Fachliche Kritik am E-ID-Gesetz (Gastbeitrag)
Über den Autor: Kaspar Etter ist Informatiker und hat aufgrund seiner beruflichen Tätigkeit vertiefte Erfahrungen mit digitalen Identitäten und Kryptographie. Er twittert unter @KasparEtter.
Christian Laux hat mich eingeladen, meine Kritik am Bundesgesetz über elektronische Identifizierungsdienste (BGEID) auf seinem E-ID Blog zu publizieren. Ich nehme sein Angebot gerne an und präsentiere hier meine Gründe, weshalb ich das BGEID in der heutigen Form ablehne. Christian Laux wird in separaten Artikeln auf meine Kritik eingehen. Unabhängig davon, ob das BGEID am 7. März 2021 vom Stimmvolk angenommen oder abgelehnt wird, hoffen wir, dass wir mit diesem Austausch zu einer konstruktiven Debatte beitragen können. Bevor ich zu meinen Kritikpunkten komme, muss ich zuerst noch etwas ausholen.
A. Vorbemerkungen
Hinweis: Die männliche Form der Begriffe umfasst jeweils alle Geschlechter.
Zwei unterschiedliche E-ID-Architekturen
Vermittelte Authentifizierung
Als Benutzer weise ich mich gegenüber meinem Identitätsanbieter aus, welcher meine Identität gegenüber dem Identitätskonsumenten bestätigt:
Direkte Authentifizierung
Als Benutzer weise ich mich direkt gegenüber dem Identitätskonsumenten aus, wobei meine Attribute alle paar Jahre von einem Attributsbestätiger bestätigt werden:
Gewünschte Eigenschaften
Eine E-ID-Architektur sollte die folgenden Eigenschaften haben:
- Sicherheit: Nur ich als Benutzer kann mich in mein Benutzerkonto beim Identitätskonsumenten einloggen.
- Privatsphäre: Wann ich mich wo einlogge, geht nur den jeweiligen Identitätskonsumenten und mich was an.
- Autonomie: Als Benutzer will ich meine digitale Identität einsetzen können, wo auch immer ich will.
- Verfügbarkeit: Als Benutzer will ich mich bei Identitätskonsumenten anmelden können, auch wenn mein Identitätsanbieter vorübergehend nicht erreichbar ist.
- Kontinuität: Als Benutzer will ich mich bei meinen Identitätskonsumenten einloggen können, auch wenn mein Identitätsanbieter seine Dienstleistung einstellt.
- Transfermöglichkeit: Als Benutzer will ich meinen Identitätsanbieter wechseln können, ohne den Zugang zu meinen Benutzerkonten bei den Identitätskonsumenten zu verlieren.
- Monetarisierung: Um einen zweiseitigen Markt erfolgreich lancieren zu können, sollte die E-ID zumindest zu Beginn für den Benutzer kostenlos sein, wodurch die Kosten der periodischen Identifizierung von jemand anderem getragen werden müssen.
Eine E-ID sollte selbstverständlich auch benutzerfreundlich sein, doch ist dies vielmehr eine Frage der Umsetzung als der Architektur.
Inhärente oder kompensierte Umsetzung
Eine gewünschte Eigenschaft ist einem System inhärent, wenn die Eigenschaft auch dann gegeben ist, wenn sich jemand nicht an die Regeln hält oder etwas schief läuft. Im Gegensatz dazu gibt es Risiken, welche mit rechtlichen, organisatorischen oder technischen Massnahmen kompensiert werden müssen. Wenn ein Problem unterschiedliche Lösungen hat, sollte unter sonst gleichen Umständen jener Ansatz gewählt werden, bei dem möglichst viele Risiken gar nicht erst entstehen. Wie schneiden die beiden E-ID-Architekturen bei den gewünschten Eigenschaften ab?
Eigenschaften der vermittelten Authentifizierung
| Inhärent | Kompensiert |
|---|---|
| Monetarisierung | Sicherheit |
| Privatsphäre | |
| Autonomie | |
| Verfügbarkeit | |
| Kontinuität | |
| Transfermöglichkeit |
Eigenschaften der direkten Authentifizierung
| Inhärent | Kompensiert |
|---|---|
| Sicherheit | Monetarisierung |
| Privatsphäre | |
| Autonomie | |
| Verfügbarkeit | |
| Kontinuität | |
| Transfermöglichkeit |
Verschiebung der Diskussion
Ob Attribute vom Staat oder von privaten Firmen bestätigt werden, ist meiner Meinung nach die falsche Diskussion. Wie ein Benutzer zu identifizieren ist, muss immer rechtlich geregelt werden. Was auch immer man einem Beamten vorschreibt, kann man auch Mitarbeitern einer privaten Firma vorschreiben. Viel eher sollten wir diskutieren, wie wir möglichst viele der gewünschten Eigenschaften von der rechten Spalte in die linke Spalte verschieben können, so dass die entsprechenden Risiken gar nicht erst entstehen.
B. Kritikpunkte am E-ID-Gesetz
1. Das Gesetz lässt offen, ob mit der E-ID die Authentifizierungsfaktoren des Benutzers gegenüber seinen Identitätskonsumenten ersetzt werden sollen
Reguliert das BGEID ein Single-Sign-On oder eine einmalige Attributbestätigung bei der Eröffnung einer Geschäftsbeziehung mit einem Identitätskonsumenten? Unterschiedliche Leute treffen diesbezüglich unterschiedliche Annahmen, was zu Missverständnissen führt. Diese Frage ist entscheidend, weil die Eigenschaften Sicherheit, Verfügbarkeit, Kontinuität und Transfermöglichkeit wie oben beschrieben nur auf den ersten Fall zutreffen. Im zweiten Fall entstehen diese Probleme gar nicht und es fallen auch viel weniger Nutzungsdaten an. Aus den folgenden Gründen gehe ich im Rest dieses Artikels davon aus, dass mit der E-ID ein Single-Sign-On geschaffen werden soll:
- Identity Provider (IdP) ist einer der wenigen englischen Begriffe im Gesetzestext und hat in der Informationstechnologie eine klare Bedeutung. Wenn es nur um die Bestätigung von Attributen ginge, würde man eher von einer Certificate Authority (CA) oder wie im Bundesgesetz über die elektronische Signatur (ZertES) von einem Zertifizierungsdienstanbieter reden.
- Im Abstimmungsbüchlein ist die Rede von “mit der E-ID kann sich eine Person einfach und sicher bei verschiedenen Online-Diensten anmelden” und “die sichere E-ID kann zudem helfen, die Anzahl Passwörter zu verringern”.
- Die SwissSign AG positioniert sich mit der SwissID als Identitätsanbieterin für die Schweizer E-ID und die SwissID ist ein Single-Sign-On.
2. Das Gesetz gibt sich technologieneutral, obwohl es dies nicht ist.
Artikel 1 Absatz 3 (“Das Gesetz und die darauf gestützten Verordnungen beachten den Grundsatz der Technologieneutralität.”) steht im direkten Widerspruch zu Artikel 18 Absatz 3 (“Der Bundesrat erlässt die technischen Vorschriften; er legt insbesondere die Schnittstellen fest.”).
3. Bei einer E-ID ist Technologieneutralität gar nicht wünschenswert.
Wenn Technologieneutralität bedeutet, dass ein Identitätsanbieter seine Identitätskonsumenten über eine beliebige Schnittstelle anbinden darf, führt das zu ungewollten Nebeneffekten. Weil die Identitätsanbieter gemäss Artikel 18 ihre E-ID-Systeme gegenseitig akzeptieren müssen, müssen Identitätsanbieter die Bestätigung der Benutzeridentität von anderen Identitätsanbietern für ihre Identitätskonsumenten übersetzen. Damit fliessen die Personenidentifizierungsdaten über einen weiteren Identitätsanbieter, welcher sich dann auch als jeden beliebigen Benutzer bei seinen Identitätskonsumenten einloggen kann. Dies verschlechtert sowohl die Sicherheit als auch die Privatsphäre wie oben beschrieben. Wäre die Schnittstelle hingegen standardisiert, könnten die Daten direkt vom Identitätsanbieter des Benutzers zum jeweiligen Identitätskonsumenten fliessen.
4. Wenn man direkte Authentifizierung haben will, muss man sie gesetzlich schützen.
Das Gesetz lässt offen, ob die Authentifizierung eines Benutzers direkt oder vermittelt durchgeführt wird. Wenn man diese Entscheidung dem Benutzer mit der Wahl seines Identitätsanbieters überlassen will, muss im Gesetz vorgeschrieben werden, dass jeder Identitätskonsument sowohl den zu definierenden Standard für vermittelte als auch den zu definierenden Standard für direkte Authentifizierung unterstützen muss. Da gemäss Artikel 22 jeder Identitätskonsument jede E-ID zu akzeptieren hat und gemäss Artikel 18 nur die Identitätsanbieter verpflichtet werden, ihre E-ID-Systeme gegenseitig zu akzeptieren, führt die notwendige Übersetzung der Benutzerbestätigung ansonsten immer zu einer vermittelten Authentifizierung. In einem Ökosystem aus vermittelter Authentifizierung und direkter Authentifizierung setzen sich die Eigenschaften der vermittelten Authentifizierung durch, wodurch der Benutzer seine Entscheidung leider nicht alleine treffen kann:
| Identitätsanbieter des Benutzers | Identitätsanbieter des Identitätskonsumenten | Resultierende Authentifizierung |
|---|---|---|
| direkt | direkt | direkt (sofern kompatibel) |
| direkt | vermittelt | vermittelt |
| vermittelt | direkt | vermittelt |
| vermittelt | vermittelt | vermittelt |
5. Es gibt keinen vernünftigen Grund, nicht einfach die direkte Authentifizierung vorzuschreiben.
Wie wir vor der Auflistung der Kritikpunkte gesehen haben, sollte man den Ansatz wählen, bei dem möglichst viele der wünschenswerten Eigenschaften dem System inhärent sind und gar nicht erst ein Risiko entsteht, welches mit rechtlichen, organisatorischen und technischen Massnahmen kompensiert werden muss. Wie wir im vorangehenden Punkt gesehen haben, degradiert eine direkte Authentifizierung in der Gegenwart einer vermittelten Authentifizierung zu einer vermittelten Authentifizierung. Ich kann mir nicht vorstellen, dass ich der einzige bin, der die oben aufgeführten Eigenschaften einer E-ID-Architektur für wünschenswert hält. Auch aus Gründen der nationalen Sicherheit sollte man ein E-ID-Ökosystem anstreben, bei welchem Sicherheit und Verfügbarkeit wie oben beschrieben inhärent gegeben sind. Für eine vermittelte Authentifizierung spricht lediglich, dass sich die Abgeltung einfacher kontrollieren lässt, da der Identitätsanbieter bei jeder Anmeldung involviert ist. Anstatt Sicherheit, Privatsphäre, Autonomie, Kontinuität und Transfermöglichkeit per Gesetz vorzuschreiben, könnte man einfach kommerzielle Identitätskonsumenten zur Vergütung verpflichten. Im Gesetz könnte beispielsweise stehen, dass jeder mehrwertsteuerpflichtige Identitätskonsument am Ende jedes Monats einen vom Preisüberwacher festgelegten Betrag pro Login an den jeweiligen Identitätsanbieter überweisen muss.
6. Das Gesetz löst fast nur Probleme, die es selber schafft, und ist damit überflüssig.
Authentifizierung kann man auch mit elektronischen Signaturen lösen. Da dies im Rahmen einer sogenannten Public-Key-Infrastruktur bei der direkten Authentifizierung so gemacht wird, wäre das sogar wünschenswert. Man müsste nur das Bundesgesetz über die elektronische Signatur (ZertES) mit Authentifizierung als Schlüsselverwendungszweck ergänzen und fertig wäre das E-ID-Gesetz. Wenn man es für wichtig erachtet, kann man das ZertES noch um einen Artikel zur Monetarisierung, wie ich ihn im vorangehenden Punkt vorgeschlagen habe, ergänzen. Das ZertES hat bereits zahlreiche Bestimmungen zur Anerkennung von Zertifizierungsdienstanbietern und deren Pflichten. Weshalb mit dem BGEID eine nahezu identische Parallelinfrastruktur geschaffen werden soll, ist mir ein Rätsel. Das BGEID ist nur deswegen so lang und kompliziert, weil es die Probleme adressieren muss, welche mit vermittelter Authentifizierung geschaffen werden: Privatsphäre (Artikel 9, 15 und 16), Freiwilligkeit (Artikel 12 Absatz 2), Kontinuität (Artikel 14), Interoperabilität (Artikel 18 und 22) und Aufsichtsbehörde (Artikel 25 bis 30). Wenn das BGEID alle Probleme, die es schafft, ordentlich adressieren würde (siehe die folgenden Punkte), wäre es sogar noch länger. Obwohl qualifizierte elektronische Signaturen meiner Meinung nach das komplexere Thema sind, ist das ZertES nur ⅔ so lang wie das BGEID.
7. Das Gesetz verpflichtet die Identitätskonsumenten nicht, den Benutzern einen Wechsel des Identitätsanbieters zu ermöglichen.
Transfermöglichkeit wie oben beschrieben ist daher nicht gegeben.
8. Das Gesetz verbietet einem Identitätsanbieter nicht, sich als einen seiner Benutzer bei einem Identitätskonsumenten einzuloggen.
Sicherheit wie oben beschrieben ist daher nicht gegeben. Vielleicht lässt sich das aus dem Fernmeldegeheimnis oder dem Datenschutzgesetz (DSG) ableiten, doch wenn ich jemandem den Schlüssel zu meiner Wohnung überlasse, folgt ohne Abmachung wohl nicht, dass er meine Wohnung nicht betreten darf. Daher sehe ich nicht, weshalb das digital anders sein soll.
9. Artikel 20 zwingt Identitätskonsumenten eine Vereinbarung mit einem Identitätsanbieter abzuschliessen, was Authentifizierungen unter Benutzern verunmöglicht.
Autonomie wie oben beschrieben ist daher nicht gegeben. Diese Vertragspflicht widerspricht auch dem Konzept der Selbstbestimmten Identität. Man stelle sich nur mal vor, wie absurd das wäre, wenn jemand, der meine qualifizierte elektronische Signatur überprüfen will, zuerst eine Vereinbarung mit dem Anbieter des Zertifizierungsdienstes abschliessen müsste.
10. Die Bestimmung zur Freiwilligkeit ist leicht umgehbar.
Artikel 12 Absatz 2 lautet: “Wird für eine Informatikanwendung im Sinne von Artikel 2 Buchstabe b eine Identifizierung des Sicherheitsniveaus niedrig angewendet, muss für diese Anwendung auch ein Zugang ohne E-ID möglich sein. Der Bundesrat kann Ausnahmen vorsehen.” Dieser Absatz ist grundsätzlich erfreulich, doch nichts verhindert, dass ein Identitätskonsument einfach das Sicherheitsniveau “substanziell” verlangt, und nichts zwingt einen Identitätsanbieter dazu, für das Niveau “substanziell” mehr zu verlangen als für das Niveau “niedrig”. Zu Beginn mag das höhere Niveau eine Hürde sein, doch sobald genügend E-IDs das Niveau “substanziell” erreicht haben, ist Artikel 12 zahnlos. Die Diskussion um Freiwilligkeit müssen wir nur führen, weil das BGEID keine direkte Authentifizierung vorschreibt. Wären Sicherheit, Privatsphäre, Autonomie, Verfügbarkeit, Kontinuität und Transfermöglichkeit inhärent gegeben, fände ich es nicht weiter problematisch, wenn man gewisse Dienstleistungen nur noch mit der E-ID beziehen könnte.
* * *