Werden Daten missbraucht? (Replik auf Republik.ch)

Die Gegner des BGEID kritisieren, dass bei der Nutzung der E-ID Daten anfallen, und dass das BGEID zentrale Lösungen zulasse. Und darauf bezogen tragen sie dann Folgendes vor:

  • Sie sehen ein Missbrauchspotential, ausgehend vom IdP und seinen Mitarbeiten (“Inside Attack”).
  • Sie empfinden die Regelungen des BGEID zu Daten als unklar.
  • Einige sagen, es dürften gar keine Daten bei einer zentralen Stelle anfallen.

Auch die Republik.ch führt das Missbrauchspotential von zentraler Datenhaltung als Grund an, gegen das BGEID zu sein (A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik“, 28.01.2021, republik.ch):

Die E-ID ermöglicht den privaten Anbietern, enorme Daten­mengen zu speichern: detaillierte Bewegungs­profile, Browser­einstellungen, digitale Kaufverträge. Gespeichert würden diese Informationen beim Unternehmen Swiss Sign, Stand heute, auf Servern bei der Post, wie die Republik heraus­gefunden hat.

Gemäss E-ID-Gesetz darf ein Identitäts­provider Einkaufs- und Log-in-Daten nicht kommerziell verwerten oder nutzen. Doch er kann sie sechs Monate lang speichern – zu welchem Zweck auch immer. 

A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik”, 28.01.2021 (republik.ch)

Problemstellung

Was passiert, wenn ein IdP Daten bearbeitet? Welche Daten darf er bearbeiten, für welchen Zweck und wie lange? Wird er bestraft, wenn er sich nicht ans Gesetz hält? Sind die Aufsichts- und Sanktionsmassnahmen griffig? Diese Fragen sind berechtigt, bedürfen aber einer Analyse, die auf konkreten Einwendungen basierten sollte.

Analyse

Die Autorin äussert einen potentiell zutreffenden Punkt: Je nachdem, wie viele Merchants und Inhaber der E-ID das Angebot eines IdP nutzen und wie häufig letztgenannte die E-ID einsetzen, können beim IdP “Datensammlungen” entstehen. Was sie aus dieser Feststellung schlussfolgert, ist unzutreffend.

Datennutzung durch den IdP ist jedenfalls klar verboten

Wir haben uns im Artikel “Wie sind die Daten beim IdP geschützt?” eingehend mit der Datenbearbeitung durch den IdP befasst.

Aus rechtlicher Sicht ist die Sache nüchtern betrachtet wie folgt:

Die Bedeutung des Anerkennungsprozesses wird ausgeblendet

Der Grundstein für ein ordnungsgemässes Funktionieren des E-ID-Systems beim IdP wird im Anerkennungsprozess gelegt. Die Anerkennung ist ein hoheitlicher Verwaltungsakt durch den Staat, die mit dem Ausstellen einer Urkunde durch die EIDCOM abgeschlossen wird. Wer beim Anerkennungsprozess lügt, wird mit Busse oder Gefängnis bis fünf Jahre bestraft, genau so auch, wer verbotene Nutzungsprofile anlegt (Art. 253 StGB).

Hält der IdP sich während des Betriebs nicht an die Vorschriften, kommt ein Sanktionskonzept mit einem Zusammenspiel zwischen EIDCOM, dem EDÖB sowie den Strafverfolgungsbehörden zum Zug. Zur Auswahl stehen etwa Eingriffe der Behörden in den Geschäftsbetrieb des IdP, Zwangsmassnahmen, Verlust der Anerkennung als IdP, Bussen und Freiheitsstrafen. Beispiel: Wer eine unsichere Architektur betreibt, riskiert eine Busse bis CHF 250’000 sowie einen Strafregistereintrag (Art. 61 revDSG).

Die staatliche Lösung als diffuses Versprechen

Es gibt derzeit keine Hinweise, wonach bei einer staatlichen Lösung weniger Daten anfallen würden, sie weniger lang gespeichert würden oder dass diese letztendlich nicht trotzdem von Privaten (als Outsourcer, sprich Beauftragte des Bundes) bearbeitet würden (siehe dazu unseren Beitrag: “Wie sähe eine staatliche Lösung aus?“).

Und dann: Falschbehauptungen, Erfundenes und Polemik

Kein Privacy by Design? Eine Falschbehauptung.

Privacy by Design ist ein Grundsatz des Datenschutzesgesetzes, der für die E-ID zwingend zur Anwendung kommen wird. Dass das Gesetzgebungsvorhaben dem Grundsatz von “Privacy by Design” nicht folgt, ist falsch. Und zudem: Es gibt keine Bestimmungen im BGEID, welche den Grundsatz von Privacy by Design aushebeln wollen. Sollten solche in die (noch nicht bekannte) Verordnung kommen, wären sie ohnehin unbeachtlich (das Datenschutzgesetz geht jeder Verordnung vor).

Nur “Privacy by Trust”? Reine Polemik.

Die Gegner des BGEID schimpfen über “Privacy by Trust” und unterstellen dabei, dass das Konzept des BGEID ausschliesslich auf dem Sanktionskonzept beruhe. Dass selbstverständlich Risikoprüfungen vorgenommen werden, bevor ein Anbieter als IdP anerkannt wird, wird komplett ausgeblendet. Damit suggeriert die Autorin, dass es diese Risikoprüfungen nicht geben werde. Und übersetzt diese Falschdarstellung mit der Floskel Privacy by Trust. Dies ist nichts als Polemik.

Datenlöschung selbst nach 6 Monaten noch nicht? Aus der Luft gegriffen.

A. Fichter behauptet, es werde künftig Gesetzesbrüche geben. Es würden die Daten auch über die vorgeschriebene Höchstdauer von sechs Monaten hinaus aufbewahren (trotz der klaren Gesetzesvorschrift, das spätestens nach 6 Monaten zu löschen ist). Sie behauptet das einfach, pauschal und ohne Anhaltspunkte.

Keine Zwecklimitierung? Eine Falschbehauptung.

Falsch ist, dass der IdP Einkaufs- und Log-in-Daten “zu welchem Zweck auch immer” sechs Monate speichern darf. Einkaufsverhalten wird nicht gespeichert beim IdP (siehe den Beitrag IdP sehen keine Inhaltsdaten). Vor allem ist falsch, dass es keine Zwecklimitierung gäbe. Zulässiger Nutzungszweck ist ausschliesslich die Identifizierung der Nutzer (Art. 9 Abs. 1 BGEID).

Umfassende Analysen durch den IdP? Aus der Luft gegriffen.

IdP würden das Nutzerverhalten umfassend analysieren (dass es dazu Datensammlungen braucht, die ein IdP erst unter klarer Gesetzesverletzung anhäufen kann, verschweigt A. Fichter). Wer als IdP ein System anerkennen lässt und dabei verschleiert, dass er das Nutzerverhalten analysieren möchte, macht sich strafbar und kann mit Gefängnis bestraft werden (siehe Sanktionskonzept). A. Fichter stellt dann eine ganze Reihe von pauschalen Vorwürfen in den Raum. Künftig werde es Gesetzesbrüche geben.

“Unglaublich” jagt “Unglaublich”

Wenn man diese Vorwürfe liest, schiesst einem durch den Kopf:

  • Unglaublich, wie tief die Reputation der Unternehmen in der Schweiz gesunken zu sein scheint.
  • Unglaublich, wie umfangreich dazu applaudiert wird – da ist viel Geschirr zerschlagen, wie es scheint.
  • Und Corporate Switzerland wehrt sich nicht einmal. Auch das: Unglaublich. Wenn man es sich überlegt: Dies ist sogar noch viel unglaublicher.

Marketingabteilungen in Unternehmen haben offenbar viel zu tun.

Kritik

Im Sinne einer Zusammenfassung: Die Diskussion zur Datenhaltung der IdP in der Republik.ch ist falsch und irreführend.

Stimmungsmache gegen das BGEID

Der gesamte Abschnitt zur Datenhaltung ist darauf ausgelegt, das BGEID zu bodigen. Dieses Ziel soll erreicht werden, indem die IdP mit tendenziösen Formulierungen und pauschalen, unbelegten Vorwürfen in einen unseriösen, ja gar verbrecherischen Kontext gehievt werden.

Liest man die Aussage: “verschwiegen wird, dass by design weitreichende Daten­sammlungen möglich bleiben“, denkt sich der Durchschnittsleser: “Hui, an diese Informationen muss Frau Fichter mit investigativer Recherche gekommen sein!” Dabei steht doch im Gesetz, dass sämtliche Daten nicht länger als während sechs Monaten aufbewahrt werden müssen (Art. 15 Abs. 1 lit. k BGEID).

Corporate Switzerland wird als Verbrecherbande dargestellt

Selbst wenn man pauschal davon ausginge, dass die IdP alles Verbrecher seien und die Daten für verbotene Analysen missbrauchen würden: Selbst dann hätte die Nutzerin es in der Hand, die E-ID nicht als “Massenlogin” einzusetzen, sondern nur für die zentralsten Use Cases. Es wäre auch naheliegend, die E-ID nur für selektive Nutzungen einzusetzen (siehe auch: “Welche Vorteile Dank der E-ID?“). Dieser Artikel pflichtet uns bei (“E-ID-Anbindung aus Sicht einer Unternehmung“):

Es scheint demnach sinnvoll zu sein, die E-ID nur für die Registrierung (Onboarding) eines Benutzers zu nutzen und nicht für wiederkehrende Anmeldungen. Die E-ID soll eine BvD nur bei der Verifizierung der Benutzerinformationen unterstützen.

Gerhard Hassenstein, Annett Laube, “E-ID-Anbindung aus Sicht einer Unternehmung“, Februar 2021

Effekthascherei

Die Autorin übertreibt, indem sie auf “Spielchen” hinweist, welche die IdP mit den Daten anstellen könnten. Dies ist mit Blick auf die Faktenbasis nicht haltbar. Die Diskussion über die Bearbeitung der Daten durch die IdP wirkt im zitierten Artikel effekthascherisch. Die Autorin problematisiert die E-ID gezielt, damit das BGEID abgelehnt wird.

So findet die Analyse wie erwähnt ausschliesslich auf einer Ebene statt, auf der die Autorin die Grundannahme trifft, dass die IdP Klardatenzugriff (im Sinne des “Content Layers”, siehe dazu “Was bedeutet “Kenntnis”?) haben würden und die Daten entweder sowieso missbrauchen oder aber das Gesetz unklar in Bezug auf den Zweck der Datenbearbeitung während der Speicherdauer von maximal sechs Monate sei. Beide Annahmen haben keine nachvollziehbare Grundlage. Sie sind schlichtweg falsch.

Mit Blick auf die bisherigen Ausführungen wird sichtbar, dass die Autorin aus einem Gefühl heraus argumentiert. Sie behauptet, der Betrieb basiere auf reinem Vertrauen in den Identitätsprovider:

… so muss sie darauf hoffen, dass Swiss Sign ihre Nutzungs­daten wirklich nach sechs Monaten löscht, wie es das Gesetz vorsieht.

«Spielchen» mit diesen Daten seien möglich.

A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik”, 28.01.2021 (republik.ch)

Für diese Behauptungen führt die Autorin jedoch keinerlei Belege auf. Ein “schlechtes Gefühl” ist kein Beleg.

Geht es nur illegal?

Die SwissSign Group, welche sich um eine Anerkennung als IdP bemühen wird, besteht aus staatsnahen Unternehmen wie die Swisscom, SBB, Post und Kantonalbanken sowie verschiedenen privaten Unternehmen wie Banken und Versicherungen. Es sind insgesamt rund 20 Unternehmen. Die staatsnahen Unternehmen halten dabei die Mehrheit an der SwissSign. Der herbeigeredete “Missbrauch” der Daten müsste von sämtlichen beteiligten Unternehmen getragen werden. Wie das in der Praxis funktionieren soll, verrät die Autorin nicht. Daneben haben weitere Private sowie die Kantone Zug und Schaffhausen Interesse an der Anerkennung als IdP bekundet.

Die genannten Akteure haben alle ein Interesse daran, ihre interne Effizienz zu steigern, das Onboarding von Kunden zu vereinfachen, sowie Medienbrüche und Übertragungsfehler zu verhindern. Die Digitalisierung mittels E-ID hilft dabei.

Das Geschäftsmodell der IdP ist ebenfalls nüchtern: Es besteht aus dem Angebot einer E-ID-Anbindung an die Merchants gegen Bezahlung; so also an die Post, Banken, Versicherungen, Behörden und Online-Shops. Ob der IdP für die E-ID auch von Endnutzern ein Entgelt verlangen wird, ist noch unbekannt, aber möglich. Weitere Geschäftsmodelle sind unzulässig.

Die “legitimen” Anliegen der IdP aufzuführen, würde jedoch zu einer Differenzierung führen, welche dem gewünschten Effekt gegen das BGEID entgegenstünde.

Es soll stattdessen der Eindruck erweckt werden, ein legaler Betrieb eines E-ID-Systems sei durch Private faktisch ausgeschlossen. Die IdP würden quasi triebgesteuert agieren, ein kriminelles Handeln sei unausweichlich.

Das ist das beabsichtigte Bild. Sie will nicht “aufklären”, sondern “bodigen”.

Bewertung

Die Autorin skizziert Thesen, nach denen der rechtliche Umgang mit Daten unklar wäre und ein legaler, redlicher Betrieb eines E-ID-Systems durch Private gleichsam ausser Reichweite sei. Damit verlässt sie das Feld der rein sachlich motivierten Kommentierung zum BGEID.

Das könnte Dich auch interessieren...

1 Antwort

  1. Adrienne Fichter sagt:

    Auch dieser Beitrag, wie schon Teil I voller bösartige Unterstellungen und Fake News.

    Sie sagen: Der Massstab für Fakten ist das, was im Gesetz steht. Jedes Wort das nicht im Gesetz erwähnt wird, ist somit faktisch falsch.

    Die Realität/Wahrheit ist ja eine andere. Ein Beispiel:

    Sie sagen zum Beispiel: Im Gesetz/ in der Strassenverkehrsordnung stehen Regeln fest, die Schilder weisen an: Beispiel Tempo 30 für gewisse Quartierstrassen und Tempo 140 für die Autobahn.

    Ich schreibe: es gibt das Gesetz, welches gilt und es gibt die Verkehrsschilder, doch es passieren täglich Unfälle, wegen Tempoübertretungen. Also ist auch Fakt: in unserer Gesellschaft existieren auch Raser.

    Sie sagen: Nein, das Wort „Raser“ kommt im Gesetz nicht vor! Das ist falsch! Auch sowas wie „Unfälle“ stehen nicht im Wortlaut. Unterstehen Sie sich den AutofahrerInnen solche Vorwürfe zu machen…Und auszumalen dass SO ETWAS PASSIEREN KÖNNTE!

    So und diese Argumentationslinie ziehen Sie durch alle Texte gegen mich durch.

    Sie machen eine rechtliche Analyse von journalistischen Texten. Das hat wenig bis gar nichts mit Faktenchecks zu tun. Denn journalistische Texte sind Realitätschecks. IT-JournalistInnen zählen Szenarien auf, die passieren im täglichen Leben. DDOS-Attacken, Phishing, Impersonation, Man-in-the-middle-Attacken…alles Begriffe die nicht im Bundesgesetz eID vorkommen, aber dennoch bittere Realität sind.

    Wir haben schon in Teil I gesehen, dass offenbar sich nicht die Mühe gemacht wurde zu recherchieren. Denn Herr Laux hat weder beim fedpol noch beim Bundesamt für Justiz nachgefragt, wie genau der Identifizierungs- und Verifikationsprozess ablaufen wird. Sondern er hat einfach das BG eID als Grundlage herangezogen, in dem der operative Teil in einigen Eckpunkten, aber eben nicht im Detail definiert ist (so behauptet Herr Laux, das Gesichtsbild werde nur in 2-3% der Fälle überhaupt beantragt werden müssen…bei Sicherheitsniveau „hoch“. De facto ist es auch für Sicherheitsniveau „substanziell“ der Fall für die Verifikation, so wird es in den Ausführungsbestimmungen drin stehen)

    Taktik Nr.2, die ich schon im ersten Text genannt habe: In meinem Artikel zitiere ich IT-Security-Experten. Was macht Herr Grasarevic? Er nimmt das Zitat aus dem Kontext, und suggeriert, dass ICH DAS GESAGT HABE. Und dass ich aus einem „Gefühl“ heraus argumentiere. Dazu später mehr.

    Taktik Nr 3: In seinem Blogbeitrag geht es kaum um die geschriebenen Sätze. Und auch Herr Grasarevic mach auch wilde Behauptungen darüber, was ich mit meinen Artikeln alles „beabsichtige“ .

    Dies zeigt sich anhand folgender Sätze:

    „Der gesamte Abschnitt zur Datenhaltung ist darauf ausgelegt, das BGEID zu bodigen.“ „Sie will nicht aufklären, sondern bodigen.“ „Sie beabsichtigt…„
    Zitate aus dem Blogbeitrag

    Hui, viele aufgeregte Sätze, Schnappatmung.

    So und nach diesem Intro über die Derailing-Taktiken von Lauch und Grasarevic knöpfe ich mir den Teil II vor.

    „Datennutzung durch den IdP ist jedenfalls klar verboten.“
    Blogbeitrag

    Hierzu ein treffender Quote von SP-Nationalrätin Min Li Marti in der Arena: Man stelle dem Hund ein Roast Beef hin. Und sagst ihm: Du darst das nicht fressen.

    Oder anders: Rasen ist auch verboten. Und trotzdem passiert es.

    Nun diese Stelle:

    ..Die staatliche Lösung als diffuses Versprechen

    Es gibt derzeit keine Hinweise, wonach bei einer staatlichen Lösung weniger Daten anfallen würden, sie weniger lang gespeichert würden oder dass diese letztendlich nicht trotzdem von Privaten (als Outsourcer, sprich Beauftragte des Bundes) bearbeitet würden (siehe dazu unseren Beitrag: “Wie sähe eine staatliche Lösung aus?“
    Blogbeitrag

    Ja leider hab ich auch das nirgendwo behauptet. Man lese den Schlussabschnitt in meinem Text:

    „Doch auch unabhängig von der Frage, ob der Staat oder Private für eine elektronische Identität verantwortlich sein sollen, wirft das E-ID-Gesetz diverse Fragen auf und birgt in Bezug auf Daten­schutz und Sicherheit nicht zu unterschätzende Risiken.“
    Republik.ch

    Wenn also Herr Grasarevic meinen Text richtig rezipiert hätte, wüsste er, dass das Gesetz meiner Ansicht nach also PER SE datenschutz/bürger-unfreundlich und unsichere Umsetzungen erlaubt. Egal ob Staat oder Private die Herausgeber der eID sind.

    Das Problem ist das Konzept des IDPs per se.

    Wenn der Herausgeber der Staat ist, gibt es je nach Ausgestaltung NUR zwei Parteien. Wenn hinzu die Authentisierung dezentral erfolgt, und ich die Trägerin der eID ist, werden auch keine Daten zentral gesammelt.

    Dies schrieb ich hier:

    “Tatsache ist: Man hätte datensparsamere, sicherere E-ID-Lösungen gesetzlich verankern und damit für verbindlich erklären können. Dies, indem man die E-ID wie einen Pass konzipiert hätte: Nicht ein externer Dienstleister würde die E-ID dabei treuhänderisch verwalten, sondern die Bürgerin selbst wäre Trägerin ihrer E-ID – etwa in Form einer Smartcard.

    So könnte die Bürgerin tatsächlich dafür verantwortlich gemacht werden, wenn sie ihre Smartcard verlieren würde oder diese missbraucht würde. Ein solches System wird im Fachjargon als «dezentrale Authentifizierung» bezeichnet. Lena Fischer würde in einem solchen System direkt mit Galaxus oder dem Steueramt interagieren – ohne einen Vermittler dazwischen.“
    Republik.ch

    Und hier mein absoluter Favorit:

    „Kein Privacy by Design? Eine Falschbehauptung.

    Privacy by Design ist ein Grundsatz des Datenschutzesgesetzes, der für die E-ID zwingend zur Anwendung kommen wird. Dass das Gesetzgebungsvorhaben dem Grundsatz von “Privacy by Design” nicht folgt, ist falsch. Und zudem: Es gibt keine Bestimmungen im BGEID, welche den Grundsatz von Privacy by Design aushebeln wollen. Sollten solche in die (noch nicht bekannte) Verordnung kommen, wären sie ohnehin unbeachtlich (das Datenschutzgesetz geht jeder Verordnung vor).“
    Blogbeitrag

    Leider ist das auch so hochgradig falsch, das ich nicht weiss, wo ich beginnen soll.

    Vorbemerkung: die NZZ schreibt auch, dass Privacy by Design nicht verankert ist beim BG eID.

    „Bei der E-ID wurde dieser Ansatz – bekannt als «security by design» beziehungsweise «privacy by design» – nicht berücksichtigt. Statt auf eine datensparsame Architektur setzt der Bund in seinem Konzept, das nun zur Abstimmung kommt, einzig auf Vorschriften und Überprüfungen.“
    Auszug der NZZ

    Aber die IT-Anwälte werden es wahrscheinlich nicht wagen, die NZZ zu „factchecken“:)

    Hier mal die 7 Prinzipien, was Privacy by Design bedeutet:

    Privacy by design is based on seven „foundational principles“:
    Proactive not reactive; preventive not remedial
    Privacy as the default setting
    Privacy embedded into design
    Full functionality – positive-sum, not zero-sum
    End-to-end security – full lifecycle protection
    Visibility and transparency – keep it open
    Respect for user privacy – keep it user-centric

    Was wäre ein Beispiel für gesetzliches Privacy by Design? Die SwissCovid-App.

    Man beachte im Gesetzeszext das Wort „dezentral“ und den Satz „ausschliesslich auf diesem Mobiltelefon bearbeitet und gespeichert werden.“

    Im BG eID steht sinngemässig: Die Inhaberin hat EINEN Einblick in ihre Daten, sehr „grosszügig“. Sie kann sie weder löschen, noch auf ihrem Smartphone/Träger lokal speichern. Ihre Login-Daten der eID befinden sich die ganze Zeit auf einer zentralisierten Datenbank und auf zentralen Servern eines IDPs.

    Dann hier eine wirklich böse juristische Wortverdrehung, Unterstellung und Falschaussage:

    “A. Fichter behauptet, es werde künftig Gesetzesbrüche geben. Es würden die Daten auch über die vorgeschriebene Höchstdauer von sechs Monaten hinaus aufbewahren (trotz der klaren Gesetzesvorschrift, das spätestens nach 6 Monaten zu löschen ist). Sie behauptet das einfach, pauschal und ohne Anhaltspunkte.“
    Blogbeitrag

    Ich schreibe mit KEINEM Wort dass die IDPs die Daten über 6 Monate lang hinaus speichern. Und dass Gesetzesbrüche passieren werden.

    Schauen wir doch in meinem Text nach, wie ich es geschrieben habe:

    ” Jede Nutzung, jedes Einloggen spielt sich im Rahmen einer Dreiecks­beziehung ab – zwischen der Bürgerin, dem Identitäts­provider und dem Anbieter einer Onlinedienstleistung, für welche das Log-in genutzt wird.

    Die Identitäts­provider tragen dabei eine grosse Verantwortung: Meldet sich Lena Fischer zum Beispiel mit der E-ID bei Galaxus an, so muss sie darauf hoffen, dass Swiss Sign ihre Nutzungs­daten wirklich nach sechs Monaten löscht, wie es das Gesetz vorsieht. Und Galaxus muss darauf vertrauen, dass die Systeme von Swiss Sign einwandfrei funktionieren. (Was keine Selbst­verständlichkeit ist: In der Vergangenheit kam es wegen eines Hacker­angriffs bei Swiss Sign bereits zu einem Totalausfall.”
    Republik.ch

    So hab ich es geschrieben: Sie muss darauf HOFFEN. Dass das wirklich geschieht.

    Es ist und bleibt Privacy by Trust.

    Und was Herr Grasarevic UNTERSCHLÄGT in seinem Blogbeitrag (ich wende jetzt mal dieselbe Taktik an): Data Breaches und Hacks passieren täglich, da muss nicht mal der Identitätsprovider böse Absichten haben. Das können externe Angriffe sein. Das ist die Realität bei InfoSec. Vielleicht sollte Herr Grasarevic mal mit einem InfoSec-Experten reden.

    Und übrigens, ACHTUNG RECHERCHE-PART: Die technische Begleitgruppe des fedpol diskutierte sogar noch Aufbewahrungspflichten, die über den Zeitraum von sechs Monaten dauern. Aber dies als Sidenote.

    Und jetzt eine Zusammenstellung von wilden Dingen, die ich angeblich behaupte:

    “Einkaufsverhalten wird nicht gespeichert beim IdP..

    A. Fichter stellt dann eine ganze Reihe von pauschalen Vorwürfen in den Raum. Künftig werde es Gesetzesbrüche geben.

    (…)

    Liest man die Aussage: “verschwiegen wird, dass by design weitreichende Daten­sammlungen möglich bleiben“, denkt sich der Durchschnittsleser: “Hui, an diese Informationen muss Frau Fichter mit investigativer Recherche gekommen sein!” Dabei steht doch im Gesetz, dass sämtliche Daten nicht länger als während sechs Monaten aufbewahrt werden müssen (Art. 15 Abs. 1 lit. k BGEID).

    (…)

    Die Autorin übertreibt, indem sie auf “Spielchen” hinweist, welche die IdP mit den Daten anstellen könnten. Dies ist mit Blick auf die Faktenbasis nicht haltbar. Die Diskussion über die Bearbeitung der Daten durch die IdP wirkt im zitierten Artikel effekthascherisch. Die Autorin problematisiert die E-ID gezielt, damit das BGEID abgelehnt wird.

    (…)

    So findet die Analyse wie erwähnt ausschliesslich auf einer Ebene statt, auf der die Autorin die Grundannahme trifft, dass die IdP Klardatenzugriff (im Sinne des “Content Layers”, siehe dazu “Was bedeutet “Kenntnis”?) haben würden und die Daten entweder sowieso missbrauchen oder aber das Gesetz unklar in Bezug auf den Zweck der Datenbearbeitung während der Speicherdauer von maximal sechs Monate sei. Beide Annahmen haben keine nachvollziehbare Grundlage. Sie sind schlichtweg falsch.

    (…)”
    Blogbeitrag

    (Besonders lachen musste ich beim Abschnitt der investigativen Recherche, wo dann angefügt wird: ABER IM GESETZ STEHT DOCH DASS…Das bestätigt wieder das Raserbeispiel.)

    Auch hier werden wieder wilde Dinge mir in den Mund gelegt, die in keinem Artikel so niedergeschrieben worden sind. Herr Laux probierte dasselbe Manöver bereits in einem anderen Text. Dass ich geschrieben hätte, dass Inhaltsdaten gespeichert werden würden…Auch das ist falsch. Es geht um Rand- und Metadaten.

    Auch Grasarevic behauptet, ich würde schreiben, man hätte Klardatenzugriff.

    Alles falsch.falsch.falsch. Stehts nirgends geschrieben.

    ABER und jetzt kommts (achtung investigative Recherche und REALITÄTSCHECK):

    Es kann TATSÄCHLICH PASSIEREN bzw. dass die URL dem IDP mehr verrät, als das was sie sollte. Keine böse Absicht von SwissSign (IDP), keine böse Absicht der Service Provider, Kunden von SwissSign, einfach falsche Implementierung. So geschehen im Kanton Jura, SwissSign-Kundin der ersten Stunde (seit 2018- ich hoffe einfach dass diese Fehlkonfiguration nicht schon seit 3 Jahren diese Informationen „leakte“ und es niemand merkte).

    Siehe hier, in einer anderen Recherche:

    „Swiss Sign wird im Zuge der Anmeldung den Benutzer­namen von Lena Fischer erfahren (ein eindeutiges Identifikations­merkmal), die Kunden­nummer der besuchten Behörde sowie im Fall des Jura – aufgrund einer fehlerhaften Konfiguration – sogar die genaue Adresse der besuchten Website. Kurz: Swiss Sign erfährt, dass Fischer sich im Jura angemeldet und dort einen Antrag auf finanzielle Unter­stützung im Bildungs­bereich einreicht. Nicht nur der eigentliche, sondern auch ein fremder Identitäts­provider weiss damit Bescheid über ihr Vorhaben.“
    Republik.ch

    Das Stichwort ist also: Fehlkonfiguration.

    Leider habe ich das in einem Zufallsfund gemeinsam mit InfoSec-Experte Florian Forster rausgefunden. Was würde passieren wenn wir das systematisch mal anschauen….?

    Und nun der absolute Favorit von mir:

    „Mit Blick auf die bisherigen Ausführungen wird sichtbar, dass die Autorin AUS EINEM GEFÜHL heraus argumentiert. Sie behauptet, der Betrieb basiere auf reinem Vertrauen in den Identitätsprovider:

    … so muss sie darauf hoffen, dass Swiss Sign ihre Nutzungs­daten wirklich nach sechs Monaten löscht, wie es das Gesetz vorsieht.

    «Spielchen» mit diesen Daten seien möglich.

    A. Fichter, “Die Probleme mit der Schweizer E-Identität – Republik”, 28.01.2021 (republik.ch)

    Für diese Behauptungen führt die Autorin jedoch keinerlei Belege auf. Ein “schlechtes Gefühl” ist kein Beleg.“
    Blogbeitrag

    Bitte beachten, liebe LeserInnen: So steht es 1:1 im Blogbeitrag drin.

    Es ist mein Favorit, weil Herr Grasarevic BEWUSST lose Sätze aus meinem Text aneinanderreihte, Zitate AUS DEM KONTEXT REISST UND MIR IN DEN MUND LEGT.

    Nochmals: Meine Gefühle spielen keine Rolle…Das Wort „schlechte Gefühle“ kommt in meinem Text nicht vor. Herr Grasarevic zitiert sich also lustigerweise selbst.

    Und jetzt kommt eine weitere Fake News-Taktik: Das Wort „Spielchen“ habe auch NICHT ICH gesagt. Sondern der von mir zitierte Experte Thomas Bühler.

    Schauen wir doch nochmals nach, wie es in meinem Text steht:

    „Wie der Verein Data Privacy Community in einem Webinar erklärt, werden bei Swiss Sign dabei riesige Daten­mengen angehäuft. So erfährt es der Identitäts­provider, wenn Lena Fischer sich etwa bei Digitec einloggt, den Kaufvorgang abbricht, später bei Galaxus weitersurft und danach die Steuer­erklärung im Kanton St. Gallen ausfüllt – alles mit demselben Benutzer­konto, der digitalen ID von Swiss Sign. Ebenso erfährt Swiss Sign allerlei Metadaten wie etwa die Browser­sprache. «Spielchen» mit diesen Daten seien möglich, sagt Thomas Bühler, Sprecher im Webinar.“
    Republik.ch

    Vielleicht sollte Herr Grasarevic mal darüber bloggen, was IT-Experten schreiben? Das wäre zu unbequem. Er schiesst lieber auf die Journalistin.

    In einem einzigen Punkt gebe ich ihm recht: JA ich behaupte allerdings, der Betrieb basiert auf REINEM VERTRAUEN in den Identitätsprovider.

    Warum? Stichwort oben: kein Privacy by Design wird gesetzlich verankert. Alles hängt von einer Drittpartei, einem IdP, mit einem zentraliserten Datenbank und einem zentralen Server ab. Bei jedem Log-in, bei jeder Authentisierung bin ich DARAUF angewiesen, dass es funktioniert und DASS damit nichts angestellt wird.

    Und nun zum Schluss ein Schmankerl:

    „Der herbeigeredete “Missbrauch” der Daten müsste von sämtlichen beteiligten Unternehmen getragen werden.”
    Blogbeitrag

    Auch das ist wieder kreuzfalsch.

    Erstens rede ich keinen Missbrauch herbei. Es sind potenzielle Szenarien. Sie können passieren beim IDP, sie können aber durch Drittparteien (Hacker etc.) ebenfalls passieren.

    Zweitens haben UBS, Swisscom etc einen Sitz im Verwaltungsrat der SwissSign und keinen Zugriff auf das operative technische System, auf die gehosteten Datazentren bei der Post etc.
    Lustigerweise schreibt IT-Anwalt Grasarevic damit selber ganz wilde Dinge. Oder wie genau erhalten Konsortiumspartner Einblick in die Datennutzung? Eigentlich eine abenteuerliche Unterstellung.

    So und alles im Detail schön hier nachzulesen. Mein Faktencheck Ihres “Faktenchecks”:
    https://dnip.ch/2021/02/26/wenn-rasen-nicht-im-gesetz-drin-steht-und-rasen-deshalb-falsch-ist-oder-faktencheck-des-faktenchecks-teil-ii/

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.