«SwissID soll die digitale Schweiz voranbringen»

E-Government und E-Health

CW: Welche Chancen und Risiken entstehen durch das allfällige Bundesgesetz E-ID aus Sicht von SwissSign?
Sprenger: In der aktuellen Situation ohne das Gesetz sind wir die Herausgeber der digitalen Identität. Ein Gesetz würde den Staat zum alleinigen Herausgeber machen. Dem Bundesamt für Polizei Fedpol käme diese Aufgabe zu. Wir wären Empfänger der Personendaten und würden verpflichtet, sie regelmässig zu aktualisieren. Wir hätten eine Pu­blic-Private-Partnership, die sich in anderen Ländern als Erfolgsmodell erwiesen hat. Die Aufgabe von SwissSign wäre dann, die E-ID nutzbar zu machen – beispielsweise für die Anwendungen, die wir schon heute implementiert haben. Mit einer gesetzlich legitimierten E-ID liessen sich dann auch E-Government-Dienstleistungen realisieren. So könnten wir einen Beitrag leisten, um den Rückstand der Schweiz bei digitalen Behördengängen zu verringern. Mit dem «Digital First»-Credo des Bundes könnten wir hier schneller aufholen als vielleicht gedacht.
CW: Stand heute – welche Rolle haben die Partner von SwissSign? Wenn ich mich bei der Post mit der SwissID anmelde, wer verifiziert meine Identität?
Sprenger: Beim Login mit SwissID auf der Post-Seite gibt es einen Abruf auf unserer Infrastruktur. Wir prüfen die Credentials, kontrollieren auf mögliche Auffälligkeiten und die Rechtmässigkeit der Anfrage. Anschliessend senden wir das Resultat des Login-Prozesses an den Post-Server zurück. Wenn zusätzliche Daten beispielsweise für ein spe­zifisches Geschäft erforderlich sind, wird der User vorab immer von unseren Servern gefragt, ob er die Informationen – für uns Attribute der SwissID – bereitstellen will.
Für die Verwendung der Daten aufseiten der Partner schliessen wir Verträge ab, in denen die Datensparsamkeit an oberster Stelle steht. Wenn ein Kunde einen Fernseher kaufen möchte, muss der Shop nicht zwingend das Alter oder Geschlecht abfragen. Dann genügen Name, E-Mail und Wohnadresse für eine allfällige Lieferung. Der Partner muss ausserdem vertraglich zusichern, dass er die von uns empfangenen Kundendaten mit der gleichen Sorgfalt behandelt wie wir auch. Wir haben überdies die Möglichkeit, das Einhalten der Vertragsbedingungen in Audits zu prüfen.
CW: Eine sinnvolle Anwendung der SwissID könnte das elektronische Patientendossier sein.
Sprenger: Korrekt. Wir können allerdings heute nur den Patienten einen digitalen Identitätsnachweis für das Dossier ausstellen – und nicht dem Fachpersonal. Denn Zielgruppe der SwissID sind die Bürger, nicht die Leistungserbringer.
Wir arbeiten mit einigen Stammgemeinschaften an der Integration in das elektronische Patientendossier. Dabei gelten naturgemäss noch viel striktere Vorschriften hinsichtlich des Datenschutzes und der Sicherheit als bei einem Online-Shop. Wir stellen uns dieser Herausforderung aber gerne und sind auf dem Weg, per Ende Jahr die notwendigen Zertifizierungen zu erhalten.
CW: Sind Sie mit allen Stammgemeinschaften im Geschäft? Ideal wäre ja doch eine schweizweit einheit­liche digitale Identität.
Sprenger: Ehrlich gesagt bin ich da spontan überfragt. Denn die Verhandlungen fallen nicht in meine Zuständigkeit. Ich befürchte auch, dass wir wegen Verschwiegenheitsabkommen vor Vertragsabschluss nicht über alle Stammgemeinschaften reden dürften.
CW: Welche Unterschiede gibt es bei der Integration in die Post-Webseite und in ein Patientendossier?
Sprenger: Der grösste Unterschied ist die Technologie für die Authentifizierung. Unser Standard ist «OpenID Connect», die Patientendossiers arbeiten mit einer «SAML»-Implementierung (Security Assertion Markup Language). Weiter können wir zum Beispiel unser Produkt auf der Post-Seite direkt integrieren. Bei den Stammgemeinschaften funktioniert das nicht so einfach, da dort ein Framework etabliert ist, das die für die EPD-Lösung wichtige Interoperabilität zwischen den verschiedenen Teilnehmern sicherstellt. Aber wenn die Implementierung einmal geschafft ist, arbeitet die Technologie genau wie bei Online-Shops.
CW: Welche Kosten entstehen bei der SwissID? Fürs Ausstellen, den Betrieb der Infrastruktur und die Services in den Online-Shops?
Sprenger: Die Kosten verteilen sich auf zwei Kundengruppen. Die Konsumenten beziehen die SwissID kostenlos. Geld verdient SwissSign mit der zweiten Kundengruppe: den Händlern. Sie zahlen in Abhängigkeit von der Qualität der Identitätsinformationen – von selbstdeklariert, via Photo-ID verifiziert bis hin zu ZertES-compliant mit einer persönlichen Validierung. Der zweite Preisfaktor sind die Attribute, also zum Beispiel Geburtsdatum, Adresse etc. Abgesehen davon, dass die Shops sich auf die Korrektheit der Kundendaten verlassen können, profitieren sie auch von schlankeren Prozessen. Denn sie benötigen nicht zwingend ein eigenes Identity-Management-System. Wenn sie das Login mit SwissID nutzen, entfallen auch Support-Kosten für das Onboarden neuer User oder das Zurücksetzen der Passwörter.
Die Online-Shops beziehen die Identität quasi als Service. Sie zahlen nach der Qualität, dem Umfang und nach der Menge, wobei es eine Rabattstaffel gibt.
Zur Firma
SwissSign Group
hat zwei Eckpfeiler: Iden­titätsservices unter der Marke SwissID sowie Zertifikatsdienste. Das Vorläufer-Unternehmen SwissSign AG mit Fokus auf Sicherheitszertifikate wurde 2001 gegründet. 2005 übernahm die Schweize­rische Post die Firma. Die Geschäftstätigkeit wurde 2010 durch die SuisseID erweitert. Als 2017 die SwissID lanciert wurde, wurden zuerst die SBB und dann die grössten Schweizer Banken und Versicherungen neue Aktionäre. Im Jahr darauf entstand das Gemeinschaftsunternehmen SwissSign Group.



Das könnte Sie auch interessieren