Schlagwort: SuisseID

The title is a fata morgana, of course. Identity and Access Management (IAM) is a very old topic in the context of e-services. Still it has not been solved satisfactorily in practical terms. For example, the are no proper plug-in modules available for building e-government services. Although reuse has been a strategic goal in Swiss e-government for a decade, progress has only been achieved in paper work through the establishment of eCH standards. But even these standards are hardly used despite of the fact that some embody a lot of knowledge.

On a global scale it is sad, that so far there is only one broker solution with big outreach, which connects eID-ecosystems from different eID-providers: this is the network of eIDAS nodes being developed based on the eIDAS regulation. Still, in its current state of conceptualization eIDAS does only solve cross-border government problems inside EU and possibly EWR. This excludes other countries, and worse, it does not include industry. There are lots of ideas around how to get forward, but solutions seem to be far away.

Indeed, building a global broker is a hard legal, organizational, economic, and technological challenge. Many believe that it is not worth dealing with this challenge, because the progress of IT will create new solutions as deus ex machina – possibly solutions which destroy privacy anyway and dismiss any rights on careful handling of one’s data. This hope is shocking, although many who hope for future unknown solutions, they lack imagination of what these solutions would be and they may start to protest once they understand what all this amounts to. Personally, I stick to the opinion that we do need a global federation of eID-ecosystems into a universal open eID-ecosystem. This federation should be based on clear principles, trustworthy implementations, and carefully designed auditing practicing that create a good foundation for trust and confidence among all actors in the ecosystem.

I hope that our authors of this issue will provide you and me with a deeper understanding of how sustainable solutions for the IAM topic on a global scale could look like. As you know it from Cechov’s plays: Maybe, some day in the future, the world will be a brighter one. Enjoy reading this issue!

Yours sincerely, Reinhard Riedl

Digitale Identitäten begleiten uns tagtäglich. Die technischen Möglichkeiten sind sehr vielgestaltig. Wie können digitale Identitäten einerseits eine sichere Identifizierung fürs eGovernment und eHealth ermöglichen und andererseits auch den Schutz der Privatsphäre garantieren?

Digitale Identitäten ermöglichen den Zugang zur digitalen Gesellschaft. Sie repräsentieren Personen, Organisationen und Objekte in der digitalen Welt und werden in immer mehr Lebensbereichen verwendet. Jeder von uns hat so – bewusst oder unbewusst – digitale Repräsentationen seiner Person für verschiedenen Zwecke. Sei es die Cumulus-Karte der Migros, der SwissPass der SBB oder die SIM-Karte im Mobilgerät, all diese digitalen Identitäten begleiten uns täglich.

Digitale Identitäten sind sehr vielgestaltig. Das Spektrum aus technischer Sicht reicht von Benutzername/Passwort Kombinationen und Smartcards über biometrische Identifikationsmittel bis zu hardwarebasierten Zertifikaten, wie z.B. der SuisseID.

Welche Eigenschaften sollte eine digitale Identität haben?
Eine digitale Identität sollte nutzbringend sein. Sie ist ein Hilfsmittel, um bestimmte Funktionalitäten in der digitalen Welt ausführen zu können. So kann man mit einer digitalen Identität beweisen, wer man ist und so bestimmte Online-Dienste verwenden. Man kann Dokumente oder Daten – analog zu einer handschriftlichen Unterschrift – digital signieren. Mit anderen, eher passiven Identitäten, kann man Vergünstigungen aus Bonusprogrammen einsammeln oder andere Leistungen der realen Welt, wie zum Beispiel Benutzung des ÖV, in Anspruch nehmen.

Für einige Anwendungen in der digitalen Welt, wie z.B. im eGovernment, muss man sicher sein, wer hinter einer digitalen Identität steckt. Identitäten, wie die SuisseID, können als digitaler Ausweis verwendet werden. Dazu müssen die verwendeten Identitäten sicher und vertrauenswürdig sein. Bei einer Identität, die auf einer SuisseID beruht, kann man 100% sicher sein, dass man es mit der entsprechenden Person zu tun hat. Das Vertrauen in die SuisseID basiert zum einen auf einem zertifizierten Registrierungsprozess, bei dem man persönlich anwesend sein muss, und zum anderen auf der Sicherheit der verwendeten Technologien. So wird mit einem Hardware-Token, dem SuisseID-Stick, verhindert, dass die SuisseID-Identität gestohlen werden kann. Nur wer den Stick und die passende PIN besitzt, kann die SuisseID benutzen. Man spricht hier von einer 2-Faktoren-Authentifizierung.

Das höchste Vertrauensniveau geniesst eine staatlich anerkannte elektronische Identität. Hier übernimmt der Staat die Verantwortung für die Registrierung, die meist an die Beantragung eines Ausweisdokuments, zum Beispiel Identitätskarte oder Reisepass, gekoppelt ist.
Aber das hohe Vertrauen und die Sicherheit einer digitalen Identität haben ihren Preis: höhere Kosten sowie eine komplizierte Handhabung und ein aufwendiger Registrierungsprozess. Daraus resultiert meistens eine schlechte Benutzerakzeptanz. Deshalb sollte beim Einsatz von digitalen Identitäten immer die Benutzerfreundlichkeit gegen die Sicherheitsanforderungen abgewogen werden. Zum Beispiel kann bei einem Online-Abonnement einer Tageszeitung auf eine hohe Sicherheit verzichtet werden, da das Schadenspotential gering ist.

Ohne Schutz der Privatsphäre geht es nicht
Die Datensammelwut einiger Diensteanbieter im Internet und verschiedene Hackerangriffe auf Kundendaten in den letzten Monaten, lassen den Wunsch nach Schutz der Privatsphäre und Anonymität erstarken. Zumal es heute sehr schwer, und zum Teil fast unmöglich ist, einmal preisgegebene Daten wieder aus der digitalen Welt zu entfernen. Eine gute digitale Identität ermöglicht es daher auch, sich anonym oder pseudonym in der digitalen Welt zu bewegen. Bei diesen Verfahren werden die wahre Identität einer Person verborgen und nur die Eigenschaften, preisgegeben, die für die Nutzung eines Services essentiell notwendig sind, wie zum Beispiel das Alter. So kann man den Zugriff auf ungeeignete Inhalte für Minderjährige kontrollieren, ohne deren Namen oder Geschlecht zu kennen. Die Preisgabe der Identität (oder von Teilen davon) bzw. Wahrung von Anonymität bleibt somit eine Entscheidung der Person selbst.

Eine digitale Identität reicht nicht aus

Die verschiedenen möglichen Eigenschaften digitaler Identitäten machen klar, dass mehrere Identitäten für die verschiedenen Anwendungsbereiche benötigt werden.

Im eGovernment und auch im eHealth ist es wichtig, die Bürger und Bürgerinnen, bzw. Patienten und Patientinnen eindeutig zu identifizieren, um Verwechslungen auszuschliessen. Nur eine staatlich anerkannte digitale Identität oder Identitäten auf ähnlich hoher Vertrauensstufe, wie z.B. die SuisseID oder die geplante Versichertenkarte, die auch über einen eindeutigen Identifikator verfügt, machen das möglich.

In anderen Bereichen, wo das Schadenspotential geringer ist, kann man auch einfachere elektronische Identitäten, wie sie z.B. von Google oder Facebook bereitgestellt werden, verwenden. Diese kostenlosen Identitäten beruhen zumeist auf einer Selbstregistrierung mit Email- oder SMS-Bestätigung. Die zur Verfügung gestellten Personenattribute sind zumeist selbst deklariert. Hier sollten sich Benutzer und Server-Anbieter gleichermassen über die Gefahren und Risiken klar werden.

Schlagwortarchiv für: SuisseID

Februarausgabe: IAM is in town, and it is globally connected

Ähnliche Beiträge

Nutzbringende und sichere digitale Identitäten für alle Lebensbereiche und ihre Eigenschaften

Ähnliche Beiträge

RSS abonnieren

Kontakt

Newsletter