Good Practices beim Bau von eID-Ökosystemen – Teil II

Lesen Sie Teil I hier

Vom Sehen – der historische Blick
Schaut man sich in Europa um, erhält man zwei Erkenntnisse, die in keinster Weise zum etablierten themenspezifischen Diskurs in der Schweiz passen. Einige Staaten waren bei der Entwicklung ihres nationalen eID-Ökosystems recht erfolgreich, einige Staaten waren überhaupt nicht erfolgreich, einige Staaten waren und sind teilerfolgreich, und wieder andere haben nach Jahren weitgehender Erfolglosigkeit den Weg zum Erfolg gefunden. Das heisst: Es ist äusserst schwierig, Erfolg zu haben, es ist aber durchaus möglich!
Dazu kommt, dass jene, die weiter vorn sind aktuell schneller vorwärts machen als die Nachzügler. Das Konzept, zuerst zuschauen, und dann bei der eigenen Implementierung die Fehler der anderen vermeiden, scheint nicht zu funktionieren. Ein wahrscheinlicher Grund dafür ist, dass der Zugang zur Community der Insider fehlt. Das heisst, die Strategie des Late Followers ist eine sehr gefährliche!

Vom Sehen – die Good Practices
Die oben skizzierten sehr unterschiedlichen Erfahrungen mit staatlichen eIDs wurden unter anderem von Herbert Kubicek von der Universität Bremen und vom E-Government Institut der BFH untersucht. Das Fazit lautet (ich fasse zusammen), dass es ein klares engagiertes Commitment des Staats braucht, dass eine enge Zusammenarbeit mit der Wirtschaft von Nutzen ist, dass Sorgfalt im Designdetail wirklich wichtig ist, dass der Betrieb und die zukünftige Nutzung vorausschauend geplant werden sollten, dass die Verständlichkeit der Lösungen entscheidend ist und dass die Usability grosse Bedeutung hat – nicht nur die Usability der „Geräte“, sondern die Usability im Anwendungskontext. Zusätzlich ist zu beachten, dass es in jedem Einzelfall eines Staats spezielle Voraussetzungen gibt, mit denen sich die Lösungsentwickler auseinandersetzen müssen. Hier liefert das Studium bisheriger Erfahrungen eine längere, aber durchaus überschaubare Liste konkreter Chancen (die eben nicht für alle existieren) und konkreter Risiken (die ebenfalls länderspezifisch sind).

Das alles klingt trivial, wird aber nur ganz selten befolgt! Beispiel SuisseID: Sie ist zwar eine privatwirtschaftliche Lösung, aber die enge Zusammenarbeit mit Anbietern von Killer-Applikationen in der Privatwirtschaft gab es nicht. Die Bundesverwaltung entschied obendrein, sie könne/wolle die SuisseID intern nicht nutzen. Die Usability im Anwendungskontext, z.B. beim digitalen Signieren, spielte zudem keine Rolle und die institutionellen Herausforderungen bei der Einführung wurden erst Jahre nach der Einführung zaghaft thematisiert. Die kritische Bedeutung der Kommunikation wurde unterschätzt. (Selbst viele Schweizer IT-Top-Spezialisten kennen die SuisseID nur vom Hörensagen oder gar nicht.) Missverständliche Informationen im Web störten zudem niemanden. (Ich fiel selber darauf einmal herein). Ein tieferes konzeptionelles Verständnis der Unterschiede zwischen Zertifikaten wurde vorausgesetzt. (Je nach Glück oder eben Pech bei der Installation war mindestens in der Vergangenheit das Default-Zertifikat fürs Signieren das falsche.) Und die grösste Stärke des Designs, die Inkludierung von Certification Service Providers (CSPs) wurde im Nachhinein entsorgt. Aber TROTZDEM gilt: die SuisseID ist verglichen mit den Lösungen einiger anderer Staaten noch eine recht gute Lösung. Und VOR ALLEM war sie eine Gelegenheit viel zu lernen. Das Gelernte sollte jetzt beim neuen Versuch, eine staatlich anerkannten eID zu schaffen, genutzt werden!

Vom Sehen – die Gefahr von Bad Practices
So vieles auch bei der SuisseID nicht optimal lief, sie ist keine Bad Practice. Und es macht überhaupt keinen Sinn, ganze Lösungen als Bad Practice zu betrachten. Vielmehr geht es darum, konkrete und beliebte Designfehler als Anti-Patterns zu betrachten. Aber auch dabei ist Vorsicht geboten. Wer beispielsweise aus dem ausbleibenden Erfolg in Deutschland den Schluss zieht, dass eine staatliche Ausgabe von eIDs unmöglich ist, der schiesst in der Interpretation weit übers Ziel hinaus (so verführerisch dieser Schluss auch sein mag, wenn man ein liberales Weltbild hat). Die deutsche Lösung ist zuallererst einmal für Relying Parties kompliziert und aufwendig. Daran würde eine privatwirtschaftliche Ausgabe nichts ändern.

Zusammenfassung – der Teamaspekt und Leadership
Entscheidend für den Erfolg ist das Lernen zur rechten Zeit – und genügend Zeit. Staatlich anerkannte eIDs erfolgreich – und das heisst Nutzen bringend – zu etablieren ist alles andere als einfach. Wer es versucht sollte über ein Team verfügen, in dem ganz unterschiedliche Expertisen nicht nur zusammenkommen, sondern auch ausgetauscht und mindestens zu einem gewissen Anteil geteilt werden:

• Ein breites E-Government Fachwissen basierend auf den Forschungsprojekten und den praktischen Umsetzungserfahrungen der letzten zwanzig Jahre
• Spezifische Kenntnis der eID-Erfahrungen in Europa oder sogar weltweit – und insbesondere spezifische Kenntnisse der STORK-Projekte, des Diskurses rund um die eIDAS-Regulierung und ihre Umsetzung, und der aktuellen Implementierung von eIDAS in den EU-Mitgliedsstaaten, die vom CEF-Programm gefördert wird
• Engineering-Kenntnisse für Verteilte Systeme, die fundiertes technisches Wissen und Knowhow mit fundiertem organisatorischen Implementierungswissen und Knowhow verbinden und fundierten Kenntnissen der Rechtsinformatik verbinden
• Eine fundierte Kenntnis des politischen Systems, des Rechtssetzungsprozesses und der öffentlichen Verwaltung auf nationaler Ebene, ergänzt um die Kenntnis der Stakeholder-Positionen und Einflussmöglichkeiten

Weiter ist eine grosse Portion Leadership notwendig, getragen von den Fähigkeiten, Widersprüche auszuhalten und gleichzeitig die Zukunft rosig zu sehen und die Gegenwart schwarz. Die erfolgreiche Etablierung eines funktionierenden nationalen eID-Ökosystems ist machbar, aber es braucht vieles, damit sie tatsächlich gelingt.