Und, wenn wir «Ja» stimmen, bleibt trotzdem sehr vieles ungewiss.
Eine hochkarätige Runde von Technologie- und Cyber Security Experten kommt nach über zwei Stunden Diskussion in Bezug auf das BG E-ID zu eben diesem Schluss.
Es ist klar, dass das Gesetz nicht nur aus rechtlicher Perspektive, sondern auch aus technologischer, einige entscheidende Lücken aufweist. Doch eigentlich viel bezeichnender ist, dass dabei die notwendige Diskussion zu den Werthaltungen und Zielsetzungen nie geführt wird. Die politische Abstimmungsdiskussion befeuert hauptsächlich Ängste und Unsicherheiten – auf der Pro sowie auf der Contra-Seite.
Dies die wichtigsten Erkenntnisse aus technologischer Sicht – nach dem zweistündigen Internet-Briefing zum Thema «E-ID Gesetz»:
Die Experten waren sich einig, dass eine Zertifikatsbasierende E-ID für hochsensible Daten die bessere Lösung ist, als zum Beispiel ein Zugang über oAuth 2.0, wie sie die meisten IdP einsetzen. Gleichzeitig konnte sich bis heute der sichere Ansatz in der Breite nie durchsetzen, da er immer noch zu aufwändig für die User ist. Gerade der Umgang mit den schützenswertesten Datensätzen wird im vorliegenden Gesetz nicht genauer präzisiert. Heisst nicht, dass es nicht vorgesehen oder auch so umgesetzt würde. Nur Klarheit hat man da von Seiten des Gesetzgebers nicht geschaffen.
Das beliebteste Beispiel in der Abstimmungsdebatte: Der Online-Handel. Dieser jedoch wird mit einem «Nein» genauso wie mit einem «Ja» in Zukunft auch eigene Authentifizierungs-Lösungen und Login-Möglichkeiten anbieten. Möglicher Vorteil für die Konsumenten bei einer Annahme des Gesetzes: Der Bund bekommt per Gesetz das erste Mal die Möglichkeit lizenzierte IdP’s nach dem Vorbild eines Bakoms, Ensi oder Bazel zu überwachen. Er kann somit Standards und Anforderungen für solche Logins definieren, kontrollieren und gegebenenfalls auch sanktionieren.
Horrorszenarien zur Datensammlung sind übertrieben. Bei einem genauen Blick auf den vermeintlichen Datenhunger zeigt sich schnell, dass technisch vieles nicht möglich ist und auch durch den Gesetzgeber verboten wird. So ist zum Beispiel ein Seitenübergreifendes Tracking mit Produktkauf nur unter wenig wahrscheinlichen Szenarien denkbar, wie wenn
- die surfende Person zur selben Zeit bei allen besuchten Websites gleichzeitig angemeldet ist.
- alle Dienste regelmässig ein Refresh-Token zum IdP senden.
- und der eine Onlineshop eine zweite Anmeldung ausschliesslich beim Warenkorb errichtet, damit der IdP eine Rückschluss ziehen kann, ob etwas gekauft wurde oder nicht – was der IdP per Gesetz aber nicht darf.
Und genauso häufig hört man auch, dass technische Fehler und gezielte Manipulation das Haftungsrisiko bei Besitzern der E-ID massiv erhöhen würden. Es gibt gewisse Situationen, die man bei der Umsetzung einer E-ID definitiv vermeiden sollte. So zum Beispiel, dass die E-ID und die E-Signature in einem Datenpool zusammengeführt werden. Man muss also die technologischen Möglichkeiten so nutzen, dass das Risiko auf das Minimum beschränkt wird. Jedoch ist auch klar, dass kein Gesetz der Welt technische Fehler oder willentliche Manipulation je gänzlich wegbedingen könnte.
Mit einer Ablehnung der Abstimmungsvorlage ändert sich für die Nutzer*innen kaum etwas. Logins und Authentifizierungen von Online-Händlern, Banken,… bleiben bestehen. Allerdings weiterhin in einem nicht gesetzlich geregelten Rahmen.
Mit einer Annahme der Abstimmungsvorlage ändert sich für die Nutzer*innen erstmal auch kaum etwas, denn die meisten Online-Händler, Banken,… werden weiterhin ihre Logins behalten. Eine entscheidende Änderung wird es lediglich bei den gesetzlichen Grundlagen dieser Logins geben – und im Umgang mit hochsensiblen Daten für behördliche Vorgänge im Bereich E-Government. Und hier sind die grundlegende Wertdiskussionen betreffend der Digitalisierung, des Datenschutzes und der damit einhergehenden Risikoabwägung entscheidend, um gute Lösungen umzusetzen.
Genau dieser wichtige Diskurs wird – unserer Meinung nach – mit der Abstimmungsvorlage zur «E-ID» jetzt befähigt.
Wer sich selbst eine Meinung bilden möchte, findet hier die Aufzeichnung der Abstimmungsdiskussion des Internet-Briefings, deren Ziel weder eine «Ja»-, noch eine «Nein»-Stimme war, sondern ausschliesslich mehr technische Fakten für eine klare Argumentation zu liefern.
Antworten