3. Juli 2022
Der jüngste Anlauf einer Schweizer E-ID nimmt immer schärfere Konturen an. Diese Woche wurde ein neuer Gesetzesvorentwurf in die Vernehmlassung geschickt. Der Vorschlag überzeugt und hat das Potential, industrieübergreifend effizientere Prozesse mit höherer Datenqualität zu ermöglichen. Doch der Erfolg ist noch nicht garantiert. Damit es dieses Mal mit der breiten Nutzung durch die Schweizer Bevölkerung wirklich klappt, muss die Customer Experience der geplanten E-ID noch konsequenter zu Ende gedacht werden.
Eckpunkte des neuen E-ID Gesetzesvorentwurfs: eine Einordnung
Was lange währt, ist auf dem richtigen Weg, endlich gut zu werden. Denn die konzeptionellen Eckpunkte, die dem am 29. Juni publizierten Vorentwurf zum «Bundesgesetz über den elektronischen Identitätsnachweis und andere elektronische Nachweise» zugrunde liegen, sind klug gewählt:
- Im Zentrum steht die «Self-Sovereign Identity (SSI)». Diese neuartige Identitätsmethode ist aus einer Datenschutz-Perspektive besonders attraktiv. Dank ihrer innovativen Architektur und modernen kryptographischen Elementen bietet SSI «Privacy by Design» und «Zero Knowledge Proof». Und macht damit die in Art. 2 b) des Gesetzesvorwurfs erwähnten Grundsätze möglich: Datenschutz durch Technik, Datensicherheit, Datensparsamkeit und dezentrale Datenspeicherung.
- Die Vertrauensinfrastruktur wird durch den Bund aufgebaut und betrieben. Aus einer rein sachlich-technischen Perspektive ist dies zunächst nicht intuitiv. Denn auch ein privat entwickeltes und wirklich dezentral betriebenes SSI-Basisregister könnte die zuvor erwähnten Datenschutz-Anforderungen sicherstellen – und dies möglicherweise kostengünstiger, schneller und adaptiver als der Bund. Angesichts der letzten Volksabstimmung zur E-ID scheint der Aufbau einer staatlichen Vertrauensinfrastruktur dennoch richtig. Denn eine E-ID wird vom Volk nur angenommen und genutzt werden, wenn das Volk dieser E-ID vertraut. Ein «Bundessiegel» leistet dazu womöglich den entscheidenden Beitrag.
- Die geplante E-ID Infrastruktur wird nicht nur die E-ID selbst (Ambition Level 1), sondern auch andere staatlich regulierte Beweise wie z.B. den digitalen Fahrausweis (Ambition Level 2) sowie beliebige durch die Privatwirtschaft ausgestellte «Verifiable Credentials» (Ambition Level 3) ermöglichen. Eine solch breite E-ID Vision ist eine zwingende Voraussetzung, damit die E-ID im Alltag relevant und von der breiten Bevölkerung aktiv genutzt wird. Es überrascht daher nicht, dass auch die EU eine SSI-Vision auf Ambition Level 3 verfolgt – und dass die Schweizer E-ID mit jener der EU kompatibel sein soll.
- Eine offene Wallet-Architektur mit staatlicher Referenzimplementierung ist vorgesehen. Sprich: Der einzelne Bürger soll frei wählen können, ob er seine E-ID und die weiteren «Verifiable Credentials» in der vom Bund herausgegebenen Wallet-App speichert oder in der Wallet-App eines privaten Anbieters (welcher ggfs. einer Zertifizierungspflicht durch den Bund unterliegt). Diese «sowohl-als-auch»-Entscheidung ist richtig und wichtig. Denn die Bundes-Wallet hilft insbesondere bei Lancierung der neuen E-ID, das nötige Vertrauen zu schaffen. Um das Innovationspotential von «Ambition Level 3» wirklich zu nutzen, wird jedoch der Wettbewerb unter privatwirtschaftlichen, differenzierten Wallets unverzichtbar sein.
Dass der Vorentwurf des neuen E-ID Gesetzes bereits sehr reif und konsensfähig daherkommt, ist weder eine Überraschung noch ein Zufall, sondern das Ergebnis des mustergültigen Partzipationsprozesses des EJPD. Dieser hatte bereits Ende 2021 in einem fundierten Richtungsentscheid des Bundesrats resultiert und wurde seither mit Partizipationscalls und einem offenen «GitHub»-Forum weiter intensiviert.
Details und Hintergründe rund um SSI und die Schweizer E-ID finden sich z.B. in kürzlich publizierten Studien von Digital Switzerland und der Hochschule Luzern sowie im Blog von Procivis.
Enormes Potential
Die langfristigen Folgen einer Annahme des E-ID Gesetzes wären äusserst weitreichend. Denn SSI auf Ambition Level 3 schafft einen nahezu beliebig verwendbaren «Trust Layer» rund um das Internet, digitale Dokumente und Daten.
Die Use Cases eines solchen «Trust Layers» wären sehr zahlreich und dürften quer durch alle Industrien hinweg zur Anwendung kommen. Eine nicht abschliessende Auswahl haben wir in untenstehender Übersicht zusammentragen. Als illustratives Beispiel haben wir zudem das E-Rezept, einen «Digital Health» Use Case, bereits in einem früheren Blog-Post vertieft skizziert.
Der gemeinsame Nenner all dieser Use Cases besteht darin, dass sie effizientere Prozesse mit höherer Datenqualität ermöglichen – und damit immer dort, wo ein erhöhtes Vertrauenslevel benötigt wird, einen echten Mehrwert bieten.
Stolperstein 1: User Experience der Wallet-Apps
Das Potential einer SSI-basierten E-ID ist also immens. Doch wird die Vision einer solch umfassenden «SSI Welt» jemals Realität werden? Neben dem erforderlichen politischen Konsens, der sich immer stärker abzuzeichnen scheint, hängt der Erfolg von SSI insbesondere auch stark davon ab, wie konsequent und überzeugend das Modell aus einer Endnutzer-Perspektive zu Ende gedacht und umgesetzt wird.
«You’ve got to start with the customer experience and work backwards to the technology – not the other way around”. Leider scheint diese zentrale Erkenntnis aus dem Vermächtnis von Steve Jobs die SSI-Community erst punktuell erreicht zu haben. Stand heute bestehen rund um SSI-Wallets zwei fundamentale «Customer Experience Gaps», die beide zwingend vor go-live gelöst werden müssen.
Die erste Customer Experience Gap besteht in der User Experience (UX) der Wallet-Apps selbst. Beim Testen einiger Wallets, die im In- und Ausland für SSI-Piloten verwendet werden, fühlt man sich um Jahrzehnte zurückversetzt. Das Design ist nicht intuitiv, die Informationsarchitektur wirkt beliebig. Besonders gravierend: Die Texte sind oftmals technisch, gar kryptisch formuliert. In einer Pilot-Phase ist dies noch vertretbar, für einen Rollout jedoch ein absolutes «no go» – gerade wenn man bedenkt, dass via solche Apps dereinst auch Laien den Zugriff auf ihre sensitivsten, persönlichsten Informationen gewähren oder verweigern sollen.
Die Lösung dieses ersten Customer Experience Gaps ist vergleichsweise einfach, weil es sich dabei «nur» um ein Frontend-Thema handelt. Setzt man ein eingespieltes Team aus UX-Experten (Interaction Designer, Copywriter, Visual Artists) rechtzeitig auf das Thema an, dürfte es gut kommen. Wir drücken dem Team vom EJPD die Daumen, dass es die nötigen Ressourcen erhält, um beim Bundes-Wallet die nötige UX sicherzustellen.
Stolperstein 2: System für Sicherungskopien
Der zweite Customer Experience Gap ist fundamentalerer Natur. Dieser betrifft die relativ seltenen, aber matchentscheidenden Customer Journeys «Smartphone-Wechsel» und «Smartphone-Verlust». In den von uns getesteten Pilot-Wallets werden diese beiden Journeys ermöglicht durch ein «Export»-Feature, welches es erlaubt, die im Wallet gespeicherten Daten in eine verschlüsselte Datei zu speichern. Das Durchführen solcher Backups wird dem Endnutzer ebenso überlassen wie die sichere Aufbewahrung dieser kritischen Dateien und der damit verbundenen Passwörter. Aus einer Kundenperspektive bedeutet dies, mindestens bei jedem Smartphone-Wechsel (d.h. im Durchschnitt alle rund 18 Monate) einen manuellen, risikobehafteten Prozess durchzuführen, der viele überfordern dürfte. Gravierend wird es beim Verlust oder Diebstahl des Smartphones: Alle im Wallet gespeicherten «Verifiable Credentials» – und das werden in Ambition Level 3 äusserst viele sein – sind unwiderruflich verloren und müssen neu ausgestellt werden, sofern der Endnutzer kein aktuelles Backup manuell erstellt hat (was erfahrungsgemäss nur wenige tun werden).
Der Bund hat dieses Problem erkannt und daher in den Vorentwurf des E-ID Gesetzes Artikel 21 bzgl. «System für Sicherungskopien» eingebaut. Absatz 1 hält fest, dass der Bundesrat vorsehen kann, «[…] dass der Bund ein System zur Verfügung stellt, dem die Inhaberinnen und Inhaber Sicherheitskopien ihrer elektronischen Nachweise zur Aufbewahrung übergeben können.» Im erläuternden Bericht wird präzisiert: «Eine solche Sicherung der elektronischen Nachweise kann auf einer Cloud oder lokal auf einem technischen Träger der Inhaberin oder des Inhabers vorgesehen werden. Die Nutzung des Systems für Sicherheitskopien ist freiwillig.»
Bemerkenswert ist, dass das «System für Sicherungskopien» in der Cloud vorgesehen werden kann. Dies ist einerseits sehr schlüssig, weil nur mit einer Cloud-Lösung der zuvor erläuterte zweite Customer Experience Gap wirkungsvoll adressiert werden kann (nur ein Cloud-Backup läuft aus Kundensicht gefühlt automatisch und tagesaktuell). Andererseits führt ein solches Cloud-Backup zu neuen, folgenreichen Herausforderungen. Erstens entsteht so ein zentraler, für kriminelle Kräfte äusserst attraktiver Angriffspunkt. Zweitens widerspricht ein zentrales Cloud-Backup dem in Art. 2 b) verankerten SSI-Prinzip der Dezentralität. Sprich: es besteht ein Spannungsfeld zwischen User Experience, Sicherheit und Datenschutz bzw. der Philosophie der Dezentralität.
Diese «Knacknuss» zu lösen ist ebenso anspruchsvoll wie essentiell. Eine perfekte Lösung wird es nicht geben. Ein vielversprechender Ansatz könnte jedoch darin bestehen, dass der Bund für die Ablage der Sicherheitskopien mit einem privaten Anbieter zusammenarbeitet, der auf sichere Cloud-Speicherung spezialisiert ist. Die Backups würden dabei direkt in der Wallet-App verschlüsselt («client side encryption») und zusätzlich end-to-end verschlüsselt übertragen. Der private Cloud-Speicheranbieter hätte so keine Möglichkeit die Daten einzusehen – wäre jedoch aufgrund seiner sonstigen Geschäftstätigkeit und Expertise besser als der Bund gerüstet, um kriminelle Vektoren erfolgreich abzuwehren und damit Restrisiken zu minimieren. Eine solche «segregation of duty» hätte ferner den Vorteil, dass der Bund nicht dem Vorwurf ausgesetzt werden könnte, «durch die Hintertüre» dennoch eine zentrale staatliche Datenbank zu schaffen, mit der er Zugriff auf die persönlichen Wallet-Inhalte seiner Bürger erhält. Ganz ohne Privatwirtschaft sollte daher selbst die Bundes-Wallet nicht auskommen.
Ein langer, aber lohnender Weg
Bis die Schweizer E-ID in der Bevölkerung ankommt, wird es noch lange dauern. Wir gehen davon aus, dass das Gesetz frühestens im Verlaufe von 2025 in Kraft treten wird (Botschaft in H2 2023, danach rund 1 Jahr für die Behandlung in National- und Ständerat inkl. vorbereitender Kommissionen, danach abwarten der sechsmonatigen Referendumsfrist). Abhängig vom Verlauf der politischen Diskussion sowie vom Startzeitpunkt und Verlauf des Umsetzungsprojekts dauert es allenfalls gar deutlich länger.
Klar ist aber auch: Die zentralen konzeptionellen Weichen für die «SSI-Welt» werden in den nächsten Monaten und Jahren gestellt. Auf Arbeitsebene gibt es daher bereits heute eine grosse Dynamik, die wir als sehr konstruktiv und zielführend erachten (neben den bereits genannten Partizipationscalls des EJPD namentlich auch diverse Piloten seitens Privatwirtschaft, Bund und einiger Kantone). Entscheidend ist, dass dabei die kundenzentrierte Lösung der beiden genannten Stolpersteine rechtzeitig die nötige Aufmerksamkeit erhält.
Als Acrea leisten wir gerne unseren Beitrag zu diesem Generationenprojekt und freuen uns über jede Kontaktaufnahme und Zusammenarbeit.
Interessierst Du Dich für Themen wie digitale Identität und SSI? Bleib im Loop auf http://www.acrea.com/newsletter
