Förderierter Identitätsdienst für die Schweiz

Mit dem Identitätsverbund Schweiz IDV soll ein umfassender föderierter Identitätsdienst für die Schweiz aufgebaut werden, d.h. ein Verbund, welcher die Koordination von öffentlich-rechtlichen und privaten Identitätsdiensten in einem übergeordneten Infrastrukturdienst zusammenführt und damit eGovernment-Applikationen einen einfachen Zugang ermöglicht.

Warum ein Vermittler elektronischer Identitäten in der Schweiz?
Immer wieder wurde die Forderung laut, der schweizerische Staat soll endlich eine elektronische Identität (eID) in Form einer Bürgerkarte ausgeben. Der Bund hat aber bereits 2015 entschieden, keine staatliche Identitätskarte mit eID-Funktion auszustellen. Damit wird es auch keine universell einsetzbare elektronische Identität für die Schweiz geben, mit der man sich sowohl an Webshops wie auch am elektronischen Patientendossier gleichermassen sicher anmelden kann. Gemäss eID-Konzept des Fedpol will der Bund das Ausstellen von eID’s privaten Identitätsdienstleistern überlassen. Da aber eigentlich das höchste Vertrauensniveau nur eine staatlich anerkannte elektronische Identität hätte, hat sich der Bund in seinem Konzept dazu entschlossen, die Verantwortung für die Registrierung zu übernehmen und private Anbieter mit verifizierten Personenidentifizierungsdaten der Bürger und Bürgerinnen zu beliefern.

Dieser Entscheid macht aus mehreren Gründen durchaus Sinn.

• Ein erster Grund liegt darin, dass wir heute täglich zahlreiche elektronische Identitäten unterschiedlicher Anbieter einsetzen, wie z.B. die ID’s von Apple und Google, die SuisseID, den SwissPass der SBB, die Versichertenkarte, usw. Auch beim Bund und in einigen Bereichen der Kantone wird für Mitarbeiter und Mitarbeiterinnen der Verwaltung seit einiger Zeit mit der Admin-PKI Smartcard ein spezielles Authentisierungsmittel verwendet. Viele dieser Authentisierungsmittel decken einen bestimmten Bereich ab, wie z.B. das Transportwesen, die Bundesverwaltung oder das Gesundheitswesen. In all diesen Domänen gibt es Kriterien, nach denen die Identität einer Person erfasst werden muss, und es gibt Richtlinien für die minimalen Anforderungen eines zugelassenen Authentisierungsmittels. Mehrere digitale Identitäten zu verwenden, empfiehlt sich aber auch dann, wenn man einen gewissen Schutz der Privatsphäre erreichen möchte. Durch die zunehmende Vernetzung von Applikationen verschiedener Lebensbereiche – nicht zuletzt durch die mehrfache Verwendung einer digitalen Identität – gibt man oft mehr Informationen preis, als in den Applikationen selbst. Deshalb ist es ratsam, elektronische Identitäten nur in einem bestimmten Kontext einzusetzen und nicht – oder nur sehr kontrolliert – mehrfach zu verwenden.
• Ein weiterer Grund zur Vielfalt von elektronischen Identitäten dürfte auch darin liegen, dass künftig mehrere private Anbieter versuchen werden im elektronischen Identitätsbusiness ihre Lösung zu etablieren und wir damit unter verschiedenen Angeboten auswählen können bzw. müssen. Medienberichten zufolge sind aktuell neue Projekte von privaten Firmen bereits lanciert oder befinden sich in Planung. So wollen die Grossbanken UBS und CS zusammen mit der Swisscom künftig eine digitale Identität auf den Markt bringen und die Post will mit neuem Geschäftsmodell und mit virtuellem Token schon 2017 die SuisseID in einem neuen Kleid ihren Kunden gratis zur Verfügung stellen.

Nutzen und Ziele der IDV-Schweiz Vermittlerinfrastruktur
Wir können also davon ausgehen, dass wir auch künftig mehrere Anbieter von Identitätsdiensten auf dem Markt haben werden. Diese bieten Identitätsinformationen in unterschiedlicher Qualität und für bestimmte Anwendungsbereiche an. Auf der anderen Seite haben wir Applikationen, die als Konsumenten diese Informationen nutzen möchten, um den Zugriff auf die von ihnen kontrollierten Ressourcen steuern zu können. Hier setzt das Projekt Identitätsverbund Schweiz IDV an, welches sich zum Ziel gesetzt hat, Anbieter von Identitätsinformationen und deren Konsumenten auf möglichst einfache Art und Weise zu verbinden, ohne dass diese viel voneinander wissen müssen.

Dabei legt das Projekt IDV Schweiz den Fokus vorerst auf die Vermittlung von Identitätsinformationen im eGovernment. Kantone und Gemeinden können von IDV Schweiz profitieren, indem Mitarbeiter und Mitarbeiterinnen sich bei elektronischen Diensten anderer Gemeinden, Kantone oder beim Bund anmelden können, und zwar mit den Zugangsmitteln, die sie täglich in ihrer eigenen Behörde verwenden. Aber auch für Privatpersonen ist der Dienst interessant. So soll sich ein Bürger oder eine Bürgerin mit einer Authentisierungsbestätigung, welche von seiner Wohngemeinde oder eines privaten Anbieters ausgestellt wird, auf einem Bürgerportal oder einer kantonalen Anwendung anmelden und sich sicher identifizieren können.

Der Brokerdienst von IDV-Schweiz vermittelt sozusagen «über Kreuz» zwischen möglichen Identity Providern (IdP) und den Web-Applikationen, welche der Bund, die Kantone oder Gemeinden zur Verfügung stellen.

Die Rolle des IDV-Brokers
Der IDV-Broker als Vermittlungsdienst übernimmt für alle Beteiligten wichtige Aufgaben und stellt die Vertrauensbeziehung zwischen den Partnern her. Das Kernstück des Vertrauens ist die korrekte Vermittlung der minimal geforderten Qualität einer Authentisierung und der Attribute als Identitätsinformationen (in obenstehender Grafik als Vertrauensstufe – VS bezeichnet). Web-Applikationen und Identitätsdienste können dazu im Voraus ihre Anforderungen bzw. ihr Angebot auf der Vermittlerinfrastruktur konfigurieren. Der technische Aufwand um bei IDV-Schweiz mitzumachen zu können, soll aber für alle Beteiligten möglichst klein gehalten werden, so dass der Einstieg einfach und schnell zu realisieren ist. Um als Verbund einen Vertrauenskreis bilden zu können, müssen sich sowohl der IDV-Broker wie auch die Identitätsdienste zertifizieren lassen. Web-Applikationen auf der anderen Seite dürfen den Dienst nur nutzen, wenn sie registriert und dazu berechtigt sind.

Um den Anforderungen verschiedener Bereiche bzw. Domänen gerecht werden zu können, ermöglicht es IDV-Schweiz, dass sich einzelne Identitätsdienste und Web-Applikationen innerhalb des Verbundes in einer Domäne organisieren, eigene Richtlinien für die Vermittlung von Identitätsinformationen erstellen und diese auch selbst kontrollieren können.

IDV-Schweiz hat sich aber auch zum Ziel gesetzt, die Privatsphäre des Benutzers möglichst optimal zu schützen. Dies wird mit verschiedenen Massnahmen auf technischer und organisatorischer Ebene umgesetzt werden.

Die Rolle des Instituts for ICT-based Management (ICTM) der BFH
Das ICTM hat mit der Ausarbeitung der Standards eCH-0168 und eCH-0174 im Bereich IAM, sowie dem eCH-0170 „Qualitätsmodell zur Authentifizierung von Subjekten“ eine wichtige Grundlage für die Gestaltung und Umsetzung der IDV-Schweiz Vermittlerinfrastruktur gelegt. Als Autoren dieser Standards wurde das Institut vom SECO beauftragt das Projekt technisch zu beraten und inhaltlich zu begleiten. Das ICTM wurde zudem beauftragt den IDV-Broker über die verschiedenen Ausbaustufen bis zum produktiven System funktional und bezüglich Sicherheit zu testen. Für den Identitätsverbund IDV-Schweiz ist vom SECO in einer späteren Phase auch eine Anbindung an das europäische eIDAS-Identitätsföderationssystem geplant. Da das ICTM bereits einen eIDAS-Knoten zu Testzwecken betreibt, wird diese Anbindung voraussichtlich ebenfalls durch das Institut technisch und inhaltlich begleitet werden.

Weiterführende Informationen:
Identitätsverbund Schweiz IDV
E-Government Schweiz