Wie stark muss eine Authentifizierungslösung in der Verwaltung wirklich sein?

Die häufige Grundannahme, dass Authentifizierungslösungen, die Bürger Zugriff auf E-Government-Leistungen ermöglichen, eine sehr hohe Vertrauensstufe mit sich bringen müssen, lässt sich nicht bestätigen. Untersuchungen zeigen, dass für viele Services im E-Government eine Authentifizierungslösung mit mittlerer Vertrauensstufe aus Sicht der Verwaltung ausreichend ist. Dennoch stellt sich die Frage, wie zukünftig mit den E-Government Services umgegangen werden soll, für die eine mittlere Vertrauensstufe nicht ausreichend ist. Eine national etablierte Authentifizierungslösung mit möglichst hoher Usability wird hier für die Zukunft gefordert.

Der Erfolg einer Authentifizierungslösung misst sich daran, wie viele Personen die Lösung aktiv nutzen. Es ist somit nicht nur die Zahl der ausgestellten Authentifizierungsmittel relevant, sondern eben auch wie oft die Lösung für einen Zugang zu Services verwendet wird.

Der Blick ins Ausland zeigt, dass eine breite Nutzung unter anderem dann erreicht werden kann, wenn die Lösung eine möglichst hohe Usability aufweist. Dies impliziert, dass sowohl der Registrierungs- als auch der Authentifizierungsprozess möglichst einfach, schnell, orts- und geräteunabhängig erfolgen müssen. Damit sind Authentifizierungslösungen im Vorteil, die eine reine Online-Registrierung erlauben, idealerweise mittels Smartphone. Reicht eine Ein-Faktor-Authentifizierung (z. B. Angabe eines Passworts) aus, trägt dies zu einer entsprechend höheren Usability bei. Es ist jedoch offenkundig, dass solche Lösungen nur eine geringe Vertrauensstufe für den Serviceanbieter mit sich bringen. Denn der Zugriff über eine solche Authentifizierungslösung bietet keine Sicherheit darüber, ob die Person in der Realität tatsächlich diejenige Person ist, die sie vorgibt zu sein.

Für die Erbringung von staatlichen Dienstleistungen sind die eindeutige Identifikation und eine sichere Authentifizierung von besonderer Wichtigkeit. Doch wie stark muss die Authentifizierung hierbei wirklich sein? Erkenntnisse aus den Projekten des E-Government-Instituts der BFH zeigen zum Teil, dass die Anforderungen, die an den Registrierungs- und Authentifizierungsprozess einer Lösung gestellt werden, tiefer liegen als erwartet. So ist z.B. zur Erlangung der höchsten Vertrauensstufe erforderlich, dass die beantragende Person im Zuge des Registrierungsprozess physisch anwesend ist und die angegebenen Daten mit einem offiziellen Ausweisdokument verglichen werden. Doch entsprechende Fachstellen erachten diese Anforderungen als nicht notwendig: beispielsweise bei der Einreichung von Fördermittelgesuchen für Kulturprojekte, bei der Beantragung von Betreibungsregisterauszügen oder für die Freigabequittung der Steuererklärung bestehen diese Anforderungen nicht. Die Identifikation gilt in diesen Fällen bereits als hinreichend, sofern die Angaben der beantragenden Person mit den Angaben einer nicht-öffentlichen Datenbank übereinstimmen und die Richtigkeit weiterer Angaben mittels einer vertrauenswürdigen Quelle abgeglichen werden können. Auch ist es nicht erforderlich, das Authentifizierungsmittel der beantragenden Person persönlich zu übergeben oder es erst nach Validierung der Identität zu aktivieren, was als Faktor für eine starke Authentifizierung gilt. Das separate Zusenden von Benutzername und Passwort wird hierfür als hinreichend erachtet. Zum Schutz gegen Duplizierung und Fälschung durch Dritte und zur Sicherstellung, dass das Authentifizierungsmittel nur unter der Kontrolle oder im Besitz der jeweiligen Person verwendet werden kann, erachten Fachstellen eine Zwei-Faktor-Authentifizierung als genügend sicher.

Die Tatsache, dass für den Zugang zu E-Government-Leistungen nicht immer die stärkste Vertrauensstufe gefordert wird, kann jedoch nicht dahingehend interpretiert werden, dass zu wenig auf die Sicherheit geachtet wird. Die Einschätzung darüber, welche Sicherheit eine Authentifizierungslösung zu bieten hat, geht jeweils auch mit der Einschätzung der Eintrittswahrscheinlichkeit von den damit verbundenen Risiken einher. So wird die Wahrscheinlichkeit, dass jemand unter Vorgabe einer falschen Identität einen Betreibungsregisterauszug beantragt als eher gering eingeschätzt, während das Risiko, dass jemand die Inhalte des beantragten Dokuments selbst zu fälschen versucht, als viel grösser angesehen wird.

Diese Erkenntnisse erwecken die Vermutung, dass die Notwendigkeit einer Authentifizierungslösung der höchsten Vertrauensstufe bei den meisten aktuell vorhandenen E-Government-Services der Schweizer Verwaltung gering ist. Die Erfahrungen in anderen Ländern bestätigen diese Erkenntnis. So existieren z.B. auch in Ländern wie Norwegen oder Frankreich kaum E-Government-Services, die eine Authentifizierung der höchsten Stufe verlangen.

Die Herausforderung besteht somit darin, für die wenigen E-Government-Services, die eine starke Authentifizierung benötigen, eine Lösung bereitzustellen, deren Usability möglichst hoch ist und deren Verbreitung trotz weniger Anwendungen in der Verwaltung gegeben ist. Dies gilt aktuell in der Verwaltung als ein ungelöstes Problem, da heutzutage keine schweizweit etablierte Authentifizierungslösung mit hoher Usability existiert.

Creative Commons Licence

AUTHOR: Angelina Dungga

Angelina Dungga ist wissenschaftliche Mitarbeiterin am Institut Public Sector Transformation der BFH Wirtschaft. Sie forscht über digitale Infrastrukturen, elektronische Identität und die Zugänglichkeit öffentlicher Dienste.

AUTHOR: Katinka Weissenfeld

Katinka Weissenfeld ist Dozentin am Institut Public Sector Transformation der BFH Wirtschaft.

Create PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert