Schlagwortarchiv für: eID

«Wir brauchen eine sichere europäische eID»

Das E-Government in Deutschland kommt nicht voran. Die Nutzung von digitalen Behördenleistungen ist im vergangenen Jahr sogar gesunken. Im Interview erläutert E-Government-Expertin Lena-Sophie Müller die Gründe und was sich ändern muss.

Sie sind Politikwissenschaftlerin und leiten Initiative D21, das bedeutendste gemeinnützige Netzwerk für die digitale Gesellschaft in Deutschland. Was ist aus Ihrer Sicht der grösste eGov-Erfolg in Deutschland?

Wenn man sich rein die Nutzungszahlen ansieht, dann lautet die Antwort wohl ELSTER. Die Plattform zur Abwicklung der elektronischen Steuererklärung wird von den deutschen Bürgerinnen und Bürgern laut der aktuellen Studie eGovernment Monitor, die wir zusammen mit Kantar TNS jährlich herausgeben, am häufigsten genutzt. Dies ist aber nur ein einzelnes Projekt, das keine Breitenwirkung auslösen konnte. Bei E-Government-Diensten in Deutschland bestehen zahlreiche Nutzungsbarrieren, weswegen diese nicht häufig genutzt werden. Aus meiner Sicht stellen die E-Government-Gesetze des Bundes und der Länder deswegen die grösseren E-Government-Erfolge dar. Diese verpflichten die deutschen Verwaltungen dazu, elektronische Kommunikationskanäle zu eröffnen und ausserdem die Schriftform durch digitale Verfahren abzulösen. Auch das Onlinezugangsgesetz, das Bund und Länder verpflichtet, ihre Verwaltungsleistungen online über Portale anzubieten, liefert einen wichtigen gesetzlichen Rahmen. Mit diesen Gesetzten wurden rechtliche Hürden abgeschafft, um die elektronische Kommunikation zwischen Bürgerinnen und Bürgern sowie den Behörden zu vereinfachen.

Mit dem E-Government Monitor erhalten Sie seit einigen Jahren zuverlässige Daten über die Nutzung digitaler Verwaltungsangebote im deutschsprachigen Raum. Wie hat sich die eGov-Landschaft in den letzten 10 Jahren verändert?

Betrachtet man die Nutzungszahlen der letzten fünf Jahre zeigt sich eine Stagnation und keine Verbesserungen. In Deutschland sank die Nutzung von E-Government-Diensten im letzten Jahr sogar und verharrt auf niedrigem Niveau. Der letzte Bundestagswahlkampf hat aber gezeigt, dass die Politik den dringenden Handlungsbedarf erkannt hat: E-Government ist jetzt auf der Chefebene angekommen und das Kanzleramt hat Zuständigkeiten übernommen. Was sich verändern muss, ist, dass nicht immer nur einzelne IT-Projekte umgesetzt werden, sondern E-Government eine wirkliche Erleichterung bringt für Bürgerinnen und Bürger sowie die Verwaltungen selbst.

Welches Thema wird denn in Ihrem Land am meisten diskutiert?

Was konkrete Projekte angeht sind wir gespannt auf den Portalverbund. Über dieses Serviceportal sollen Bürgerinnen und Bürger sowie Unternehmen Verwaltungsleistungen von Bund, Ländern und Kommunen mit wenigen Klicks finden und gleich online Anträge stellen können. Der Prototyp geht diesen Herbst online. Damit steht den Bürgerinnen und Bürgern ein Einstiegsportal zu Verwaltungsleistungen verschiedener Behörden zur Verfügung. Das Portal soll nicht nur die Auffindbarkeit von Verwaltungsdiensten erleichtern. Gleichzeitig ist beim Portalverbund ein integriertes Bürgerkonto geplant, bei dem wichtige Daten gespeichert und nicht jedes Mal neu eingegeben werden müssen. Dies könnte dann in der Tat ein Mehrwert und eine Erleichterung für die Bürgerinnen und Bürger sein, wenn dieses auch nutzerfreundlich umgesetzt wird.

Wie haben Sie den Digital Summit in Tallinn wahrgenommen?

Leider war der Digital Summit kaum ein Thema, wenn man sich nicht in den Fachkreisen oder der Wissenschaft bewegt. Bei E-Government haben EU-Massnahmenpläne leider aus meiner Sicht noch einen zu geringen Stellenwert in der Aufmerksamkeit in Deutschland.

Das klingt etwas ernüchtert. Was kann die Tallinn Deklaration konkret in Europa bewirken?

Das wird die Zeit zeigen. Die Tallinn Declaration ist nur eine Bekundung der EU-Länder, hat aber keine Bindung. Es bleibt abzuwarten, ob und wie die Punkte aus der Erklärung mit bindenden gesetzlichen Bestimmungen umgesetzt werden. Wünschenswert wären besonders einheitliche Regelungen bei der Informationssicherheit und beim Datenschutz. Die europäische Datenschutz-Grundverordnung DSGVO brachte Datenschutzbestimmungen europaweit bereits auf ein hohes einheitliches Niveau. Dies sollte auch in anderen Bereichen fortgesetzt werden, wie beispielsweise bei einheitlichen sicheren eID-Lösungen, um diese auch grenzüberschreitend in Europa einsetzen zu können.


Zur Person:

Lena-Sophie Müller ist eine der Referentinnen unserer Tagung eGovFokus am 1. Juni im Generationenhaus Bern. Sie wird einen Überblick geben über E-Government aus der BürgerInnen-Perspektive in der Schweiz und Deutschland und nach den Impulsen fragen, die von der Tallinn Deklaration ausgehen können. Lena-Sophie Müller ist seit 2014 Geschäftsführerin des gemeinnützigen Vereins Initiative D21 e.V.  Zuvor arbeitete die Politikwissenschaftlerin seit 2008 am Fraunhofer-Institut FOKUS in Berlin und hat dort zahlreiche Verwaltungsmodernisierungs- und E-Government-Projekte mit der Industrie und der öffentlichen Verwaltung auf EU-, Bundes-, Landes- und Kommunalebene geleitet.


eGov-Fokus

«Die Schweiz im Europäischen E-Government – Projekte und Perspektiven»
Datum: Freitag, 1. Juni 2018
Zeit: 9:00-17:00 Uhr anschliessend Apéro
Ort: Berner GenerationenHaus, Bahnhofplatz 2, 3011 Bern

Referentinnen:

Prof. Dr. Reinhard Riedl, Lena-Sophie Müller, Prof. Dr. Maria Wimmer, Bas Groenveld, Cedric Roy, Marlies Pfister

Weitere Informationen und Anmeldung

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Februarausgabe: IAM is in town, and it is globally connected

The title is a fata morgana, of course. Identity and Access Management (IAM) is a very old topic in the context of e-services. Still it has not been solved satisfactorily in practical terms. For example, the are no proper plug-in modules available for building e-government services. Although reuse has been a strategic goal in Swiss e-government for a decade, progress has only been achieved in paper work through the establishment of eCH standards. But even these standards are hardly used despite of the fact that some embody a lot of knowledge.

On a global scale it is sad, that so far there is only one broker solution with big outreach, which connects eID-ecosystems from different eID-providers: this is the network of eIDAS nodes being developed based on the eIDAS regulation. Still, in its current state of conceptualization eIDAS does only solve cross-border government problems inside EU and possibly EWR. This excludes other countries, and worse, it does not include industry. There are lots of ideas around how to get forward, but solutions seem to be far away.

Indeed, building a global broker is a hard legal, organizational, economic, and technological challenge. Many believe that it is not worth dealing with this challenge, because the progress of IT will create new solutions as deus ex machina – possibly solutions which destroy privacy anyway and dismiss any rights on careful handling of one’s data. This hope is shocking, although many who hope for future unknown solutions, they lack imagination of what these solutions would be and they may start to protest once they understand what all this amounts to. Personally, I stick to the opinion that we do need a global federation of eID-ecosystems into a universal open eID-ecosystem. This federation should be based on clear principles, trustworthy implementations, and carefully designed auditing practicing that create a good foundation for trust and confidence among all actors in the ecosystem.

I hope that our authors of this issue will provide you and me with a deeper understanding of how sustainable solutions for the IAM topic on a global scale could look like. As you know it from Cechov’s plays: Maybe, some day in the future, the world will be a brighter one. Enjoy reading this issue!

Yours sincerely, Reinhard Riedl

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Algorithmen bestimmen, wer wir sind

Wer im falschen Quartier lebt und eine bestimmt Automarke fährt, den stufen Algorithmen als Terroristen ein – das ist keine Fiktion sondern längst Realität. Daten bringen uns einen persönlich zugeschnittenen Service, können in der Medizin Leben retten, können aber auch ohne unser Wissen gegen uns verwendet werden. Was mit Big Data möglich ist und wie persönliche Daten geschützt werden können, darüber sprachen die Referenten am eGov-Fokus „Data Privacy in der digitalen Dienstleistungsgesellschaft“.

„Gesetze sind eine alte Technologie, damit kann man dem Big-Data-Problem nicht begegnen.“ Mit dieser pointierten Aussage startete Christian Lovis seinen Vortrag. Der Mediziner leitet die Abteilung Medical Information Sciences am Universitätsspital Genf und untersuchte in seiner Präsentation, welche Erkenntnisse Big Data liefert. Aus seiner Sicht sind Big-Data-Resultate nur so gut oder schlecht wie die Daten, auf denen sie beruhen. Daher trainiere etwa IBM seine künstliche Intelligenz Watson mit 30 Milliarden Bildern, die der IT-Konzern von 7500 Kliniken gekauft hatte, um zuverlässige Ergebnisse in eHealth zu erhalten.

Lovis macht bei der Arbeit mit Big Data die Anonymisierung als grösstes Problem aus, das bis heute in der Medizinforschung ungelöst sei. Zudem beruhten noch zu viele Resultate auf „schlechten Datensätzen“. Für Patientinnen und Patienten sei die Frage zudem nicht mehr zu beantworten Wer bin ich? „Im Kontext von Big Data gehen Selbstdefinition und maschinelle Definition auseinander“, erläuterte Lovis. Hingegen könne eine Einzelperson aus der gesamten Weltbevölkerung mit nur fünf Blutzucker- und vier Cholesterolwerten identifiziert werden.

Zufälle können entscheidend sein

Prof. Dr. Christian Scholz

Auch Christian Scholz, Direktor des European Institute for Advanced Behavioural Management (EIABM) in Saarbrücken kritisierte in seinem Vortrag, dass vorliegende Daten zu einseitigen Ergebnissen führten, weil Koinzidenzen verwendet würden. Der Algorithmus verbinde dabei viele zufällige Zusammenhänge miteinander, was weitreichende reale Konsequenzen nach sich ziehe. „Wenn zum Beispiel ein Österreicher nach Frankfurt/Main in ein bestimmtes verruchtes Quartier zieht und ein Bett bestellt, hat er ein Problem: Die Algorithmen stufen ihn als wenig zahlungswürdigen Ausländer ein. Das mag ein falsches Ergebnis sein, aber daraus folgt trotzdem eine Aktion, denn er bekommt deshalb keine Möbel geliefert“, berichtete Scholz. Weiter sei laut Big Data ein junger Mann, der ein Einzelzimmerappartment in der Nähe einer Autobahn bewohnt und einen BMW5 fährt wahrscheinlich ein Terrorist.

Scores werden bei Rekrutierung genutzt

Kämen weitere Daten von noch mehr Personen und quasi zufälligen Themen hinzu, liessen sich Scores bilden. Zusammen mit Re-Identifikation von Personen lassen sich zielgerichtete, individualisierte Manipulationen umsetzen wie etwa in personalisierter Werbung. In den USA nutzten Unternehmen bei der Rekrutierung bereits Big Data, etwa mit Creditscore. „Dann bekommt jemand vielleicht den Job nicht, weil er keine Kreditkarte besitzt und damit als nicht zahlungskräftig eingestuft wurde“, sagte Scholz.

Als Alptraum bezeichnete er den Bürgerscore, der darüber entscheide, wer ein guter Bürger sei. Dies sei in Europa undenkbar aber in China schon wesentlich realer. Dabei würden die Bürgerinnen und Bürger digital erfasst und sozial erwünschtes Verhalten mit Punkten und Leistungen belohnt. „Ich rede hier nicht über Fiktion, die einzelnen Teile sind so alle auch bei uns vorhanden“, betonte Scholz und forderte, dass sich die Wissenschaft vermehrt in die Diskussion einbringt. Um der wirtschaftlichen Macht zu begegnen, sollten aus seiner Sicht Social Media und öffentlichkeitswirksame Kommunikation betrieben werden, so dass sich Forschende, Medienschaffende und Interessierte zu dem Thema stärker vernetzten.

Schweizer Gesetz ohne Recht auf Vergessen

Daniel Hürlimann

Ob alte Technologie oder nicht – ohne Gesetze geht es nicht. Die EU hat eine neue Datenschutzgrundverordnung (DSGVO), die Daniel Hürlimann, Direktor der Forschungsstelle für Informationsrecht an der Universität St. Gallen in den Grundzügen vorstellte. Das umstrittene Gesetz betrifft ab kommendem Jahr auch Schweizer Unternehmen, die mit Daten von EU-Bürgerinnen und Bürgern arbeiten. Zudem ging Hürlimann auf die Totalrevision des Schweizerischen Datenschutzgesetzes ein. Der Entwurf gehe in einigen Punkten über die DSGVO hinaus, umfasse aber bislang nicht das Recht auf Vergessen sowie auf Datenübertragbarkeit, sagte Hürlimann. Der Vorschlag werde im Dezember dem Parlament vorgelegt.

Daniel Gruber Vizedirektor beim Bundesamt für Justiz eröffnete seinen politischen Vortrag mit der Frage: „Wie beweise ich meine Identität im Internet?“ Eine Frage, welche für die allermeisten Transaktionen bereits mit diversen digitalen Identitäten längst gelöst ist (z.B. über Kreditkarten), eine staatliche anerkennte digitale ID – eine E-ID – ist in der Schweiz aber bisher nicht verbreitet. Die Identifizierung im Umgang mit den Behörden wäre im Cyberraum technisch einfach. 2012 erhielt das Bundesamt für Justiz den Auftrag, ein Konzept und einen Rechtsetzungsentwurf für ein staatliches elektronisches Identifizierungsmittel als Zusatz zur physischen Identitätskarte zu entwickeln. Das Konzept wurde nicht zuletzt wegen den schlechten Erfahrungen aus Deutschland fallen gelassen. Das neue E-ID-Konzept sieht deshalb vor, dass private Akteure die E-ID nach staatlichen Standards herausbringen. Gruber zeigte sich überzeugt, dass mit einer privaten Lösung die Verbreitung in der Bevölkerung viel schneller voranschreite, als wenn der technologisch schwerfällige Staat eine E-ID in der Schweiz editiere. Dem Staat falle aber die Aufgabe zu, die verschiedenen Identity Provider zu kontrollieren.

E-ID für den Alltag

Daniel Gruber

Gruber verteidigte diese staatlich-private Lösung gegenüber einer rein staatlichen vehement. Gruber liess sich nicht in die Karten blicken, ob dieses vom BJ favorisierte Konzept in der aktuellen Vernehmlassung auf Zustimmung stösst. Das BFH-Zentrum Digital Society hatte sich an der Vernehmlassung beteiligt und unter anderem kritisiert, dass der Staat nicht selbst eine e-ID realisiere. Dagegen konterte Gruber am eGov-Fokus: „Wir können der Post mindestens so vertrauen wie einer Gemeindeverwaltung.“ Gruber: „Es braucht eine Killer-Applikation, die Nutzer müssen die E-ID im Alltag nutzen. Das ist mit den eher seltenen Interaktionen zwischen Staat und Bürger aber kaum machbar.“ Um die Verbreitung weiter zu vereinfachen, seien unterschiedliche Sicherheitsniveaus vorgesehen (niedrig, substanziell, hoch). Die Daten der staatlichen E-ID würden dem Datenschutz unterliegen, eine Herausgabe an Dritte (z.B. Foto, Zivilstand, Geschlecht) zur kommerziellen Nutzung sei verboten. Ein Reputationsrisiko, wie von vielen in der Vernehmlassung befürchtet werde, besteht laut Gruber nicht. Auf Verordnungsebene könnte der Bundesrat vorschreiben, dass ein Identity Provider den E-ID-Inhabern einen Zugang zu den Aufzeichnungen über den Einsatz der E-ID geben müsse.

Er sieht vor allem Vorteile der Aufgabenteilung, etwa, dass der freie Wettbewerb der Anbieter Dynamik und Weiterentwicklungen bringe, der Staat gleichzeitig aber nicht mit dem rasanten Tempo der technischen Entwicklung mithalten müsse. Und: „Wir bewegen uns im Bereich Vertrauensdienste und Vertrauen ist gut, aber Kontrolle ist besser“, sagte Gruber. Der Staat werde den Anbietern via Anerkennungsverfahren und zweijährlichen Kontrollen quasi ständig auf die Finger schauen.

Staat ist in der Pflicht

Der grüne Nationalrat Balthasar Glättli, ein profilierter Digitalpolitiker in der Schweiz, setzte wie Gruber auch einen Kontrapunkt zu den Eröffnungsreferaten. Gesetzliche Regeln brauche es, auch im sich schnell entwickelnden Cyberraum. Inspiriert vom Bild der Umweltverschmutzung als Folge der Industrialisierung, sprach Glättli von einer Datenverschmutzung. Daten würden gesammelt ohne zu wissen, was später daraus für Applikationen generiert würden. Das Prinizip „produce, reuse, recycle“ sei sinnvoll für die klassische Industrie, im digitalen Zeitalter müsse man allerdings das Prinzip abändern zu „reduce, reuse, recycle.“ Es gelte dafür zu sorgen, dass möglichst wenige Daten überhaupt gesammelt würden.

Balthasar Glättli

Für ihn ist klar, dass Plattformen und Datenkraken nicht von sich aus Datenschutz vorantreiben werden. Auch die Industrie kümmerte sich nicht von sich aus um den Umweltschutz. „Wenn der Staat das nicht tut, werden die Bürgerinnen eines Tages den digitalen Aufstand wagen“, ist sich Glättli sicher. Daten verweigern heisse heute, sich auf die ungünstige Seite des digitalen Grabens zu begeben.  „Technisch Versierte können noch so tolle Lösungen finden, die Masse der Mitmenschen wird nicht in diese technischen Biotope kommen“, sagt Glättli. Digitaler Selbstschutz sei daher kein Weg vorwärts, vielmehr sei der Staat in der Pflicht. Er fordert wie auch die Piraten und Konsumentenschützer, dass für Online-Dienste auch mit Geld statt mit seinen Daten bezahlen könne, wer dies wünsche. Die relevanten Daten müssten aber aus den privaten „Datensilos“ befreit werden, um sie als Potenzial einer Gemeinwohlwissensökonomie zugänglich zu machen. Dass aber die privaten Datensammler die Daten freiwillig interessierten Anwendern einer Gemeinwohlökonomie zur Verfügung stellen würden, sei eine Illusion.

Weitere Informationen zum eGov-Fokus finden Sie hier.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Sicherheit, Nutzungskomfort und Datenschutz – die einzigen Erfolgsfaktoren einer nationalen eID?

Was bedarf es für eine erfolgreiche Einführung einer nationalen elektronischen Identität? Ein solches Vorhaben benötigt viel mehr als nur eine technische Infrastruktur. Aus diesem Grund hat das E-Government-Institut der BFH im Auftrag des Staatssekretariats für Wirtschaft (SECO) ein soziotechnisches Ökosystemmodell für eine nationale elektronische Identität (eID) entwickelt. Mithilfe des Modells können u.a. unterschiedliche Ausprägungen einer eID in Szenarien vergleichbar dargestellt werden.

Im Auftrag des SECO entwickelte ein multidisziplinäres Forschungsteam aus dem Bereich «virtuelle Identität» der BFH ein eID-Ökosystem-Modell, aus dem mögliche Umsetzungsvarianten abgeleitet werden können. Verifiziert wurden die Resultate durch Interviews und Workshops, an denen Expertinnen und Experten aus Wirtschaft und Verwaltung mitwirkten.

Das Modell zeigt auf, welche Elemente in einem Ökosystem zur Verfügung stehen müssen, damit eine nationale eID nutzbringend eingesetzt werden kann. So ermöglicht es die Diskussion über Art und Ausprägung der Bereitstellung, sei es durch die Privatwirtschaft oder durch die öffentliche Hand. Ausgehend von konkreten Anwendungsfällen und generischen Nutzungen beschreibt das soziotechnische Modell mögliche Elemente einer eID. Es zeigt dabei den Kontext und die Abhängigkeiten der Elemente auf.

Der vorliegende Artikel basiert auf dem Projektabschlussbericht «eID-Ökosystem-Modell» vom Mai 2015.

eID-Ökosystem-Modell – Darstellung von Elementen für die Nutzung und Bereitstellung einer nationalen eID
Bei einem Modell handelt es sich um das abstrahierte Abbild einer möglichen Realität. Durch Abstraktion kann die Komplexität der realen Zusammenhänge auf ein nachvollziehbares und verständliches Mass reduziert werden. Im Fall des eID-Ökosystem-Modells werden dadurch Designentscheide für eine nationale eID sowie Massnahmen zur Förderung einer solchen ermöglicht und erleichtert.

Das entwickelte Modell ist nicht auf spezifische Stakeholdergruppen fokussiert, sondern ermöglicht es allen potenziellen Stakeholdern, die Zusammenhänge der Elemente zu verstehen. Dabei sollten sich die Stakeholder bzw. die Organisation in den jeweils möglichen Rollen bei der Nutzung bzw. der Bereitstellung wiederfinden.

Das Modell besitzt zwei unterschiedliche Detaillierungsebenen:

  • eine grobe Übersicht hilft, das Modell einzuordnen und einen Überblick zu erhalten
  • eine detailliertere Ebene zeigt die einzelnen Komponenten und Elemente auf und lässt die Auswirkungen vonD esignentscheiden erkennen.

Durch die Instanziierung dieser Komponenten lassen sich Szenarien erstellen, die sich trotz ihren unterschiedlichen Ausprägungen im Rahmen des Ökosystemmodells vergleichen lassen.

eID-Ökosystem-Modell: gelesen wird das Modell von links nach rechts

Gelesen wird das eID-Ökosystem-Modell von links nach rechts: Ausgehend von den Nutzenden lassen sich Anwendungsfälle für den Einsatz einer eID definieren, die einen Nutzen generieren. Die Anwendungsfälle lassen sich in einzelne Nutzungen abstrahieren, die in ihrer Gesamtheit den nutzenstiftenden Kern einer eID bilden. Jede Nutzung basiert auf mindestens einer eID-Funktion, der grundlegenden Grösse auf der Bereitstellungsseite einer eID. Die eID-Funktionen werden durch die Definition von Vertrauensdiensten und durch deren Implementierung auf Basis der technischen Infrastruktur  ermöglicht.

Die Vertrauensdienste orientieren sich an der «EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt» (eIDAS-Verordnung). Sowohl die Vertrauensdienste wie auch die technische Infrastruktur erfordern eine entsprechende Gestaltung der institutionell-rechtlichen Rahmenbedingungen. Darüber hinaus ist eine spezifische organisatorische Basis notwendig, die Aspekte wie die Entwicklung der Lösungen, das Management und die Durchsetzung der Governance im eID-Ökosystem umfasst. Die Nutzung und die Bereitstellung einer eID erfolgen innerhalb eines politischen Rahmens des Staates, der über verschiedene Handlungen zur Gestaltung des Ganzen und damit in erheblichem Masse zum Erfolg einer nationalen eID beiträgt.

Ein Anwendungsfall einer nationalen eID könnte der Zugriff auf ein Behördenportal sein. Dies setzt u.a. voraus, dass die Identität elektronisch nachweisbar ist (Nutzung). Die nötigen eID-Funktionen sind eine «Authentifizierung» und ein «Eigenschafts-/Funktionsnachweis», die auf einer «technischen Infrastruktur» und entsprechenden «Vertrauensdiensten» aufbauen. Diese wiederum werden in einem «organisatorischen Rahmen» betrieben und richten sich nach «rechtlich-institutionellen Rahmenbedingungen». Darüber hinaus setzt dieser Anwendungsfall ein «politisches Rahmenwerk» voraus.

Instanziierungen – modulare Veränderungen des Modells, um mögliche Wirkungsabschätzungen machen zu können

Im Hinblick auf eine mögliche Ausgestaltung einer eID dient das eID-Ökosystem-Modell als Hilfsmittel, um die konkrete Instanziierung zu visualisieren und zu abstrahieren. Betrachtet man zwei extreme Ausprägungen des Modells, so ergibt sich zum einen ein Szenario, das sich auf die minimal notwendigen Anwendungsfälle einer eID stützt und zum anderen ein umfangreicheres Szenario, das ein Vielfaches von Anwendungsmöglichkeiten einer eID enthält.

Letzteres führt zu einem deutlich komplexeren Modell. Im Folgenden wird im Detail auf die beiden Instanziierungen eingegangen.

  • Die erste Instanziierung basiert auf der Annahme, dass die eID nur für Privatpersonen zur Verfügung steht und nur Personen mit einer Schweizer Staatsbürgerschaft eine Schweizer eID beziehen können. Des Weiteren geht sie davon aus, dass die eID für die Authentifikation und Signatur von Personen in der E-Society eingesetzt wird. Auch in der Privatwirtschaft soll die elektronische Signatur aufgrund der einfachen Durchführbarkeit und Überprüfbarkeit breit eingesetzt werden können. Nebst einem hohen Nutzungskomfort der eID ist sicherzustellen, dass die Integration der Schweizer eID in Lösungen Dritter (auch ausserhalb der Schweiz) möglichst einfach ist.
  • Deutlich ausgeprägter ist die Rolle des Staates in der umfangreichen Instanziierung. Hier umfasst der staatliche Bereitstellungsteil fast alle modellierten Elemente. Einzig auf die Bereitstellung einer an die Schweizer eID gebundenen Verschlüsselung und eines sicheren Postfaches wird verzichtet. Zu den Grundannahmen für diese Instanziierung gehören, dass die Schweizer eID für Personen und Organisationen mit Schweizer Niederlassung erhältlich ist und für möglichst alle elektronischen Interaktionen in der E-Society eingesetzt werden kann. Alle E-Government-Dienstleistungen würden auf allen föderalen Ebenen angeboten und hätten die Schweizer eID integriert. Des Weiteren besteht die Annahme, dass die Schweizer eID ein rechtlich anerkanntes Mittel für Authentifizierung und elektronische Signatur in den Bereichen E-Health und E-Education ist. Sie würde alle digitalen Signaturen für Dokumente, E-Mails etc. umfassen. Alle privaten Schweizer Onlinegeschäfte hätten die eID integriert. Diese sehr breite Ausprägung und darin das starke In-die-Pflicht-Nehmen der öffentlichen Hand auf allen föderalen Ebe-nen garantiert eine entsprechend weite Abdeckung der möglichen Anwendungsfälle.

Die vorliegenden Instanziierungen wurden bereits in zwei Public-Value-Workshops mit zahlreichen Expertinnen und Experten diskutiert. Sehr schnell wurde deutlich, dass das eID-Ökosystem-Modell einen wesentlichen Beitrag dazu liefern konnte, den Teilnehmenden die Zusammenhänge und Auswirkungen der jeweiligen Instanziierungen zu zeigen und die gemeinsamen Diskussionen nutzbringend zu unterstützen.

Kommunikation und flächendeckende Anwendung als zentrale Erfolgsfaktoren für eine eID

Mithilfe des Modells konnten im Rahmen des Projekts die wesentliche Erfolgsfaktoren für die Einführung einer nationalen eID identifiziert werden: Neben den Faktoren Sicherheit, Nutzungskomfort und Datenschutz sind eine intensive und qualitativ hochwertige Kommunikation gegenüber den relevanten Stakeholdern und eine stark optimierte Zusammenarbeit der wichtigsten Akteure von grosser Bedeutung. Nach Expertenaussagen sind darüber hinaus eine häufige Verwendung und eine weite Verbreitung der eID wesentlich. Hierfür sind die Ausbaufähigkeit und die Integrierbarkeit der eID massgebend, sowie die Gewinnung von Anwendungsfällen mit einfachen Prozessen und mit hohen Nutzerzahlen. Als ebenfalls wichtige Faktoren wurden Standards und Prozesse für eine eID identifiziert.

Die Erfahrungen während des Projekts haben gezeigt, dass die Verwendung zu starker Abstraktionen für die Etablierung einer konstruktiven Diskussion nicht förderlich ist. Konkrete Anwendungsfälle hingegen helfen den Beteiligten, die Sachlage besser zu verstehen, ihre Anliegen klarer zu formulieren und sich konstruktiv in die Diskussion einzubringen. Zu beachten ist jedoch, dass Anwendungsbeispiele dem Verständnis dienen, für nachhaltige Lösungen aber die Systemgesamtsicht notwendig ist.

Während das vorliegende eID-Ökosystem-Modell einen Beitrag zur Konsolidierung von Wissen, Sprache und Verständnis leistet, darf die gesamtgesellschaftliche Wirkung einer eID nicht ausser Acht gelassen werden. Die bis dato aktiv involvierten Kreise sind nach wie vor überschaubar. Es werden auch künftig Anstrengungen notwendig sein, um den Fachdiskurs auszuweiten und die Konsolidierung der Sichten voranzutreiben. Mit dem vorliegenden eID-Ökosystem-Modell liegt nun ein Instrument vor, das in der weiteren Kommunikation eingesetzt werden kann. Darüber hinaus ist das Modell national und international anwendbar und orientiert sich an bestehenden Standards. Es bildet eine Grundlage für weitere Modelle im Rahmen der strategischen Steuerung im E-Government.


Informationen zum Projekt eID-Ökosystem-Modell
Auftraggeber: Staatssekretariat für Wirtschaft (SECO)
Mitwirkende des Projektes (Berner Fachhochschule): Ronny
Bernold, Olivier Brian (Projektleiter), Jérôme Brugger, Angelina
Dungga Winterleitner, Marianne Fraefel, Roman Hosang, Prof.
Dr. Reinhard Riedl (Projektverantwortlicher), Thomas Selzam
(stv. Projektleiter), Prof. Dr. Konrad Walser, Katinka Weissenfeld
Projektdauer: Oktober 2014 bis Mai 2015 (8 Monate)
Anzahl Interviewpartner: 33


Quellen

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Nutzbringende und sichere digitale Identitäten für alle Lebensbereiche und ihre Eigenschaften

Digitale Identitäten begleiten uns tagtäglich. Die technischen Möglichkeiten sind sehr vielgestaltig. Wie können digitale Identitäten einerseits eine sichere Identifizierung fürs eGovernment und eHealth ermöglichen und andererseits auch den Schutz der Privatsphäre garantieren?

Digitale Identitäten ermöglichen den Zugang zur digitalen Gesellschaft. Sie repräsentieren Personen, Organisationen und Objekte in der digitalen Welt und werden in immer mehr Lebensbereichen verwendet. Jeder von uns hat so – bewusst oder unbewusst –  digitale Repräsentationen seiner Person für verschiedenen Zwecke. Sei es die Cumulus-Karte der Migros, der SwissPass der SBB oder die SIM-Karte im Mobilgerät, all diese digitalen Identitäten begleiten uns täglich.

Digitale Identitäten sind sehr vielgestaltig. Das Spektrum aus technischer Sicht reicht von Benutzername/Passwort Kombinationen und Smartcards über biometrische Identifikationsmittel bis zu hardwarebasierten Zertifikaten, wie z.B. der SuisseID.

Welche Eigenschaften sollte eine digitale Identität haben?
Eine digitale Identität sollte nutzbringend sein. Sie ist ein Hilfsmittel, um bestimmte Funktionalitäten in der digitalen Welt ausführen zu können. So kann man mit einer digitalen Identität beweisen, wer man ist und so bestimmte Online-Dienste verwenden. Man kann Dokumente oder Daten – analog zu einer handschriftlichen Unterschrift – digital signieren. Mit anderen, eher passiven Identitäten, kann man Vergünstigungen aus Bonusprogrammen einsammeln oder andere Leistungen der realen Welt, wie zum Beispiel Benutzung des ÖV, in Anspruch nehmen.

Für einige Anwendungen in der digitalen Welt, wie z.B. im eGovernment, muss man sicher sein, wer hinter einer digitalen Identität steckt. Identitäten, wie die SuisseID, können als digitaler Ausweis verwendet werden. Dazu müssen die verwendeten Identitäten sicher und vertrauenswürdig sein. Bei einer Identität, die auf einer SuisseID beruht, kann man 100% sicher sein, dass man es mit der entsprechenden Person zu tun hat. Das Vertrauen in die SuisseID basiert zum einen auf einem zertifizierten Registrierungsprozess, bei dem man persönlich anwesend sein muss, und zum anderen auf der Sicherheit der verwendeten Technologien. So wird mit einem Hardware-Token, dem SuisseID-Stick, verhindert, dass die SuisseID-Identität gestohlen werden kann. Nur wer den Stick und die passende PIN besitzt, kann die SuisseID benutzen. Man spricht hier von einer 2-Faktoren-Authentifizierung.

Das höchste Vertrauensniveau geniesst eine staatlich anerkannte elektronische Identität. Hier übernimmt der Staat die Verantwortung für die Registrierung, die meist an die Beantragung eines Ausweisdokuments, zum Beispiel Identitätskarte oder Reisepass, gekoppelt ist.
Aber das hohe Vertrauen und die Sicherheit einer digitalen Identität haben ihren Preis: höhere Kosten sowie eine komplizierte Handhabung und ein aufwendiger Registrierungsprozess. Daraus resultiert meistens eine schlechte Benutzerakzeptanz. Deshalb sollte beim Einsatz von digitalen Identitäten immer die Benutzerfreundlichkeit gegen die Sicherheitsanforderungen abgewogen werden. Zum Beispiel kann bei einem Online-Abonnement einer Tageszeitung auf eine hohe Sicherheit verzichtet werden, da das Schadenspotential gering ist.

Ohne Schutz der Privatsphäre geht es nicht
Die Datensammelwut einiger Diensteanbieter im Internet und verschiedene Hackerangriffe auf Kundendaten in den letzten Monaten, lassen den Wunsch nach Schutz der Privatsphäre und Anonymität erstarken. Zumal es heute sehr schwer, und zum Teil fast unmöglich ist, einmal preisgegebene Daten wieder aus der digitalen Welt zu entfernen. Eine gute digitale Identität ermöglicht es daher auch, sich anonym oder pseudonym in der digitalen Welt zu bewegen. Bei diesen Verfahren werden die wahre Identität einer Person verborgen und nur die Eigenschaften, preisgegeben, die für die Nutzung eines Services essentiell notwendig sind, wie zum Beispiel das Alter. So kann man den Zugriff auf ungeeignete Inhalte für Minderjährige kontrollieren, ohne deren Namen oder Geschlecht zu kennen. Die Preisgabe der Identität (oder von Teilen davon) bzw. Wahrung von Anonymität bleibt somit eine Entscheidung der Person selbst.

Eine digitale Identität reicht nicht aus

Die verschiedenen möglichen Eigenschaften digitaler Identitäten machen klar, dass mehrere Identitäten für die verschiedenen Anwendungsbereiche benötigt werden.

Im eGovernment und auch im eHealth ist es wichtig, die Bürger und Bürgerinnen, bzw. Patienten und Patientinnen eindeutig zu identifizieren, um Verwechslungen auszuschliessen. Nur eine staatlich anerkannte digitale Identität oder Identitäten auf ähnlich hoher Vertrauensstufe, wie z.B. die SuisseID oder die geplante Versichertenkarte, die auch über einen eindeutigen Identifikator verfügt, machen das möglich.

In anderen Bereichen, wo das Schadenspotential geringer ist, kann man auch einfachere elektronische Identitäten, wie sie z.B. von Google oder Facebook bereitgestellt werden, verwenden. Diese kostenlosen Identitäten beruhen zumeist auf einer Selbstregistrierung mit Email- oder SMS-Bestätigung. Die zur Verfügung gestellten Personenattribute sind zumeist selbst deklariert. Hier sollten sich Benutzer und Server-Anbieter gleichermassen über die Gefahren und Risiken klar werden.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.