Etwas mehr als ein halbes Jahr ist Tom Sprenger CTO von SwissSign Group. Während dieser Zeit erlebte er wie wir alle einen Lockdown inklusive Online-Boom, einen Angriff auf die IT-Systeme seiner Firma und musste ein IT-Grossprojekt in geregelte Bahnen lenken. Wie er die Herausforderungen gemeistert hat, erzählt er im Interview.

Tom Sprenger: Meinen früheren Arbeitgeber [AdNovum, Anmerk. d. Red.] habe ich über Jahrzehnte begleitet und mitgestaltet. Das Unternehmen ist in den vergangenen 20 Jahren von 30 auf über 600 Angestellte gewachsen. Das Wachstum ist dort noch nicht zu Ende, für mich war es aber an der Zeit, eine neue Herausforderung zu suchen. Ich konnte mir den Luxus leisten, während einiger Monate eine Auszeit zu nehmen und für mich herauszufinden, welche neue Aufgabe mich reizen würde.

Mir wurde schnell klar, dass mein künftiger Arbeitgeber kleiner sein sollte, damit ich in der neuen Rolle weniger administrativ, sondern nochmals mehr operativ und inhaltlich an den Themen arbeiten kann. Dann reizte mich eine IT-Produktefirma, denn ich konnte bei AdNovums Security-Suite «Nevis» schon erste Erfahrungen in diesem Bereich sammeln, was ich als sehr spannend empfand. Drittens habe ich eine Firma gesucht, die am Beginn ihrer Marktentwicklung steht. Mit SwissID bietet SwissSign so einen Geschäftsbereich, der nicht mehr komplett neu, aber aus meiner Perspektive doch noch sehr ausbaufähig ist.

Sprenger: Nicht nur den Ausbau. Während der vergangenen zwei Jahre habe ich mich nebenberuflich an der HSG weitergebildet. Nun bringe ich einen Executive Master of Business Administration mit, der mich befähigt, neben der Technologie auch die Organisation weiterzuentwickeln. In den Gesprächen habe ich dem SwissSign-Management denn auch signalisiert, dass ich die Rolle des CTOs sowohl technisch als auch als Management-Aufgabe ansehe. Diese Ansicht, gepaart mit den Erfahrungen, die ich im Incubator bei AdNovum sammeln konnte, haben die Führungskräfte von SwissSign überzeugt.

Sprenger: [schmunzelt] Bei AdNovum habe ich zuletzt gar nicht mehr programmiert. In der neuen Rolle habe ich den Anspruch, zumindest die Grundlagen nachvollziehen zu können. Ich möchte wissen, welche Auswirkungen meine Rückmeldungen zu den Problemen haben und welcher Aufwand betrieben wird, wenn wir neue Herausforderungen angehen. Zudem ist mir die Nähe zu den Entwicklern wichtig. Entsprechend programmiere ich jetzt wieder, wenn auch sehr selten. Und was ich auch sagen kann: Jeder Kollege bei mir im Entwicklungsteam ist sicher ein besserer Software-Entwickler als ich.

Sprenger: Korrekt. An den ersten Tagen konnte ich noch «normal» ins Büro in Glattbrugg gehen und mir ein Bild von der Situation machen. Ich fand eine IT-Produktefirma vor, die eigentlich eine Firma mit vielen unterschiedlichen IT-Projekten ist. Wir haben zwar Produkte auf dem Markt, intern laufen aber beispielsweise eine Plattformmigration, technische Funktionserweiterungen und die Lancierung neuer Produkte wie der digitale Signaturservice, der im nächsten Jahr auf den Markt kommen soll.

Es wurde recht schnell klar, dass die Pläne zu gross waren für die vorhandenen Kapazitäten. Ausserdem ent­wickeln wir noch auf verschiedenen Ebenen: Erstens befinden wir uns in der erwähnten Migration von den über Jahre gewachsenen Systemen hin zu einer topmodernen Cloud-Infrastruktur. Diese Systeme werden wir selbst betreiben. Zweitens implementieren wir eine Middleware, auf der wir drittens sämtliche Applikationen aufsetzen werden.

Diese drei Entwicklungen waren ursprünglich in auf­einanderfolgenden Phasen geplant: zuerst die Plattform, dann die Middleware und schliesslich die Applikationen. Es gab jedoch immer wieder Verzögerungen in den Teilprojekten, sodass ich Anfang März ein riesiges Gesamtprojekt vorfand. Aber solche Herausforderungen reizen mich sehr! Und mittlerweile sind wir auch auf gutem Weg, einen erfolgreichen Abschluss zu erreichen.

Sprenger: Ich war hocherfreut, sehr kompetente und hoch motivierte Kollegen anzutreffen. Sie arbeiten mit grossem Einsatz an den Projekten und haben Freude an ihrem Job. Sie wussten selbst, dass sie sich viel vorgenommen hatten und waren dankbar, dass ich ihnen beim Kanalisieren der Arbeiten zur Seite stand. Wie gesagt, wir sind jetzt auf einem guten Weg.

Für Mitte nächsten Jahres wollen wir die weiteren Produkte-Roadmaps aufgleisen und dann neue Features tatsächlich zu dem Zeitpunkt lancieren, auf den sie angekündigt wurden. Das hat in der Vergangenheit nicht immer einwandfrei geklappt. Dank meinen Erfahrungen aus dem Produkt-Management bei AdNovum bringe ich aber Methoden und Praktiken mit, die für mehr Planungssicherheit sorgen. Ich bin guter Dinge, dass uns in Zukunft auch ein sauberes Release-Management gelingt.

Sprenger: Niemand gewinnt oder verliert in der Software-Entwicklung aufgrund der Technologie. Es stehen immer genug Optionen bereit, die ein Problem auf die eine oder andere Weise lösen können. Entscheidender ist die richtige Firmenkultur, der konstante Austausch mit dem Business und die Mitarbeiter mit der notwendigen Eigenmotivation und dem passenden Mindset. Ich bin der festen Über­zeugung, dass der Erfolg eines jeden Projekts mit den Soft Factors steht und fällt.

Sprenger: Stimmt, wir sind der einzige Anbieter von digitalen Zertifikaten, der noch ganz in Schweizer Hand ist. Damit sind wir zugleich auch der grösste Schweizer Anbieter.

Tom Sprenger von der SwissSign Group baut aktuell ein neues IT-Backend für die SwissID auf

Quelle: SwissSign Group

Sprenger: Aufgrund der Migration, die beide Bereiche auf eine komplett neue Plattform stellen wird, beschäftigt mich auch das Zertifikate-Business mehr als erwartet – obwohl es sich um ein jahrelang gewachsenes und stabiles Geschäft handelt. So nehmen die Zertifikate aktuell rund einen Drittel meiner Ressourcen in Anspruch, die SwissID die anderen zwei Drittel. Denn bei der Identität wechseln wir nicht nur die Plattform, sondern sind auch in der Produkt-Entwicklung sehr aktiv. Wir werden Integrationen mit dem elektronischen Patientendossier sehen. Und der erwähnte Signaturservice basiert ebenfalls auf der SwissID.

Sprenger: Aktuell arbeiten wir mit klassischer Technologie, unter anderem VMware-Virtualisierung und Application-Server auf Java-Basis. Für die Zukunft geplant ist der Wechsel auf eine moderne Kubernetes-Plattform mit einer komplett Software-definierten Infrastruktur.

Ein weiterer Unterschied ist der Automatisierungsgrad der Infrastruktur: Heute ist schon sehr viel automatisiert, in Zukunft werden wir auf der kompletten Entwicklungskette bis in die Produktion automatisiert sein. Dies bringt uns Vorteile auch bei Audits und der Compliance, denn jede noch so kleine Änderung an der Konfiguration wird künftig immer dokumentiert, automatisch getestet und die Nachweise in einem Repository abgelegt sein.

Wenn Sie jetzt die Frage anschliessen, warum wir mit Kubernetes nicht in die Google-Cloud wechseln, würde ich Ihnen gerne eine positive Antwort geben. Aus der Sicht der notwendigen Zertifizierungen ist es aber nicht möglich, unsere Produkte in einer fremden Infrastruktur zu betreiben. Aus regula­torischen Gründen haben wir keine Wahl und werden auch die neue Infrastruktur in unseren eigenen Rechenzentren hosten. Jedoch – wie erwähnt – mit einem langfristig viel geringeren Aufwand als heute.

Sprenger: Nein, genau wie Google hat auch Microsoft zwar Schweizer Rechenzentren, die ja aber von firmenfremden Mitarbeitern betrieben werden. Der Regulator schreibt uns derzeit noch vor, dass ausschliesslich SwissSign-An­gestellte die Infrastruktur warten dürfen. Ob es auch in Zukunft so bleiben wird, werden wir sehen.

Sprenger: Um es genau zu sagen: 1,68 Millionen.

Sprenger: Die 1,68 Millionen Identitäten sind heute an rund 100 Touchpoints einsetzbar. Aktuell wachsen wir mit rund 2200 neuen Usern pro Tag, wobei die aktuelle Pandemie­situation mitunter ein Grund für den Zuwachs ist.

Wenn Sie nach der Nutzung fragen, kann ich von rund 2 Millionen Logins pro Monat berichten, die auf den verschiedenen Online-Portalen stattfinden. Weiter steigen die Zahlen derjenigen User, die sich mit der SwissID bei verschiedenen Portalen anmelden – genau, wie wir die digitale Identität konzipiert haben.

Sprenger: Sie sprechen das Ökosystem an Attributen an, die zur digitalen Identität hinzugefügt werden können. Wenn der User zustimmt, werden auch die Attribute mit an das Online-Portal oder den Shop übermittelt. Im Fall eines Weinhändlers benötigt der Shop allerdings nicht das genaue Geburtsdatum, sondern lediglich die Information, dass der Kunde älter ist als 18 Jahre. Denn das oberste Ziel ist die Datensparsamkeit: Der Shop-Betreiber muss für den Verkauf nur wissen, ob der Käufer volljährig ist. Das Offenlegen des Geburtsdatums ist dafür nicht erforderlich. Diese Funktion der «Incapsulation» und damit das Schützen von Kundendaten wollen wir als einen Teil der Produkte-Roadmap weiter vorantreiben.

Sprenger: In der aktuellen Situation ohne das Gesetz sind wir die Herausgeber der digitalen Identität. Ein Gesetz würde den Staat zum alleinigen Herausgeber machen. Dem Bundesamt für Polizei Fedpol käme diese Aufgabe zu. Wir wären Empfänger der Personendaten und würden verpflichtet, sie regelmässig zu aktualisieren. Wir hätten eine Pu­blic-Private-Partnership, die sich in anderen Ländern als Erfolgsmodell erwiesen hat. Die Aufgabe von SwissSign wäre dann, die E-ID nutzbar zu machen – beispielsweise für die Anwendungen, die wir schon heute implementiert haben. Mit einer gesetzlich legitimierten E-ID liessen sich dann auch E-Government-Dienstleistungen realisieren. So könnten wir einen Beitrag leisten, um den Rückstand der Schweiz bei digitalen Behördengängen zu verringern. Mit dem «Digital First»-Credo des Bundes könnten wir hier schneller aufholen als vielleicht gedacht.

Sprenger: Beim Login mit SwissID auf der Post-Seite gibt es einen Abruf auf unserer Infrastruktur. Wir prüfen die Credentials, kontrollieren auf mögliche Auffälligkeiten und die Rechtmässigkeit der Anfrage. Anschliessend senden wir das Resultat des Login-Prozesses an den Post-Server zurück. Wenn zusätzliche Daten beispielsweise für ein spe­zifisches Geschäft erforderlich sind, wird der User vorab immer von unseren Servern gefragt, ob er die Informationen – für uns Attribute der SwissID – bereitstellen will.

Für die Verwendung der Daten aufseiten der Partner schliessen wir Verträge ab, in denen die Datensparsamkeit an oberster Stelle steht. Wenn ein Kunde einen Fernseher kaufen möchte, muss der Shop nicht zwingend das Alter oder Geschlecht abfragen. Dann genügen Name, E-Mail und Wohnadresse für eine allfällige Lieferung. Der Partner muss ausserdem vertraglich zusichern, dass er die von uns empfangenen Kundendaten mit der gleichen Sorgfalt behandelt wie wir auch. Wir haben überdies die Möglichkeit, das Einhalten der Vertragsbedingungen in Audits zu prüfen.

Sprenger: Korrekt. Wir können allerdings heute nur den Patienten einen digitalen Identitätsnachweis für das Dossier ausstellen – und nicht dem Fachpersonal. Denn Zielgruppe der SwissID sind die Bürger, nicht die Leistungserbringer.

Wir arbeiten mit einigen Stammgemeinschaften an der Integration in das elektronische Patientendossier. Dabei gelten naturgemäss noch viel striktere Vorschriften hinsichtlich des Datenschutzes und der Sicherheit als bei einem Online-Shop. Wir stellen uns dieser Herausforderung aber gerne und sind auf dem Weg, per Ende Jahr die notwendigen Zertifizierungen zu erhalten.

Sprenger: Ehrlich gesagt bin ich da spontan überfragt. Denn die Verhandlungen fallen nicht in meine Zuständigkeit. Ich befürchte auch, dass wir wegen Verschwiegenheitsabkommen vor Vertragsabschluss nicht über alle Stammgemeinschaften reden dürften.

Sprenger: Der grösste Unterschied ist die Technologie für die Authentifizierung. Unser Standard ist «OpenID Connect», die Patientendossiers arbeiten mit einer «SAML»-Implementierung (Security Assertion Markup Language). Weiter können wir zum Beispiel unser Produkt auf der Post-Seite direkt integrieren. Bei den Stammgemeinschaften funktioniert das nicht so einfach, da dort ein Framework etabliert ist, das die für die EPD-Lösung wichtige Interoperabilität zwischen den verschiedenen Teilnehmern sicherstellt. Aber wenn die Implementierung einmal geschafft ist, arbeitet die Technologie genau wie bei Online-Shops.

Sprenger: Die Kosten verteilen sich auf zwei Kundengruppen. Die Konsumenten beziehen die SwissID kostenlos. Geld verdient SwissSign mit der zweiten Kundengruppe: den Händlern. Sie zahlen in Abhängigkeit von der Qualität der Identitätsinformationen – von selbstdeklariert, via Photo-ID verifiziert bis hin zu ZertES-compliant mit einer persönlichen Validierung. Der zweite Preisfaktor sind die Attribute, also zum Beispiel Geburtsdatum, Adresse etc. Abgesehen davon, dass die Shops sich auf die Korrektheit der Kundendaten verlassen können, profitieren sie auch von schlankeren Prozessen. Denn sie benötigen nicht zwingend ein eigenes Identity-Management-System. Wenn sie das Login mit SwissID nutzen, entfallen auch Support-Kosten für das Onboarden neuer User oder das Zurücksetzen der Passwörter.

Die Online-Shops beziehen die Identität quasi als Service. Sie zahlen nach der Qualität, dem Umfang und nach der Menge, wobei es eine Rabattstaffel gibt.

Sprenger: Eine Organisation namens «Fancy Bear» hat versucht, mit einer «Distributed Denial of Service»-Attacke (DDoS) unsere Infrastruktur zu überlasten. Zu Spitzenzeiten kamen Anfragen mit 40 Gigabyte pro Sekunde auf unseren Servern an – wofür die Systeme natürlich nicht ausgelegt sind. Unsere erste Reaktion war, den Traffic zu prüfen und bestmöglich zu kanalisieren. Parallel haben wir die internen Schutzmechanismen aktiviert. Die vorhandene DDoS-Sicherung versagte allerdings aufgrund der Datenmenge. Teilweise mussten wir die Server vom Netz nehmen und den Service stoppen. So blieben wir nur sehr eingeschränkt verfügbar, während wir den Angriff analysiert haben.

Die erste Angriffswelle liess sich gut lokalisieren, sodass wir den entsprechenden IP-Bereich blockieren konnten. Die zweite Welle rollte global auf uns zu, sodass eine IP-Blockade nicht mehr funktionierte. Unterdessen hatten wir die Melde- und Analysestelle Informationssicherung Melani informiert und unsere IT-Partner involviert, die eine grosse Hilfe waren. Trotzdem dauerte der Angriff an. So entschieden wir, einen der globalen DDoS-Spezialisten um Hilfe zu bitten. Mit der Unterstützung von Akamai konnten die Attacken schliesslich erfolgreich abgewehrt werden.

Sprenger: Die erste DDoS-Attacke erfolgte am 31. August. Am 11. September konnten Akamai und wir den Angriff letztendlich abwehren. Es waren zwar strenge zehn Tage, aber in Anbetracht des Ausmasses der Attacke haben wir die Situation noch gut durchgestanden.

Sprenger: Für mich ist Technologie wie Medizin. Sie hat Wirkungen und sie hat Nebenwirkungen. Bei Hype-Technologien wie Blockchain ist viel die Rede von den potenziellen Wirkungen. Aber sie hat auch viele Nebenwirkungen. Sie bringt etwa eine grosse Komplexität mit, ist in gewissen Bereichen langsam und aufwendig zu betreiben.

Um den Case der SwissID zu nehmen: Der grosse Vorteil einer Blockchain ist, dass sie Vertrauen abbildet, ohne dass es eine zentrale Kontrollinstanz erfordert. SwissSign sieht sich aber gerade in der Rolle der Vertrauensinstanz.

Wenn es zusätzlich um höherwertige digitale Identitäten geht, stösst die Blockchain an regulatorische Grenzen. Denn sie ist – Stand heute – nicht zertifizierbar. In Liechtenstein existiert zwar ein Gesetz, das aber auf der Blockchain verwaltete Assets abzielt. Die Vorschrift regelt nicht die Governance der Blockchain selbst, die für uns erforderlich wäre. Vorerst beobachten wir die Technologie natürlich weiter, fahren aber mit der «herkömmlichen IT» fort.