Die neue e-ID erklärt

Die neue e-ID wird zur Abstimmung am 28.09.2025 vor das Stimmvolk gebracht. Es gibt dazu wahrscheinlich so viele Meinungen wie zur Frage, welches die beste Biersorte ist. Für mich als technisch interessierte Person und jemand der gerne seine Daten selber kontrolliert, ist der aktuelle Vorschlag eine wirklich gute Sache. Warum? Das möchte ich in diesem Blogpost erklären und etwas auf die technischen Details eingehen.
Sascha Aeppli

Sascha Aeppli

Software Developer

Technologies · 16.09.2025

Die neue e-ID erklärt
The new e-ID explained

Was ist diese e-ID?

Sollte das Gesetz am Ende September angenommen werden, wird es zusätzlich zur physischen ID die Möglichkeit für eine e-ID geben. Diese wird, wie jetzt auch die bestehende ID vom Bund herausgegeben. Damit wir als Bürger diese e-ID aufbewahren können, brauchen es eine Mobile App mit dem etwas seltsamen Namen swiyu die Quelloffen entwickelt wird (hier z.B. iOS https://github.com/swiyu-admin-ch/eidch-ios-wallet) und natürlich gratis ist. Man spricht hier auch von einem sogenannten Wallet auf deutsch Geldbörse und ihre Funktion entspricht passender weise genau dem was in ein Geldbeutel in der analogen Welt macht: Er bewahrt Ausweise (ID, Fahrausweis, etc.) auf. Geld bekommt man hier vom Bund leider nicht dazu.

Wer erstellt die e-ID?

Wie bekomme ich nun auf dieses Wallet eine e-ID und wer stellt diese aus?

Beides wird durch den Bund und die von ihm bereitgestellte Infrastruktur bewerkstelligt. Man nennt diese technisch auch Issuer zu deutsch Aussteller heisst. Das ist nicht anders als bei den analogen Ausweisen, diese werden auch von der vom Bund (FedPol) ausgestellt und dann an uns geschickt. Bei der digitalen Version gibt es einige Besonderheiten:

Die e-ID wird nur für ein Gerät, in unserem Fall ein Handy, ausgestellt. Damit möchte man vermeiden, dass die e-ID beliebig kopiert werden kann. Verliert man sein Handy, kann eine neue e-ID gratis auf das neue Gerät ausgestellt werden und die alte Version wird invalidiert.

Ein weiterer Unterschied zur analogen ID ist, das die Daten der e-ID nicht im Klartext, also für jeden lesbar, abgelegt werden, sondern verschlüsselt. Dazu braucht es entweder ein Passwort / PIN oder etwas moderner einen biometrischen Schlüssel wie FaceID, Fingerabdruck oder Ähnliches. Dahinter steckt ein Mechanismus der Encryption Stores genannt wird und auf fast alles Plattformen genutzt werden kann. Man kann sich das vorstellen wie einen persönlichen Safe auf dem Smartphone, auf den man nur selber Zugang hat. Das bedeutet in der Praxis, dass niemand ungefragt meine e-ID nutzen kann, selbst wenn ich mein Handy verliere oder es mir gestohlen wird. Das machen Banking Apps schon lange so und es hat sich bewährt.

Wo liegen diese Daten?

Die Daten die zur Erstellung meiner e-ID verwendet werden sind übrigens ausschliesslich auf meinem Smartphone gespeichert, nicht auf einem zentralen Server "in der Cloud".

Eine Kleinigkeit wird allerdings gespeichert, und das ist eine Art Fingerabdruck von meiner e-ID.

Leider ist das deutsche Wort Fingerabdruck etwas ungünstig gewählt, da ja ein Fingerabdruck eindeutig (eineiige Zwillinge ausgenommen) einem Menschen zugeordnet werden kann.

Das ist bei unserem Fingerabdruck nicht der Fall. Nennen wir ihn daher besser mit seinem technischen Namen: Hash zu deutsch Streuwert

Eine Hashfunktion ist eine Mathematische Funktion die eine grosse Menge Daten als Eingabe verwendet und anschliessend eine relativ kurze Zeichenkette, den Hash, ausgibt. Damit kann man sehr gut überprüfen, ob Daten korrekt sind oder verändert wurden. Das findet man häufig bei Downloads im Linux Umfeld mit z.B. md5 oder sha-256 Hashwerten.

Ein Beispiel: Ich möchte jemandem einen Text schicken und sicherstellen das er auch den Text erhalten hat den ich abgeschickt habe.

Beispieltext:
Das neue e-ID Gesetz ist eine gute Sache für die Schweiz!

Der sha-256 Hashwert von diesem Text wäre 2a49cf10f98083b6feb4af16bdd70cc4647f39af773a96754455e4f7e1122f41.

Wenn ich nun diesen Text jemandem übertrage, und sicher sein will das er auch diesen Text bekommt und nicht etwa:
Das neue e-ID Gesetz ist keine gute Sache für die Schweiz!

Prüft nun der Empfänger die Nachricht mit dem mutwillig bösen Versuch meine Aussage ins Gegenteil zu verändern, so wäre nun der sha-256 Hash 33ad848be88187f4b7b071329a1571e7c222f1db2d75ae581a9d45863bcb2108, was der Empfänger leicht prüfen kann.

Natürlich läuft all dies in der Praxis mit komplexeren Hashfunktionen und automatisiert aber das Prinzip bleibt das Gleiche: Der Empfänger von Informationen kann sicher sein, dass sie von der Stelle kommen, die diese Vorgibt zu sein und dass der Inhalt nicht manipuliert wurde. In der e-ID Infrastruktur werden alle diese Hashes in einem sogenannten Registry abgelegt. Weiter liegt in diesem Register noch die Information ob die zugehörige e-ID gültig ist oder nicht.

Wie verwende ich die e-ID und was läuft technisch dabei ab?

Die e-ID kann prinzipiell für alles eingesetzt werden, wo eine normale ID eingesetzt wird. Voraussetzung ist ein Smartphone, eine darauf installierte Wallet App (mit der e-ID die swiyu App) und eine in der App gespeicherte e-ID. Gehen wir einmal einige Szenarien durch, um die Funktionsweise der e-ID besser zu verstehen.

Beispiel: Online ein Bier beim Pizzadienst bestellen

Nehmen wir an, ein Jugendlicher mit 17 Jahren möchte Abends eine Pizza bestellen. Die Eltern sind aus dem Haus und die Kollegen alle eingetroffen. Der erste Film läuft und der Magen aller beteiligten meldet sich. Eine Pizza muss her, natürlich mit ein paar Dosen Lagerbier. Die prepaid Kreditkare wird zum Bezahlen verwendet und bietet keine ausreichende Garantie, dass der oder die Besteller über 16 resp. 18 Jahre alt sind.

Der Onlineshop ist jedoch bereits in der Lage die Altersprüfung mittels e-ID durchzuführen. Eine Meldung erscheint vor dem Checkout das Waren im Warenkorb sind, die einen Altersnachweis gesetzlich erforderlich machen. Natürlich hat unser Pizzashop eine weiter Option das man auch beim Empfang der Ware den Ausweis zeigen kann.

Wir entscheiden uns in diesem Beispiel aber für die Prüfung mittels e-ID. Ein QR-Code Bild erscheint, welches wir mit der swiyu App abfotografieren. Darauf hin erschein ein Dialog in dem steht das der Super Pizza Store von mir einen Altersnachweis +16 Jahre anfordert und ob ich diese Information mit ihm teilen möchte oder den Vorgang abbrechen.

Wir teilen die Information und bezahlen den Warenkorb mit der Kreditkarte. 30 Minuten später schlemmt die Gruppe unsere imaginären Pizzen mit kühlem Bier.

Was genau läuft hier ab?

Damit der Onlineshop unserer Pizzeria überhaupt eine Altersprüfung einbauen kann, muss sie sich beim Bund registrieren. Das läuft folgendermassen ab:

  1. Wir erstellen uns einen Login oder haben schon eins beim ePortal (https://eportal.admin.ch) und loggen uns ein.

  2. Wir registrieren unsere Organisation, also die Pizzeria, oder das Unternehmen dahinter.

  3. Wir erstellen eine sogenannte DID in der Base Registry für unser Unternehmen.

  4. Wir registrieren uns in der Trust Registry als Verified Actor.

Das muss man erst mal verdauen, aber es ist eigentlich ziemlich simpel. Der Bund will verhindern das sich jeder einfach so als Verifier, also als jemand der Abfragen machen darf, ausgeben kann. Dazu die Registrierung im ePortal des Bundes. Dazu müssen wir angeben warum wir gewisse Angaben abfragen wollen, das Passfoto und der Heimatort sind wohl nicht nötig um Bier zu verkaufen, auch hier möchte man Missbrauch ausschliessen.

Wichtig hier sind nun die DIDs. Sie sind ein global eindeutiger und überprüfbarer digitaler Identifikator, der eine Entität (Person, Organisation, etc.) repräsentiert und ohne zentrales Register auskommt. DIDs ermöglichen eine dezentrale, selbstverwaltete Identität, die auf kryptographischen Schlüsseln und Datenregistern basiert, meist einer Blockchain, und die Kontrolle über die eigenen Identitätsdaten behält.

Die swiyu App auf unserem Handy kann also bei der Anfrage des Pizzashops überprüfen ob dieser überhaupt einen gültigen Eintrag im Base Register vom Bund hat. Falls nicht kann sie das hier ausgeben. Der Bund hat hiermit auch die Möglichkeit Entitäten zu sperren die sich nicht an die Gesetze halten oder Missbrauch betreiben.

Das ist quasi so wie die Kondukteurin, die mir ihren Ausweis zeigt, damit ich weiss, ja diese Person darf mich nach einem gültigen Fahrausweis fragen.

Nun geht es jedoch noch weiter, denn nicht nur eine gültige DID ist nötig, sondern auch ein Eintrag zu unserem DID im sogenannten Vertrauensregister. Dieses Register führt welche DID berechtigt ist und welche Informationen von Ihr abgefragt (Alter, Name, Foto, Heimatort, Geburtsdatum) werden dürfen.

Auch das merkt die App, wenn z.B. die Pizzeria versuchen würde zusätzlich noch mein Geburtsdatum abzufragen würde die App diese Anfrage bereits ablehnen, da sie im Vertrauensregister nur eine Berechtigung für Alter +16 und Alter +18 hinterlegt hat.

Nun spielen wir das Beispiel von oben mal aus Sicht des Shop durch und halten fest, wer und welche Informationen von wo nach wo fliessen.

  1. Jemand möchte einen Warenkorb bezahlen mit Waren +16
    Das ist nur Logik im Webshop und kann individuell implementiert werden, auch mit Optionen wie manuelle Prüfung bei Übergabe o.Ä.

  2. Wir erstellen einen Altersnachweis Request (nichts anderes als eine URL als Barcode)
    Das ist eine URL die auf den Shop Server zeigt z.B. https://shop.superpizza.ch/v3/api/request Dieser antwortet mit einem JWT (JSON Web Token) in dem genau steht wer, was abfragen möchte und wohin anschliessend diese Antwort geschickt werden soll.

  3. Wir erhalten ein gültigen Altersnachweis-Response
    Die App schickt uns direkt zu dem Endpoint z.B. https://shop.superpizza.ch/v3/api/response den wir bei Schritt 3 angegeben haben, nur die angeforderten Daten, in unserem Beispiel "ist älter als 16".

  4. Wir prüfen ob der Ausweis gültig mit Hilfe eines Hash im Register
    Der Shop kann nun, gleich wie die App, prüfen ob der Ausweis gültig ist und damit auch die erhaltene Anfrage. Das läuft wieder über das zentrale Register. Ganz wichtig ist hier zu verstehen, dass auf der Seite des Registers weder ein Rückschluss gemacht werden kann, wer gerade geprüft wurde, noch welche Informationen abgefragt wurden. Diese Information läuft nur zwischen Pizza Shop und der Person, welche bestellt.

Zusammenfassung

Die aktuell Vorlage für eine e-ID und die quelloffene Implementierung sind ein Novum für Softwareprojekte auf Bundesebene in der Schweiz. Im Vergleich zum ersten Entwurf der abgelehnt wurde, macht der neue Vorschlag vieles richtig und versucht dabei technologische Standards zu verwenden die es uns in Zukunft auch europaweit oder weltweit ermöglichen, kompatibel zu sein.

Die hier vorgestellten Beispiel sind sehr stark vereinfacht, wen die genauen Details und Protokolle interessieren findet alle Informationen unter https://www.eid.admin.ch. Besonders interessant sind die Referenzimplementierungen die auf GitHub unter https://github.com/swiyu-admin-ch eingesehen werden können.

Wer jetzt schon neugierig ist, wie sich eine e-ID anfühlt, kann sich bereits jetzt die App herunterladen und eine Beta-ID selbst unter https://www.bcs.admin.ch/bcs-web ausstellen und mit ein paar Szenarien testen.

Sascha Aeppli

Sascha Aeppli

Software Developer

Would you like to find out more about this topic?

I'm happy to discuss your project with you.

Related blog posts