- Story
Ausweisen in der realen und digitalen Welt
13.02.2025 Ab 2026 soll es in der Schweiz eine elektronische Identität (E-ID) geben. Die BFH-TI ist massgeblich an deren Entwicklung beteiligt. Die Forschungsgruppe um Informatik-Dozentin Annett Laube hat sich in den vergangenen Jahren einen Namen gemacht bei der Erarbeitung von elektronischen Identitäten unter konsequenter Wahrung der Datensparsamkeit und Privatsphäre.
Die Schweiz soll ab 2026 eine E-ID erhalten. In der letztjährigen Frühlingssession stimmte der Nationalrat einem entsprechenden Gesetzesentwurf zu, in der Herbstsession folgte der Ständerat. 2021 hatte das Volk das Bundesgesetz über elektronische Identifizierungsdienste (BGEID) noch abgelehnt. Und auch gegen den aktuellen Gesetzesentwurf ergreifen mehrere Interessensgruppen das Referendum. Es bleiben also noch viele Fragen offen, an deren Klärung die BFH massgeblich beteiligt ist: Annett Laube, Leiterin des Institute for Data Applications and Security (IDAS) an der BFH-TI, ist Mitglied des Technical Advisory Circle des Bundes. Sie und ihr Team unterstützen die federführenden Bundesämter für Justiz (BJ) und Polizei (fedpol) bei der Entwicklung der E-ID.
Patienten-Dossier und Organspende
Mit der E-ID soll man sich in der realen und digitalen Welt ausweisen können. Vorgesehen ist, dass sich Nutzer*innen eine App auf ihr Smartphone laden und einen Schweizer Ausweis mit der Kamera scannen. Dann muss ein Selfie hochgeladen werden, im Anschluss prüft das fedpol die Angaben. Die E-ID wird dann mit dieser App auf dem Smartphone gespeichert, das idealerweise über ein Secure-Element verfügt. In welchen Bereichen die E-ID konkret eingesetzt werden soll, will der Bund weitgehend offenlassen. «In diesen Fragen sollen Wirtschaft und Gesellschaft Vorschläge erarbeiten», sagt Annett Laube.
Was bisher feststeht: Die E-ID soll man in einem Laden zum Altersnachweis beim Kauf von Alkohol verwenden. Im Internet soll man sie beim Bestellen eines Strafregisterauszugs benutzen. Sie wird auch mit dem künftigen elektronischen Organspende-Register verknüpft. Darin müssen wir in der Schweiz gemäss der Widerspruchslösung festhalten, wenn wir nach dem Tod keine Organe spenden wollen. Auch für einen Einsatz beim elektronischen Patientendossier (EPD) ist die E-ID vorgesehen. Ebenso soll sie bei der Plattform «Authentifizierungsdienst der Schweizer Behörden» (AGOV) zur Anwendung kommen. Dort kann man sich beim Bund und bei kantonalen und kommunalen Behörden anmelden, um etwa die Steuererklärung elektronisch zu erledigen. Interessant könnte auch ein Einsatz beim elektronischen Sammeln von Unterschriften für Volksinitiativen und Referenden (E-Collecting) sein. Dazu wurden in den nationalen Räten bereits mehrere Motionen eingereicht.
Noch ist es aber nicht soweit. Derzeit läuft ein Pilotversuch: Seit letztem Frühling stellt das Strassenverkehrsamt Appenzell Ausserrhoden (AR) elektronische Lernfahrausweise (eLFA) aus, die von Lernfahrer*innen in einer elektronischen Brieftasche (Wallet) auf dem Smartphone aufbewahrt werden. Wer den eLFA vorweisen muss, kann dies via QR-Code tun. Das Bundesamt für Strassen (ASTRA) und die Vereinigung der Schweizerischen Verkehrsämter (asa) erweitern den eLFA im laufenden Jahr auf alle Fahrzeugkategorien und setzen ihn in allen Kantonen ein. Zusätzlich zur Beantwortung von technischen Fragen soll das Pilotprojekt auch Erkenntnisse liefern, wie die Nutzer*innen mit einem digitalen Identitätsnachweis umgehen. Die Erfahrungen werden in die Produkteentwicklung der E-ID einfliessen.
«Es gibt grundsätzlich zwei Technologie-Ansätze: Beim einen wird Transparenz, beim anderen die Privatsphäre stärker betont.»
International hat sich die E-ID bisher noch nirgends durchgesetzt. Eine Ausnahme bilden baltische Staaten wie Estland, wo Bürger*innen verpflichtet sind, die E-ID zu verwenden. Allerdings werden die Daten dort zentral gespeichert, was in Bezug auf den Schutz der Privatsphäre problematisch ist. Im Schweizer Modell sind alle Daten ausschliesslich auf dem Smartphone abgelegt.
«Eine grosse Chance»
Gleichwohl bleiben Fragen zur Privatsphäre: «Es gibt grundsätzlich zwei Technologie-Ansätze, wie man eine E-ID gestalten kann», hält Annett Laube fest. «Beim einen wird Transparenz, beim anderen die Privatsphäre stärker betont.» Der Ansatz, den zum Beispiel die Europäische Union (EU) verfolgt, setzt auf Transparenz und vergibt eine eindeutige Nummer, die bei jeder Identifikation mitgegeben wird. Das kann für Profiling verwendet werden und erhöht das Potenzial für Missbrauch. Denn die einzelnen Anwendungen der E-ID können so theoretisch verknüpft werden. Der zweite Ansatz setzt Technologien ein, die eine solche missbräuchliche Verknüpfung der einzelnen Identifikationen erschweren. In beiden Technologie-Ansätzen ist hingegen das sogenannte «Selective Disclosure» möglich. «Dabei kann man jeweils nur jene Daten preisgeben, die verlangt werden», erläutert die BFH-Informatik-Professorin. «Also zum Beispiel nur Namen und Geburtsdatum und nicht auch noch Augenfarbe und andere persönliche Daten.»
In einem ersten Schritt soll in der Schweiz nun die EU-Lösung mit dem Fokus auf Sicherheit weiterverfolgt werden. «Allerdings wird diese wohl nicht 1:1 umgesetzt», sagt Annett Laube. Man werde versuchen, die im Gesetz verankerte «Privacy-by-design» umzusetzen, so gut es mit dieser Technologie möglich sei. Parallel solle an einer Lösung mit grösserem Schutz der Privatsphäre gearbeitet werden. Letzteres ist für Annett Laube wichtig: «Wir können vorangehen und zeigen, wie die Privatsphäre in einem so wegweisenden digitalen Projekt geschützt werden kann.» Dazu muss man wissen: Die Forschungsgruppe der BFH-TI ist in der Schweiz führend bei der Erstellung elektronischer Identitäten. So hat sie zum Beispiel zur AGOV-Plattform in verschiedenen Projekten konzeptionelle Vorarbeiten geleistet und eCH-Standards erstellt. Zudem haben die Forschenden der BFH-TI in vielen praktischen Anwendungsfällen gezeigt, wie man das selektive Preisgeben von Daten und den Schutz der Privatsphäre in der digitalen Praxis konkret umsetzen kann.
Bei der E-ID bleiben so oder so noch viele Fragen zu klären: Wie lässt sich der Ausstellungsprozess der E-ID möglichst sicher und benutzerfreundlich gestalten? Was passiert, wenn das Smartphone verloren geht? Und was ist zu tun, wenn die E-ID abläuft? Grundsätzlich sei es wichtig, der Bevölkerung das nötige Wissen zur Anwendung und die Sensibilität beim Verwenden digitaler Daten zu vermitteln. «Wenn ich am Kiosk beim Kauf von Alkohol meine Identitätskarte zeige, hinterlässt das keine Spuren. In der digitalen Welt hinterlassen wir dagegen immer Spuren», betont Annett Laube. Natürlich sei es ein Vorteil, dass der Staat dereinst keine Identitätskarten aus Plastik mehr werde herstellen müssen. «Trotzdem wird es noch viele Jahre dauern, bis sich eine E-ID flächendeckend durchsetzt.»
Editorial spirit biel/bienne 1/2025
Wir machen den Praxistest
In einer zusehends digitalen Welt ist es unabdingbar, dass sich die Menschen auch elektronisch ausweisen können. Bis eine elektronische Identität (E-ID) flächendeckend eingesetzt wird, dürfte es aber noch viele Jahre dauern. Immerhin: In der Schweiz ist die Einführung der E-ID auf Anfang 2026 geplant, nachdem ein erster Versuch 2021 noch gescheitert war.
Wir von der BFH-TI sind an der Erarbeitung der E-ID massgeblich beteiligt. Wir knöpfen uns die oftmals noch recht abstrakten Konzepte aus der Gesetzgebung vor und analysieren, wie sie sich mit den neusten Technologien umsetzen lassen. Wir fragen: Geht das technisch überhaupt? Kann ein Smartphone das? Verstehen das die Bürger*innen? Mit unserer angewandten Forschung machen wir den Praxistest.
In den vergangenen Jahren hat sich die BFH-TI vor allem deshalb einen Namen gemacht, weil wir Datensparsamkeit und den Schutz der Privatsphäre in vielen Anwendungen von elektronischen Identitäten konkret umgesetzt haben. Die Schweiz versucht nun, in ihrer E-ID-Lösung EU-Kompatibilität und Transparenz mit höchstmöglicher Privatsphäre zu vereinen. Wir werden alles dafür tun, dass das gelingt.
In jedem Fall wird es entscheidend sein, die Bevölkerung für eine sachgerechte Nutzung der E-ID zu sensibilisieren.
Annett Laube
Leiterin Institute for Data Applications and Security
