Schlagwortarchiv für: elektronische Identität

Identitätsverbund Schweiz – Föderierung von Identitäten für das E-Government

Bedarf an Föderierung von digitalen Identitäten
Wenn man sich heute bei einem E-Government-Dienst anmeldet, so geschieht dies typischerweise mit einem von der Behörde ausgestellten Zugangsmittel, z.B. Passwort, SMS-TAN usw. (vgl. IST Situation in der Illustration). Die Behörde baut dafür eine Benutzerverwaltung auf, implementiert Prozesse und muss wohl oder übel für Benutzersupport sorgen. Bei höheren Sicherheitsanforderungen ist der Identi-fikationsprozess des Benutzers für eine Behörde ein Zeit- und Kostenfaktor. Der Benutzer seinerseits muss sich bei jeder Behörde registrieren und das dort benötigte spezifische Zugangsmittel verwalten, d.h. er fügt seiner ohnehin schon überfüllten Sammlung an Konten und Passwörtern weitere hinzu.

Das Problem betrifft nicht nur Private und Unternehmen, sondern auch die Zusammenarbeit unter den Behörden. Noch gibt es keinen Weg, wie sich eine Mitarbeitende mit dem Login, das sie in ihrer Stammbehörde täglich einsetzt, bei einer fremden Behörde, sei es im eigenen Kanton, in einem ande-ren Kanton oder beim Bund, anmelden könnte. Darum muss eine Behörde, die einer anderen Behörde Zugang zu ihren Diensten gewähren will, die fremden Mitarbeitenden auch identifizieren, ihnen Zu-gangsmittel aushändigen und ihre Identitäten verwalten. Das ist logistisch und finanziell belastend und stellt nicht zuletzt ein Sicherheitsrisiko dar.

Es wäre für die Behörde weit günstiger, wenn sich der Benutzer mit einem bestehenden Konto, dem die Behörde genügend Vertrauen entgegenbringt, direkt anmelden könnte (vgl. SOLL Situation in der Illustration). Der Benutzer sollte aus einer Liste von bekannten oder häufig verwendeten Anmelde-diensten seinen bevorzugten auswählten können.

IST: Heute muss der Benutzer für unterschiedliche Dienste (von unterschiedlichen Behörden) unterschiedliche Logins verwenden. SOLL: Man verwendet überall das gleiche Login.

Die angeführten Behörden in der Illustration sind lediglich Beispiele. Theoretisch kann es jeder andere Kanton, jede andere Gemeinde oder eine Bundesbehörde sein.

Der LOGIN-PLUS Button
Will eine Behörde die Situation für sich und ihre Kunden im Sinne des SOLL-Zustands verbessern, so bleibt ihr heute nur die Option, die häufig und gerne eingesetzten Anmeldedienste von Benutzern für ihr E-Government-Portal zuzulassen. Das könnte dann beispielsweise aussehen wie in der folgenden Illustration.

Links: Das eigene Login der Behörde, wie es heute üblich ist. Rechts: Ergänzende Logindienste, die von vielen Benutzern häufig und gerne verwendet werden. Die Auswahl ist beispielhaft und kann mehr oder weniger um-fassend sein.

Zum normalen Benutzerkonto (links) kommen alternative Anmeldeverfahren hinzu (rechts), die von der Behörde einzeln integriert werden müssen. Eine Ausweitung der Anmeldemöglichkeiten nach diesem Verfahren wäre mit hohen Entwicklungs- und Integrationskosten verbunden, und zwar für jede Behör-de. Derartige Konstellationen sind in der Informatik nicht neu. Wo sich Investitionen und Betriebskos-ten auf mehrere Parteien aufteilen lassen, sind sog. Cloud-Dienste nicht weit. Die Aufgabe lautet, verschiedene Anmeldeverfahren in einem einfach zu integrierenden Infrastruktur-Dienst zu vereinen, damit Webdienste ihre Anmeldeprozeduren auslagern können.

Anstatt beliebte (fremde) Logins bei sich einzeln zu integrieren, integriert der Webdienstleister den LOGIN-PLUS Button. Er muss damit nur eine einzige Schnittstelle realisieren, um dem Benutzer eine breite Palette von zusätzlichen Logins anbieten zu können.

Identitätsverbund Schweiz
Das Projekt Identitätsverbund Schweiz hat den LOGIN-PLUS Button entwickelt. Dahinter verbirgt sich ein Cloud-Dienst, der eine breite Palette von Anmeldediensten zur Verfügung stellen kann. In obiger Illustration setzt die Behörde den LOGIN-PLUS Button als Alternative zum lokalen Login der Behörde ein. Die Behörde könnte auf den eigenen Login-Dienst verzichten und LOGIN-PLUS als einzige Option anbieten. Mit dem LOGIN-PLUS Button gibt die Behörde dem Benutzer die Freiheit, sich mit einem Anmeldeverfahren seiner Wahl einzuloggen, welches nicht von dieser Behörde stammt, keine neuerlichen Identifikations- und Registrationsprozesse abverlangt, vom Benutzer andernorts schon verwendet wird und das Vertrauen der Behörde und des Benutzers gleichsam geniesst.

Mit den Kantonen – für die Kantone
IDV Schweiz ist ein strategisches Projekt (SP1) im Schwerpunktplan von E-Government Schweiz, pro-jektverantwortliche Organisation ist das Staatssekretariat für Wirtschaft (SECO). Bei der Entwicklung wurden IT-Spezialisten -Verantwortliche aus Kantonen und Städten beigezogen. Damit konnte sicher-gestellt werden, dass der Identitätsverbund die Bedürfnisse der Praxis abdeckt.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Das Aufkommen von selbstfahrenden Autos: Die Wichtigkeit der Fahrzeugidentität

Die Automatisierung von Fahrzeugen verspricht sicherere Strassen und eine umweltfreundliche Mobilität. Konnektivität ist einerseits Voraussetzung für das autonome Fahren, andererseits bietet es auch Angriffsfläche für Cyberattacken. Zur Sicherstellung der Informationssicherheit und der Verkehrssicherheit ist es wichtig, dass die involvierten Einheiten digital eindeutig identifizierbar sind. Im Rahmen des Projektes «Digitaler Fahrzeugausweis» entwickelte die Berner Fachhochschule ein Konzept, das die Trennung der Identität des Fahrzeugs von dem des Fahrzeughalters vorsieht.

Selbstfahrende und teilautomatisierte Fahrzeuge sollen die Mobilität in Zukunft sicherer und umweltfreundlicher gestalten. Dank erhöhter Automatisierung sollen durch menschliches Fehlverhalten verursachte Verkehrsunfälle verhindert werden. Durch neue Formen der Mobilität, wie z.B. selbstfahrende Busse oder Car-Sharing, erhofft man sich einen Rückgang der Anzahl individueller Fahrzeuge im Strassenverkehr. So wird diese Entwicklung sowohl in der Schweiz wie auch in der EU gefördert (siehe den EU-Bericht GEAR 2030 und den Orientierungsrahmen 2040 des UVEK für die Zukunft der Mobilität).

Durch die zunehmende Konnektivität der Fahrzeuge sind Szenarien denkbar, die das Leben aller Akteure im Mobilitätsbereich erheblich erleichtern. So könnten etwa die Sensordaten von automatisierten Fahrzeugen dafür genutzt werden, digitales Kartenmaterial aufzudatieren, Dienstleister oder Infrastrukturen könnten Daten direkt ins Fahrzeug übermitteln, Betreiber von Strasseninfrastrukturen könnten durch die Übermittlung von Daten ins Fahrzeug den Verkehrsfluss lenken. All diese Szenarien erfordern einen Datenaustausch zwischen Benutzern, Herstellern, Dienstleistern und Behörden. Die Risiken, die sich aus einer erhöhten Konnektivität von Fahrzeugen ergeben, liegen auf der Hand: Eine hohe Vernetzung eröffnet Angriffsflächen für Cyberattacken und erhöht die Anforderungen bezüglich Datenintegrität, Datenzugang und Datenschutz. Welchen Beitrag kann der Staat leisten, um die Informationssicherheit in Zusammenhang mit vernetzten Fahrzeugen sicherzustellen?

Ein erster Schritt wäre die Trennung der Identität des Fahrzeugs von der Identität des Fahrzeughalters. Im Rahmen eines im Auftrag der Geschäftsstelle E-Government Schweiz durchgeführten Projektes, befasste sich die Berner Fachhochschule mit der möglichen Ausgestaltung eines digitalen Fahrzeugausweises. Das im Projekt erarbeitete Konzept sieht genau diese Trennung vor. Die Daten zum Fahrzeug und die Daten des Fahrzeughalters werden in separaten Datenbanken geführt und referenzieren einander nur noch über eine Referenz-ID.

Enthält der digitale Fahrzeugausweis lediglich fahrzeugbezogene Daten und nur eine Referenz (z.B. ein nichtsprechender Identifikator) auf den Fahrzeughalter, so könnten die Auswertungen dieser Daten (z.B. Bewegungsprofile) zunächst nicht ohne weiteres einer Person zugeordnet werden. Auch im Fall von Datenentwendung können betroffene Personen zunächst unerkannt bleiben. Erst wenn ein Angreifer auch Zugriff auf die Datenbank der Fahrzeughalter bekommt, wird eine Zuordnung der Fahrzeugdaten zu Personen möglich. Dann ist der Schutz der Privatsphäre bzgl. der persönlichen Information (wie Name, Alter, Adresse) der Fahrzeughalter gefährdet und die Bildung von Bewegungsprofilen und anderen Auswertungen wird möglich.

Ausserdem wäre es leichter bei einem Wechsel des Besitzstandes, fahrzeugbezogene Informationen, wie z.B. Informationen über Zulassung, zu erfolgten Fahrzeugmodifikationen oder zu Wartungs- und Reparaturarbeiten, weiterzugeben. Sollten Dienstleister oder Betriebe Daten an das Fahrzeug übermitteln können, wäre es möglich z.B. Park- oder Zufahrtszulassungen für ein bestimmtes Fahrzeug zu vergeben. Wird die Identität des Fahrzeughalters nur noch als (referenziertes und pseudonymisiertes) veränderbares Attribut des Fahrzeugs geführt, so wären auch zusätzliche Attribute denkbar, wie z.B. für eine zeitlich begrenzte Nutzung des Fahrzeugs. Dadurch eröffnen sich neue Möglichkeiten für die gemeinsame Nutzung von Fahrzeugen, z.B. im Sinne der Sharing Economy.
Bis jedoch wirklich selbstfahrende Autos auch unsere öffentlichen Strassen bevölkern, muss noch Einiges geschehen. Die EU rechnet erst ab 2030 mit einem Marktantritt von vollautomatisierten Fahrzeugen. Auch die Schweiz geht, nach erfolgter Markteinführung von vollautomatisierten Fahrzeugen, vorerst von einer längeren Zeit des Nebeneinanders von teil-automatisierten und vollautomatisierten Fahrzeugen aus.

Zur Sicherstellung der Verkehrssicherheit muss nun folglich auch das Verhalten des Fahrzeugs mitberücksichtigt werden sowie wie ein Fahrer auf das Verhalten des Fahrzeugs reagiert. Damit sieht sich dieser Bereich vor einer besonderen Herausforderung gestellt: Die Unterscheidung dessen, welche Verantwortung beim Fahrzeug und welche beim Fahrer liegt. Aktuell werden fünf Stufen der Automatisierung unterschieden (siehe Abbildung).Die klare Trennung zwischen Fahrzeug und Fahrzeughalter gewinnt damit im Digitalen an Bedeutung. Die akkurate digitale Abbildung der Realität, nämlich, dass Fahrzeughalter und Fahrzeug keine Einheit bilden, wird zur Voraussetzung für das Setzen jeglicher Rahmenbedingungen in diesem Bereich.

Abbildung: Stufen der Automatisierung, ASTRA

Literatur

Bundesamt für Raumentwicklung ARE 2017: Zukunft Mobilität Schweiz: UVEK- Orientierungsrahmen 2040. https://www.uvek.admin.ch/dam/uvek/de/dokumente/verkehr/Zukunft%20Mobilitaet%20Schweiz.pdf.download.pdf/ZMS_UVEK-Orientierungsrahmen_2040_August_2017_de_final.pdf

European Commission 2017: GEAR 2013. High Level Group on the Competitiveness and Sustainable Growth of the Automative Industry in the European Union. Final Report 2017. European Union. https://ec.europa.eu/growth/content/high-level-group-gear-2030-report-on-automotive-competitiveness-and-sustainability_de

Schweizerische Eidgenossenschaft 2016: Automatisiertes Fahren – Folgen und verkehrspolitische Auswirkungen Bericht des Bundesrates in Erfüllung des Postulats Leutenegger Oberholzer 14.4169 «Auto-Mobilität». https://www.astra.admin.ch/dam/astra/de/dokumente/abteilung_strassennetzeallgemein/automatisiertes-fahren.pdf.download.pdf/Automatisiertes%20Fahren%20%E2%80%93%20Folgen%20und%20verkehrspolitische%20Auswirkungen.pdf

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Die Schweiz braucht eine Debatte um die E-ID

An der Schweizer E-ID wird intensiv gearbeitet. Doch die öffentliche Debatte darüber kommt nur langsam in Schwung. Einen Anfang machte nun die Sendung Attualità culturale von Rete due, in der unser Forscher und Autor Jérôme Brugger mitdiskutierte.

Die meisten Menschen haben eine digitale Identität. Allerdings kennen die wenigsten das Konzept des elektronischen Identitätsausweises und dessen Folgen. Der Schweizer Bundesrat hat beschlossen, einen gesetzlichen Rahmen für die Schaffung von rechtsgültigen E-IDs in der Schweiz zu schaffen und wird ein entsprechendes Gesetz bis zum Sommer vorlegen. Neun grosse Unternehmen darunter die Post und die SBB haben angekündigt, einen digitalen Personalausweis, die SwissID zu entwickeln. Kundinnen und Kunden der beiden Unternehmen erhalten damit bereits im Laufe des Jahres eine vielseitig einsetzbare E-ID. Jetzt wäre der ideale Zeitpunkt für eine breite öffentliche Diskussion, bevor der Nationalrat über den Gesetzesentwurf debattieren wird.

Einen Anfang machte Rete due, das zweite Programm des Tessiner Radios. In seiner Sendung «Attualità culturale» vom Montag 12. Februar diskutierten zwei Forschende die zentralen Fragen zur digitalen Identität. Sie erläuterten die Vorzüge einer staatlichen und damit rechtsgültigen digitalen Identität für einfache und verlässliche Transaktionen mit der öffentlichen Verwaltung. Jérôme Brugger (ab Minute 8:50) gab als Mitglied des Forschungsschwerpunktes «Virtuelle Identität» am Departement Wirtschaft der Berner Fachhochschule Auskunft zu den aktuellen Entwicklungen in der Schweiz und den europäischen Perspektiven für die grenzüberschreitende Nutzung von elektronischen Identitäten.

Dieses Beispiel von Berichterstattung über E-ID ist aber eine Ausnahme. Die Debatte darum, mit welchen digitalen Identitäten wir uns künftig im elektronischen Raum bewegen, muss breiter geführt werden. Die Vor- und Nachteile von privaten und staatlichen oder staatlich kontrollierten digitalen Identitäten müssen in der Diskussion abgewogen werden. Am Ende stellt sich nicht die Frage, ob unsere elektronischen Daten gesammelt werden, sondern wie wir mit den passenden Instrumenten und Kontrollorganen Spielregeln durchsetzen können, die einem Schweizerischen und Europäischen Verständnis von Schutz der Persönlichkeit entsprechen.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.