2016 und neu für 2021 angekündigt.

Die Technologie für eine e-ID ist seit 31 Jahren verfügbar. Eine e-ID wäre im Jahr 1994 zeitgemäss gewesen.

Kerninhalt

Die Technologie ist aktuell in der Version 3 verfügbar. Sie bietet die Möglichkeit, elektronische Identifikationen zur Verfügung zu stellen und z.B. eine Identitätskarte elektronisch darzustellen.

Die Struktur erlaubt es, sämtliche Felder einer Identitätskarte als Zertifikat zu hinterlegen und damit fälschungssicher abzubilden:

Beispiel: Felder für die e-IDSo sind z.b. folgende Felder vorgesehen:

  1. Seriennummer
  2. Algorithmen-ID
  3. Aussteller
  4. Gültigkeit von / bis
  5.  Zertifikatinhaber
  6. etc.

Warum eine e-ID staatlich sein muss

Der Markt in Europa ist sehr unübersichtlich. Dies mag auch ein Grund sein, warum sich die e-ID bisher nicht durchsetzen konnte: Es gibt Länder mit staatlichen Lösungen, Ländern mit privaten Lösungen und Länder, die beide Lösungen unterstützen.

Selbst, wenn Sie in einem Land leben, in welchem eine e-ID angeboten wird, kann es sein, dass Sie aus einer Vielzahl von Lösungen auswählen müssen: In der Schweiz ist das System mit SuisseID und SwissID in jeweils den Ausprägungen Privat und Business und teilweise in weiteren Unterausprägungen wie Gold oder Silber sehr unübersichtlich. Als wäre das nicht bereits kompliziert genug, bieten private Anbieter Lösungen an die sich SwissPass oder ähnlich nennen. Kantone wie Zug (eID Zug) oder Schaffhausen (Schaffhauser eID+) erhöhen die Komplexität für den Endkunden.

Eine e-ID sollte eine hoheitliche Aufgabe sein: Der Bund stattet die Identitätskarte und/oder den Pass mit einer e-ID aus. Nur mit einer e-ID des Bundes kann die Berechtigung in allen Lebenslagen (Banking, e-Government etc) durchgesetzt werden. Da der Staat bereits über das Monopol für die Ausgabe der Identitätskarte und des Passes verfügt, wäre es naheliegend, eine e-ID auf den bereits vorhandenen Elementen zu integrieren. Ausserdem kann nur ein Staat eine langfristige Verfügbarkeit dieser Erweiterung garantieren. Eine staatliche Lösung geniesst einen höheren Bekanntheits- und Verbreitungsgrad und kann von staatlichen Behörden vorbehaltlos empfohlen werden.

Eine e-ID ist eine Basistechnologie für die Gesellschaft, dank der sich die Firmen weiter entwickeln können.

Anforderungen an eine staatliche e-ID

Folgende kurz beschriebenen Anforderungen muss eine staatliche e-ID erfüllen:

  • Identifikation: Darunter versteht man die verifizierte Bereitstellung und Übergabe aller anwendungsbezogen erforderlichen Merkmale wie Name, E-Mail-Adresse an Drittanbietern. Dies zum Zweck der Identifkation.
  • Authentifikation: Darunter versteht man im allgemeinen, dass eine technische Lösung bereit gestellt wird, um sicher zu stellen, ob ein Benutzer für einen bestimmten Dienst legitimiert ist. Dies könnte auch für Leistungen im Namen einer Firma der Fall sein; als Mitarbeiter.
  • Datenübergabe: Für einige Dienste muss es möglich sein, personenbezogene Daten kontrolliert an Dritte zu übergeben.
  • Daten-Tracking: Stark vereinfacht geht es hier um eine Anmeldeeinstellungen, welche die Verfolgung des Benutzers z.B. mittels Cookies ermöglicht oder unterbindet.
  • QES: (qualifizierte elektronische Signatur), welche elektronische Unterschriften sowohl für E-Mail wie auch zum Unterschreiben von Dokumenten (z.B. via Standardsoftware, z.B. von Adobe) zulässt.

Diese Lösung muss möglichst ohne Zusatzsoftware auskommen. Das bedeutet: Die Staaten müssen sich bei den Technologie-Anbietern als solche anmelden. Die grösste Hürde für diese Anmeldung liegt wohl in den Köpfen: Ein Staat muss sich quasi den Regeln der Technologie beugen.

Ausserdem muss eine e-ID mindestens eine Gültigkeit aufweisen, die einer Identitätskarte oder einem Pass entspricht: 10 Jahre.

Wer denkt, die Anforderungen zu einer e-ID seien etwas übertrieben: Hätte man – wie anfangs Artikel erwähnt – 1994 eine staatliche e-ID initiiert, wäre der Anpassungsaufwand pro Zyklus viel kleiner; die Einstiegshürde wäre gering gewesen. Heute – rund 25 Jahre später – ist die Einstiegshürde verständlicherweise viel grösser.

Missbrauch der Identitätskarte

Eine Kopie der Identitätskarte zur Identifikation für digitale Geschäfte ist nicht zeitgemäss. Die Missbrauchsfälle von manipulierten Kopien häufen sich und können in der Presse nachgelesen werden. Selbst Banken sind davon betroffen. Der Schaden, der dadurch angerichtet wird, ist nicht bezifferbar. Es kann sein, dass selbst Banken ihre Kunden erneut identifizieren müssen; nicht das erste Mal in der Geschichte.

Verifizierte Passkopien sind heute so aufwändig, dass man genau so gut selber in die Filiale laufen kann um sein Gesicht und den Pass zu zeigen. Das ist in einer digitalisierten Gesellschaft schlicht nicht mehr zeitgemäss.

Einfluss der Bewegung aus gesellschaftlicher Sicht

Je früher sich die Gesellschaft mit einer Technologie vertraut macht, desto selbstverständlicher wird die Nutzung dieser Technologie. Verschlüsselte Kommunikation (z.B. für E-Mail) ist auch 31 Jahre nach Einführung der X.509-Technologie keine Selbstverständlichkeit, obwohl sich jeder selber Zertifikate ausstellen lassen könnte (ohne staatliche Unterstützung und Identifikation).

Ohne die Möglichkeit zur gesicherten, verifizierten Kommunikation verpassen wir den Anschluss an den Fortschritt. Als Basistechnologie ist eine digitale Zukunft ohne brauchbare staatliche e-ID undenkbar. Eine e-ID (und damit auch die Technologie X.509) ist von grösserer Bedeutung als e-Governance, e-Health, e-Grundbuchamt oder e-Voting, da ohne diese Basistechnologie nicht wirklich gute Lösungen entwickelt werden können. Die Verbindlichkeit für kritische Geschäfte ist absolut elementar für eine digitale Zukunft. Ein Austausch oder Zeitungs-Kommentar ist so viel wertvoller, wenn er nicht von russischen Trollen geschrieben wird, sondern von echten Menschen mit echten Meinungen.

Einfluss der Bewegung aus politischer Sicht

Basistechnologien wie die staatliche e-ID sind bei vielen Politikern nicht wirklich auf dem Radar. Es ist leider so, dass man mit «vorwärtstreiben einer Basistechnologie» nicht wirklich einen Kranz gewinnen kann. Das Verschlafen einer solchen Basistechnologie ist in Ländern, die über kaum verfügbares Breitband-Internet bzw. einer Netzabdeckung für Mobiltelefonie von knapp 60% (oder kleiner) verfügen – schlicht nicht relevant. Internet scheint noch nicht wirklich angekommen zu sein.

Einfluss dieser Philosophie auf die politischen Themen der Schweiz

Technologisch ist die Schweiz weiter als der Durchschnitt von Europa. Wir verfügen über Breitband-Internet, Glasfaser ist im Aufbau und man hält sich an den Plan bezüglich dem weiteren Ausbau. An 5G-Technologien wird ebenfalls gearbeitet. Die flächendeckende Versorgung von 95% für Mobiltelefonie lässt sich zeigen.

Allerdings tut man sich schwer bei der e-ID. Projektverschiebungen von ursprünglich per 2011 geplanten Projekten ins Jahr 2021 zeigen, dass kein Gewicht auf dieses Thema gelegt wird. Wäre es wichtig, gäbe es eine Roadmap, die z.B. die e-ID schrittweise aufbaut und ausbaut und wir hätten erste echte Resultate. Alle 5 Jahre ein Technologie-Sprung wäre wohl nicht zu viel verlangt. Man könnte ja mal mit Identifikation und Signatur anfangen; um überhaupt etwas zu haben. Stattdessen hofft man auf Private, dass diese etwas brauchbares liefern. Leider sind die Interessen der privaten/staatlichen Betriebe nicht wirklich deckungsgleich mit den staatlichen Interessen.

Die Politik in der Schweiz verhält sich sehr widersprüchlich zum Thema e-ID: So wurden Gesetze zur Überwachung (BÜPF/VÜPF, Geldspielgesetz oder Überwachung von Versicherten) angenommen. Damit hat sich der Staat ein umfassendes Regelwerk erstellt, um die Bevölkerung zu überwachen. Ein Staat kann nicht Herausgeber einer echten Sicherheitslösung wie die e-ID sein und gleichzeitig seine eigene Bevölkerung überwachen: die e-ID müsste für den Überwachungszweck unsicher gebaut werden, um diesen Interessen nicht im Weg zu stehen und wäre somit unbrauchbar.

So sehe ich aktuell keine rosige Zukunft für eine staatliche e-ID in naher Zukunft. Schade: Identifikation ist alles.

Empfehlen
  • Facebook
  • Twitter
  • LinkedIN
Share
Getagged in
Antwort hinterlassen