Wenn eine Web-Applikation die E-ID (gemäss Gesetz) verwenden will, muss sie einige Herausforderungen meistern. Diese Zusammenstellung soll helfen, die Bedingungen klarzustellen bzw. Fragen aufzuwerfen, wie eine solche Anbindung in der Zukunft erfolgen könnte.

Dieses Dokument erhebt keinen Anspruch auf Vollständigkeit, da einige Implementierungsdetails noch unklar sind und auf Annahmen beruhen. Es soll einfach aufgezeigt werden, wie eine staatliche Identität in ein bestehendes Ökosystem eingebunden werden kann. Die Verordnung zum Bundesgesetz über elektronische Identifizierungsdienste (BGEID)[1] wird voraussichtlich Ende März 2021 erscheinen. Diese Verordnung wird hoffentlich mehr Klarheit darüber verschaffen, welche Bedingungen an einen Identitätsdienstleister (engl. Identity Provider, kurz IdP) und einen Identitätskonsumenten (Online-Dienstleister) geknüpft werden. Die Ausführungen zum Gesetz (welche erst gegen Ende 2021 erwartet werden) sollen noch konkreter die Bestimmungen eingrenzen. In diesem Artikel wird folgenden Fragen nachgegangen:

• Welche Identitätsdaten kann ein Unternehmen oder eine Behörde von der E-ID erhalten?
• Für welche Geschäftszweige lohnt es sich die E-ID zu verwenden?
• Was muss ein Online-Dienstleister berücksichtigen, wenn er die E-ID nutzen will?

Dieses Dokument soll keine Wertung bezüglich Zuständigkeiten (privat oder staatlich) machen. Zudem wird hier nicht die Beziehung zwischen Staat und einem staatlich anerkannten IdP, sondern nur zwischen einem solchen IdP und einer Betreiberin eines E-ID-verwendenden Dienstes (BvD) betrachtet.

Welche Identitätsdaten kann ein Unternehmen oder eine Behörde von der E-ID erhalten?

Wie der Publikation des Bundesamtes für Justiz^[2] zu entnehmen ist, kann grob zwischen zwei Typen von E-ID-verwenden Diensten unterschieden werden. Solche, welche die E-ID-Registrierungsnummer (E-ID-RN)^[3] von den staatlich anerkannten Identitätsdienste (IdP) erhalten dürfen und solche, welche dies nicht dürfen. Darunter zählen alle anderen Online-Dienstleister, welche an Stelle der E-ID-RN eine Kundennummer (K-NR) erhalten sollen. Diese ist spezifisch für einen Online-Dienstleister (oder das Ökosystem) berechnet und lässt von diesem keine Rückschlüsse auf die Person bzw. auf die E-ID-RN zu. Damit kann erreicht werden, dass jeder Online-Dienstleister eine andere Nummer erhält, womit ein einfacher Abgleich zwischen den Online-Dienstleistern nicht mehr möglich ist (Unverkettbarkeit).

Wie in Abbildung 1 beschrieben, liefert der Staatliche Identitätsdienst (SID) amtliche Personendaten^[4] eines Benutzers. Welche Personendaten von einem staatlich anerkannten Identitätsdienstleister (IdP) an eine BvD weitergereicht werden können, richtet sich nach dem Sicherheitsniveau der Identitätsdaten (niedrig, substanziell, hoch) und dem Typ der BvD. Ein IdP kann die Personendaten vom Staat mit weiteren Informationen (Attributen) des Benutzers aus anderen Quellen anreichern und so ein Gesamtpaket (Benutzerinformationen) an die anfragende BvD liefern. Der Benutzer muss für die Freigabe dieser Daten gegenüber einer BvD natürlich zuerst seine Einwilligung erteilen. Bei all diesen Vorgängen fallen Nutzungs- und Metadaten an, welche der SID bei der Umwandlung der E-ID-RN in eine AHVN13 mitverfolgen könnte.

Abbildung 1: Daten von einem E-ID-IdP

Für welche Geschäftszweige lohnt es sich die E-ID zu verwenden?

Nebst Sicherheitsanforderungen, welche auch ein Entscheidungskriterium sein können, geht es hier in erster Linie um den Benutzer- bzw. Kundenkreis. Wenn sich der Benutzerkreis eines Online-Dienstleister, mit dem der E-ID deckt, so macht es durchaus Sinn einen Teil des Benutzer-Managements dem Staat zu überlassen und den E-ID-Dienst zu nutzen.

Sowohl für die Registrierung des Benutzers wie auch für eine wiederkehrende Authentisierung kann in diesem Szenario ein Online-Dienstleister einen zertifizierten E-ID-IdP nutzen. Dadurch wird die BvD zwar entlastet, indem sie selbst keinen sicheren Anmeldevorgang anbieten muss, keine Anmeldedaten speichern und sich gegen Missbrauch absichern muss. Da ein Online-Dienstleister dies alles bequem an den EID-IdP delegieren. Aber auf der anderen Seite verliert er zu einem grossen Teil die Kontrolle über seine Nutzer (siehe nächstes Kapitel). Der Benutzer hat den Vorteil, dass er sich mit einem anderswo verwendeten Login beim Webdienst der BvD anmelden kann. Letzteres ist eines der Hauptargumente für den Einsatz einer E-ID. Aber auch hier ist Vorsicht geboten, denn wenn der Anmeldevorgang nicht eine gewisse Sicherheit aufweist, kann ein Missbrauch schnell weitreichende Folgen haben. Solche Lösungsvarianten bieten sich beispielsweise bei Behörden oder Volksschulen an.

Eine BvD kann aber nicht alles an die E-ID delegieren, denn sie muss gleichwohl eine Benutzer-Datenbank – wenn auch ohne Anmeldedaten – führen, um Geschäftsdaten ihrer Kunden bzw. Benutzer speichern zu können.

Sobald sich Nutzer registrieren und einloggen wollen, welche keine E-ID besitzen – beispielsweise im Hochschulumfeld, wenn ausländische Personen sich für ein Studium einschreiben wollen oder etwa bei Einkaufstouristen, welche den schweizerischen ÖV nutzen wollen – macht dies wenig Sinn, da die BvD für diese Benutzerkategorien gleichwohl ein vollumfängliches Benutzer-Management, inkl. Authentisierungsverfahren führen muss. Es gibt aber auch Benutzer, welche Dienste verwenden möchten, die keine Verifizierung voraussetzen. Für diesen Benutzerkreis ist keine E-ID-Verifizierung notwendig. Dennoch muss das Unternehmen diesen Benutzern ein Konto mit Anmeldedaten zur Verfügung stellen.

Was muss ein Online-Dienstleister berücksichtigen, wenn er die E-ID nutzen will?

Wie im letzten Kapitel bereits aufgezeigt, macht es für einen Online-Dienstleister nur in wenigen Fällen Sinn, die E-ID vollumfänglich und alleinig zu nutzen. Es kommen noch weitere Kriterien hinzu, welche den Nutzen der E-ID für Unternehmen in Frage stellen. Die meisten Unternehmen in der Schweiz ermöglichen den Zugriff auf ihre Inhalte nicht nur über einen Browser, welcher den Inhalt ihrer Webseite darstellt, sondern auch über mobile Apps. Apps für gängige Smartphone-Plattformen sind heute üblich. Mit solchen mobilen Apps kann eine gute Balance zwischen Einfachheit und      Reichweite angeboten werden. Der Benutzer loggt sich einmal ein und bleibt dann mit dem Unternehmen über längere Zeit verbunden. Aus Sicherheitsgründen lässt dies ein Unternehmen nur zu, wenn die Authentisierung und der Zugriff von internen Instanzen her kontrolliert werden kann. Das Unternehmen bestimmt, was der Benutzer und die App tun darf und kann beispielsweise bei Missbrauch den Zugriff sofort blockieren. Grundsätzlich wäre es möglich eine App so zu bauen, dass sich der Benutzer bei einem anderen IdP direkt authentisieren kann (z.B. bei einem EID-IdP) und weiterhin Dienste des Unternehmens nutzen könnte. Aber aus Sicherheitsgründen ist ein solches IdP-Mixup[5] eher verpönt und scheint nicht zukunftsweisend zu sein.

Schlussfolgerung

Die obgenannten Kriterien führen dazu, dass man folgende Empfehlung zur Nutzung der E-ID aus Sicht eines Unternehmens oder eines gesamten Ökosystems geben kann. Ein Online-Dienstleister muss in den meisten Fällen ein vollumfängliches Benutzer-Management führen und damit einen IdP mit selbst ausgegebenen Identitäten unterhalten. Damit kann die Unternehmung den Zugriff auf eigene Ressourcen, insbesondere von mobilen Apps aus, besser kontrollieren sowie die Sicherheit und den Schutz der Privatsphäre garantieren. Wenn sie sich an die E-ID anbinden will, so benötigt sie zusätzlich eine Art «Identity Broker»-Komponente in ihrer Infrastruktur.

Abbildung 2: Registrierung und Anmeldung eines Benutzers

Es scheint demnach sinnvoll zu sein, die E-ID nur für die Registrierung (Onboarding) eines Benutzers zu nutzen und nicht für wiederkehrende Anmeldungen. Die E-ID soll eine BvD nur bei der Verifizierung der Benutzerinformationen unterstützen. Wie in Abbildung 2 dargestellt, erfolgt in diesem Szenario eine Zuordnung der Identität im BvD-IdP und der von der E-ID bereitgestellten Identitäten (z.B. K-NR) und den Personeninformationen als Teil des «Onboarding» Prozesses. Dieser «Onboarding-Prozess» sollte von der BvD nur einmal durchgeführt werden. Er kann wiederholt werden, wenn der Benutzer eine Wiederholung explizit anfordert. Genau hierin liegt der grösste Vorteil für eine BvD, da sie vom Staat beglaubigte Informationen des Online-Benutzers erhalten kann, welche sie nicht kostspielig selbst überprüfen muss. Eine BvD übernimmt die Anmeldung des Benutzers mit neuesten Technologien (z.B. «Passwordless Login» mit FIDO2-Token) aber nach wie vor selber. So kann sie mit aktuell standardisierten Protokollen (OIDC/OAuth2) sicherstellen, dass eine App ohne Interaktion des Benutzers weiterhin sicher auf ihre Ressourcen zugreifen kann. Da die Abfrage des Status eines E-ID-Kontos (bzw. eine Aktualisierung der E-ID-Personendaten) durch eine BvD sehr umständlich und aufwändig ist^[6], muss sich eine BvD auf den Status des Benutzers in ihrem eigenen IdP verlassen können. Die Standardisierungsbestrebungen der OIDC^[7] und OAuth^[8] werden zeigen, in welche Richtung eine zukunftsweisende Integration der E-ID gehen könnte.

Referenzen

[1] https://www.fedlex.admin.ch/eli/fga/2019/2311/de

^[2] https://www.bj.admin.ch/bj/de/home/staat/gesetzgebung/e-id/technische-informationen.html

^[3] Darunter befinden sich auch Akteure, welche berechtigt sind, die E-ID-RN in eine Versichertennummer
(AHVN13) vom Staat umwandeln zu lassen.

^[4] Aus den bestehenden staatlichen Registern des Bundes

[5] Siehe: https://tools.ietf.org/html/draft-ietf-oauth-mix-up-mitigation-01 und die vorausgehende Diskussion: https://mailarchive.ietf.org/arch/msg/oauth/JIVxFBGsJBVtm7ljwJhPUm3Fr-w

^[6] «Authorization Code Flow»-Vorschlag des fedpol vom 14.8.2020

^[7] https://openid.net

^[8] https://oauth.net und https://tools.ietf.org/html/rfc6749