“Vermittelte” v. “Direkte” Authentifizierung (1/8): Zusammenfassung von Bedenken
Ich habe auf Twitter eine Diskussion geführt dazu, ob das BGEID die Direkte Authentifizierung zulässt. Ich sage ja. Die Diskussion findet man hier:
- https://twitter.com/lauxandlaw/status/1367145656922603521
- https://twitter.com/lauxandlaw/status/1367176454715375618
Ich möchte dazu einige Beiträge erstellen. Und in dem vorliegenden möchte ich erst mal die Bedenken zusammenstellen, die vorgetragen wurden. Dies ist zugleich ein Beitrag zur Diskussion mit Kaspar Etter auf diesem Blog, namentlich zu Punkt 3 und Punkt 4 in seinem Gastbeitrag “Fachliche Kritik am E-ID-Gesetz”.
Zur Terminologie
In diesem Blog-Post übernehme ich im geschriebenen Text die Terminologie im Gastbeitrag von Kaspar Etter auf https://e-idblog.ch: Es gibt Systeme der direkten Authentifizierung (gefordert von Kaspar Etter) und Systeme der vermittelten Authentifizierung (wie z.B. SwissSign Group AG sie offenbar heute im Einsatz hat). Vermittelte Authentisierung habe ich in den Zeichnungen in diesem Beitrag mit “zentrale Welt” oder “zentrale Ansätze” bezeichnet und direkte Authentisierung als “dezentrale Welt” etc.
Ausserdem verwende ich wie Kaspar Etter in diesem Beitrag ebenfalls das Begriffspaar des inhärenten Datenschutzes und des kompensierten Datenschutzes, wie Kaspar Etter es hier beschreibt.
Zu den Bedenken
In diesem Beitrag geht es unter anderem auch um die Frage, ob das BGEID wirklich technologieneutral ist, wie dies Art. 1 Abs. 3 des BGEID festhält:
Das Gesetz und die darauf gestützten Verordnungen beachten den Grundsatz der Technologieneutralität.
Kaspar Etter kritisiert nicht die Technologieneutralität an sich. Er analysiert am BGEID, dass bei seinem Erlass die Folgen nicht konsequent durchdacht wurden:
Ich würde ergänzend noch Folgendes erwähnen:
(Anmerkung: In meiner Twitter-Antwort hatte ich auf den Punkt 4 (“Was ist das Ziel?”) im Beitrag “Staat v. Private: Eine wenig zielführende Diskussion” verwiesen.)
Es geht dabei um die Frage, inwiefern das BGEID gemessen an der Gesamtaufgabenstellung eine ausgewogene und zeitgerechte Lösung darstellt. Selbstverständlich braucht es eine explizite Risikoanalyse (mir wurden auf Twitter Inputs hierfür versprochen, sie sind aber ausgeblieben; hier gerne der Aufruf nach aussen, Risikoüberlegungen und weitere Bedenken in Bezug auf E-ID-Systeme in einem Gastbeitrag zu schildern).
In seinem Punkt 3 wendet sich Kaspar Etter gegen eine Folge der vermittelten Authentisierung:
Wenn Technologieneutralität bedeutet, dass ein Identitätsanbieter seine Identitätskonsumenten über eine beliebige Schnittstelle anbinden darf, führt das zu ungewollten Nebeneffekten. Weil die Identitätsanbieter gemäss Artikel 18 ihre E-ID-Systeme gegenseitig akzeptieren müssen, müssen Identitätsanbieter die Bestätigung der Benutzeridentität von anderen Identitätsanbietern für ihre Identitätskonsumenten übersetzen.
Dieser Punkt wurde prominent auch in der Republik.ch (Ausgabe vom 09.02.2021, mit dem etwas reisserischen Titel “Das Märchen vom E-ID-Wettbewerb – Republik“) betont:
Gestützt auf die Dokumente der Begleitgruppe wird nämlich deutlich: Die Interoperabilität sorgt für einen permanenten Informationsaustausch zwischen den E-ID-Anbietern und macht die Nutzerinnen zu gläsernen Bürgern.
In seinem Punkt 3 schildert Kaspar Etter dies wie folgt:
Damit fliessen die Personenidentifizierungsdaten über einen weiteren Identitätsanbieter, welcher sich dann auch als jeden beliebigen Benutzer bei seinen Identitätskonsumenten einloggen kann. Dies verschlechtert sowohl die Sicherheit als auch die Privatsphäre wie oben beschrieben. Wäre die Schnittstelle hingegen standardisiert, könnten die Daten direkt vom Identitätsanbieter des Benutzers zum jeweiligen Identitätskonsumenten fliessen.
Zum Postulat, die Relying Parties mehr in die Pflicht zu nehmen
Sodann postuliert Kaspar Etter in seinem Punkt 4 Folgendes:
Das Gesetz lässt offen, ob die Authentifizierung eines Benutzers direkt oder vermittelt durchgeführt wird. Wenn man diese Entscheidung dem Benutzer mit der Wahl seines Identitätsanbieters überlassen will, muss im Gesetz vorgeschrieben werden, dass jeder Identitätskonsument sowohl den zu definierenden Standard für vermittelte als auch den zu definierenden Standard für direkte Authentifizierung unterstützen muss.
Kaspar Etter kritisiert in Punkt 4, dass eine solche die Relying Parties verpflichtende Regulierung nicht erfolgt sei:
Da gemäss Artikel 22 jeder Identitätskonsument jede E-ID zu akzeptieren hat und gemäss Artikel 18 nur die Identitätsanbieter verpflichtet werden, ihre E-ID-Systeme gegenseitig zu akzeptieren, führt die notwendige Übersetzung der Benutzerbestätigung ansonsten immer zu einer vermittelten Authentifizierung. In einem Ökosystem aus vermittelter Authentifizierung und direkter Authentifizierung setzen sich die Eigenschaften der vermittelten Authentifizierung durch, wodurch der Benutzer seine Entscheidung leider nicht alleine treffen kann
Dies führe dann im Resultat eben dazu, dass eine direkte Authentisierung langfristig nicht realisiert werden könnte. Auf Twitter schlägt Kaspar Etter zur Lösung den folgenden (auf jeden Fall bedenkenswerten) Regelungsvorschlag vor:
Ausblick
Der Vorschlag, die Relying Parties mehr in die Pflicht zu nehmen, ist nachvollziehbar und sicher nicht unsachlich; denn das Einbinden einer Gateway-Funktionalität direkt bei der Relying Party dürfte keine grosse Sache sein für jemanden, der ohnehin eine Authentisierungs-Schnittstelle in sein Web-Angebot einbinden muss (Stichwort Verhältnismässigkeit). Solche Gateway-Funktionalität würde man als Open Source Software verfügbar machen (idealerweise:) müssen (sofern nicht bereits geschehen). Zudem wäre diese Massnahme eine sehr wirksame Sache, um dem Grundsatz der Datensparsamkeit zum Durchbruch zu verhelfen.
Ich möchte separat mehr dazu schreiben, wie ich das Postulat von Kaspar Etter in seinem Punkt 4 einschätze.