Kann ich der e-ID vertrauen?

Um die China-Frage aus der Einleitung direkt zu beantworten: Nein wissen sie nicht und falls doch liegt dies sicherlich nicht an der e-ID.

Ich hatte letzte Woche einen "etwas" fragwürdigen Flyer in meinem Briefkasten auf dem neben der chinesischen Flagge viele Überwachungskameras und weitere angsteinflössende Abbildungen dargestellt waren. Beim Durchlesen des Flyers wurde mir schnell klar, dass vom Herausgeber die grundsätzliche Technik hinter der e-ID sowie dessen Einsatz (bewusst oder unbewusst) nicht verstanden wurde.

Was ist die e-ID?

Die e-ID hat das Ziel persönliche Identifikationen vollständig digital durchzuführen. Dies kann für verschiedene Zwecke eingesetzt werden. Ein einfaches Beispiel ist der Kauf von altersbeschränkten Waren oder Dienstleistungen wie zum Beispiel Alkohol oder der Abschluss eines Handyabos. Dafür müssen bislang (mehr oder weniger) mühsame Prozesse wie das Einscannen oder Abfotografieren der ID zur eindeutigen Identifikation durchgeführt werden. Die Identifikation selbst wird dann meist noch von einer Person durchgeführt, welche die gesendeten Informationen überprüfen und den Kauf dann freigeben muss.

Hier lassen sich bereits die ersten Probleme bei den aktuellen Prozessen feststellen:

• Sie dauern meist eher lange und sind von manuellen Schritten abhängig.

• Man sendet tendenziell zu viele Informationen an die prüfende Stelle, welche für die Identifikation selbst nicht verwendet werden.

• Hinter der prüfenden Stelle kann sich ein unseriöses Unternehmen verbergen, welches die erhaltenen Daten für ungewollte Zwecke verwendet.

Was macht die e-ID besser?

Um genau solche Probleme zu vermeiden, wird die e-ID mit klar definierten Zielen und Grundsätzen entwickelt.

Es werden nur die Informationen übertragen, die benötigt werden

Bei einer Verifikation mit der e-ID werden nur genau die persönlichen Informationen übertragen, welche für den spezifischen Fall benötigt werden. Bevor Daten übertragen werden, erhält man selbst eine genaue Übersicht über die Informationen die gesendet werden sollen. Dieser Übertragung muss man bewusst zustimmen.

Dies lässt sich einfach am Beispiel vom Kauf von alkoholischen Getränken erklären. Dafür muss die anbietende Stelle lediglich wissen, ob die Person, welche den Kauf abschliessen will mindestens 16 bzw. 18 Jahre alt ist. Für eine Überprüfung mit der e-ID wird der Stelle, deshalb lediglich mit einem "Ja" oder einem "Nein" mitgeteilt, ob dies der Fall ist oder nicht. Die Stelle erhält keine weiteren Informationen, wie zum Beispiel das Geburtsdatum oder den Namen der Person.

Auch die Anbieter müssen verifiziert sein

Ein Anbieter kann nur Verifikationen mittels einer e-ID durchführen, wenn sich dieser auf der e-ID Infrastruktur registriert hat und dort verifiziert wurde. Dabei wird auch definiert, welche Informationen der Anbieter aus gesetzlichen Gründen abfragen darf und welche nicht.

Fragt der Anbieter trotzdem zu viele Daten an, wird der Benutzer explizit darauf hingewiesen und kann die Anfrage ablehnen.

Lokale, dezentralisierte Daten

Alle persönlichen Informationen werden lokal auf dem jeweiligen Gerät abgespeichert. Dadurch sind diese sensiblen Daten nicht in einer Cloud abgelegt, was das Risiko minimiert, dass diese bei möglichen Hackerangriffen gestohlen werden können.

Zudem agiert der Bund bei einem Datenaustausch lediglich als verifizierende Stelle, sprich der Bund weiss bei einer Transaktion nicht, für was genau die Daten verwendet werden, welche ausgetauscht werden sollen. Es können also keine sogenannten "Bürgerprofile" erstellt werden.

Open Source

Der Bund entwickelt die gesamte Infrastruktur der e-ID als OpenSource-Lösung auf GitHub. Dies bedeutet, dass dessen Code jeder Zeit einsehbar ist, was das Vertrauen in diesen stärkt.

Technologie

Die gesamte Architektur der e-ID Infrastruktur wurde im partizipativen Prozess vom Bund zusammen mit interessierten Organisationen und Personen erarbeitet und stetig verbessert. Dadurch ist eine sehr robuste und moderne Basis entstanden, die dem heutigen Stand der Technik sowie den höchsten Sicherheitsstandards entspricht.

Fazit

Die e-ID erfüllt aus technischer Sicht alles was es benötigt, um sensitive Informationen, wie Ausweisdokumente oder Patientendossiers, sicher darin abzulegen und bei Bedarf zu verwenden. Auch der Datenschutz ist durch die oben beschriebenen Ansätze gewährleistet.

Falls dir diese Erklärungen zur e-ID zu oberflächlich waren, werden wir in Kürze einen weiteren Blogpost veröffentlichen, in welchem wir auf die technischen Details der e-ID Infrastruktur eingehen.