«Verhökern wir nicht unsere Online-Identität dem Meistbietenden»
Laut dem Technologiejournalisten Grégoire Barbey sollten die Schweizer Stimmberechtigten am 7. März das neue Gesetz zur elektronischen Identität ablehnen. Es sei ein grosses Risiko, privaten Unternehmen die Möglichkeit zu geben, die E-ID zu verwalten.
Das Bundesgesetz über elektronische IdentifizierungsdiensteExterner Link, über das die Schweizerinnen und Schweizer am 7. März abstimmen werden, ist eines jener Themen, die einen echten Einfluss auf das Leben der Bürgerinnen und Bürger haben können – und die paradoxerweise relativ wenig diskutiert werden.
Im Vergleich dazu ist die Kontroverse über die Abstimmung zur Gesichtsverhüllung (die hauptsächlich auf ein Verbot der Burka abzielt) viel hörbarer und betrifft wirklich nur etwa dreissig Menschen in diesem Land. Verkehrte Welt.
Die Befürworterinnen und Befürworter dieser schlecht gemachten Gesetzgebung versichern, dass dieses Projekt das Leben der Menschen einfacher machen wird. Warum? Dank der Zusammenarbeit zwischen dem Bund und privaten Unternehmen soll es möglich sein, eine elektronische Identität (E-ID) zu haben, die von der Verwaltung anerkannt wird und den Zugang zu Dienstleistungen ermöglicht, die bisher nur über staatliche Schalter verfügbar waren.
Die Befürwortenden dieses Gesetzes freuen sich auch darüber, dass es möglich sein wird, sich mit einer einzigen Identifikation bei unzähligen Diensten anzumelden. Dies ist bereits ein erstes Element in der Kampagne zur Förderung dieses Gesetzes, das uns schockieren sollte.
Mehr
Digitale ID weckt in der Schweiz Sicherheitsbedenken
Eine einzige Identifikation für Dienste, die nichts miteinander zu tun haben, ist ein einziger unerlaubter Zugriff auf alles, was uns betrifft. Es reicht, wenn eine böswillige Person dieses eine Zugangsmittel erhält, um sich eine Identität anzueignen und auf alle damit verbundenen Dienste zuzugreifen. Niemand kann ein Nullrisiko bei Identitätsdiebstahl oder gar Verlust garantieren.
Datendiebstähle und Datenlecks, die es auf die Titelseiten der Tageszeitungen schaffen, sollten ein abschreckendes Beispiel gegen den Wunsch bestimmter politischer Persönlichkeiten sein, die mit der Funktionsweise des Netzes nicht vertraut sind, sich in Richtung einer absoluten Zentralisierung in Bezug auf die Authentifizierung zu bewegen. Darüber hinaus gibt es für diejenigen, die sich das Leben wirklich «leichter machen» wollen, bereits frei lizenzierte Passwort-Manager, die leicht zugänglich und sehr nützlich sind.
Der Bundesrat begründet seine Zustimmung zur Ausarbeitung einer Gesetzgebung damit, dass die Wirtschaft und das E-Government eine formale Identifikation der Nutzerinnen und Nutzer benötigen würden. Diese Aussage ist offensichtlich falsch, da es selten notwendig ist, die Identität einer Online-Person zu kennen, um eine Transaktion mit ihr durchzuführen.
Ausserdem, wie Steve Wilson in einem Blogbeitrag mit dem Titel «Identity is dead»Externer Link (Die Identität ist tot) sehr gut erklärt, muss eine Partei einer Transaktion, die Informationen über die andere Partei verifizieren möchte, oft nur bestimmte Attribute verifizieren. Das Alter ist ein gutes Beispiel.
«Eine einzige Identifikation für Dienste, die nichts miteinander zu tun haben, ist ein einziger unerlaubter Zugriff auf alles, was uns betrifft.»
Ein vorausschauender Ansatz hätte es den Behörden auch ermöglicht, weitere Überlegungen zu Fragen der digitalen Identität anzustellen. Zum Beispiel über alles, was mit den Begriffen der selbstsouveränen Identität zu tun hat. Oder über die Entwicklung von Technologien, die als «Zero Knowledge Proof» bekannt sind.
Ohne auf technische Details einzugehen, besteht der Zweck des Nachweises der Nichtoffenlegung von Wissen darin, den Wahrheitsgehalt von Informationen nachweisen zu können, ohne sie teilen zu müssen: Wenn beispielsweise jemand Alkohol im Internet kaufen möchte und nach seinem Alter gefragt wird, würde die Nichtoffenlegung des Wissensbeweises mathematisch beweisen, dass das Alter der Konsumentin, des Konsumenten gleich oder grösser als das gesetzliche Minimum ist, ohne dass die genauen Informationen offengelegt werden müssen.
Diese Technologien müssen erst noch ausreifen. Sie zeigen jedoch die zukünftigen Möglichkeiten auf, die es allen erlauben, ihre eigene Identität zu verwalten und nur das Nötigste über sich selbst preiszugeben. Ziel des Bundesrats sollte es sein, die Bürgerinnen und Bürger in der digitalen Gesellschaft zu befähigen, statt sie in überholte Modelle zu drängen, die ihren Interessen schaden.
Der Plan der Regierung riecht nicht nur nach Mottenkugeln, sondern der beste Plan wäre gewesen, keinen zu haben. Es besteht keine Dringlichkeit, ein elektronisches Identitätsmodell einzuführen, das dann unser Verhältnis zu digitalen Diensten für viele Jahre prägen wird.
Da es keinen Grund zur Eile gibt, ist es besser, dieses Gesetz abzulehnen und zu fordern, dass der Bund mehr Energie in ein ehrgeizigeres Projekt investiert. Ein solches sollte unsere digitale Integrität respektieren und die Kompetenzen nicht an private Unternehmen verschachern, welche die Arroganz besitzen, sich als «staatsnah» zu erklären. Dies ist auf der Website des Konsortiums «SwissSign» zu lesen, das bereits seine eigene elektronische Identitätslösung entwickelt hat, die sowohl als eindeutige Kennung als auch als elektronische Signatur fungiert.
«Privaten Unternehmen die Möglichkeit zu geben, unsere elektronische Identität zu verwalten, bedeutet, das Risiko einzugehen, dass unser digitales Leben zunehmend durch widersprüchliche Interessen eingeschränkt wird.»
Das Gesetz, über das abgestimmt werden soll, verbietet die Verwendung personenbezogener Daten für andere Zwecke als die eigentliche Dienstleistung, und sie sollen nicht an Dritte weitergegeben werden dürfen.
Aber wie kann die Bürgerin, der Bürger darauf vertrauen? Die Datenschutz-Behörden sollen die Einhaltung dieses Verbots durch die Unternehmen kontrollieren. Doch die Ressourcen dieser Behörden in der Schweiz wurden seit Jahren nicht erhöht, obwohl das Arbeitsvolumen exponentiell gestiegen ist.
Heute gibt es in der Schweiz keinen ausreichenden Rechtsrahmen, um die persönlichen Daten, die uns betreffen und die Grundlage unserer digitalen Integrität sind, wirklich zu schützen. Privaten Unternehmen die Möglichkeit zu geben, unsere elektronische Identität zu verwalten, bedeutet, das Risiko einzugehen, dass unser digitales Leben zunehmend durch widersprüchliche Interessen eingeschränkt wird.
Auch wenn das Ziel einer solchen elektronischen Identität in erster Linie darin bestünde, die Identifizierung der Bürgerinnen und Bürger zu erleichtern, um staatliche Dienstleistungen online in Anspruch nehmen zu können, ist es wahrscheinlich, dass Unternehmen systematisch die Verwendung dieser neuen Identität verlangen werden. Auch wenn dies weder notwendig noch wünschenswert ist.
Am 7. März stellt sich eine einfache Frage: Sind wir bereit, unsere digitale Integrität an den Meistbietenden zu verkaufen? Sind wir bereit, Drittfirmen, die uns nicht kennen, die Erlaubnis zu erteilen, unsere Identität zu verwalten, sie zu definieren, einzuschränken und ihre Anbieter zu sein?
Diese Gesetzgebung ist nicht dringlich, und sie in ihrer jetzigen Form zu akzeptieren, gibt den Unternehmen sicherlich zu viel Macht. Denn sie werden nicht zögern, uns bei jeder sich bietenden Gelegenheit zu identifizieren. Das Internet ist keine Abstraktion der realen Welt, es ist die reale Welt.
Wenn wir rausgehen und eine Packung Chips kaufen, verlangt niemand, dass wir unsere Identität angeben. Es wäre unverständlich, wenn es online anders wäre. Und doch wird genau das passieren, wenn wir dieses schlechte Gesetz annehmen.
(Übertragung aus dem Französischen: Christian Raaflaub)
In Übereinstimmung mit den JTI-Standards