News
08.10.2019, 10:30 Uhr
E-ID, SwissID und Mobile ID
Mobile ID? SwissID? E-ID? Wenn diese Bezeichnungen das Ziel hatten, die Bevölkerung zu verwirren, dann haben sie das erreicht. Wir zeigen Ihnen, was die Dienste können und welche ID Sie wirklich brauchen.
Bewegen wir uns im Internet, hoffen wir auf ein möglichst hohes Mass an Anonymität. Doch manchmal lässt es sich nicht vermeiden, dass wir aus dem Schatten treten. Das gilt bei der Anmeldung in einem Onlineshop und natürlich erst recht bei Geldtransfers. Bei diesen Anmeldungen werden fast immer ein Benutzername und ein Kennwort verlangt. Ausserdem kommt zunehmend ein weiteres Element ins Spiel, die Zwei-Faktor-Authentifizierung oder kurz 2FA. Dieses zusätzliche Element muss ebenfalls verfügbar sein, um die Sicherheit zu erhöhen. Die Banken und Shopbetreiber können sich dabei auf mehrere Ansätze stützen: von der primitiven Streichliste über die Access Card bis hin zur SMS oder zum Farbmuster, Bild 1. Wir kommen auf die 2FA später im Artikel noch im Detail zu sprechen.
Doch in einigen Fällen ist es mit der Anmeldung allein nicht getan – zum Beispiel dann, wenn ein wichtiges Dokument unterzeichnet wird. In solchen Fällen muss die Identität zweifelsfrei belegt werden. Dazu braucht es ein digitales, aber rechtlich anerkanntes Gegenstück zum Ausweis oder Pass. Damit werden auch die wichtigsten Geschäfte komplett digital abgewickelt, ohne dass Namen mit Tinte auf ein Stück Papier gekritzelt werden.
In der Schweiz kursieren zurzeit drei Begriffe, die sich einem dieser Ziele verschrieben haben: E-ID, Mobile ID und SwissID. Die Ähnlichkeit der Begriffe führt schnell zu Missverständnissen. Dabei sind die Unterschiede zwischen den drei Techniken gross, weil jede eine ganz andere Absicht verfolgt.
Ganz offiziell: die E-ID
Beginnen wir mit der Theorie, denn nichts anderes ist die E-ID zurzeit. Dieses Kürzel steht für Elektronische Identifizierung – also für eine elektronische Identität, die sich auf Augenhöhe mit dem Pass und der Identitätskarte befindet. Die E-ID ist einem klassischen, amtlichen Ausweis ebenbürtig – aber mit allen Verheissungen der Digitalisierung gesegnet.
Bevor es losgehen kann, muss das E-ID-Gesetz in Kraft treten, was nach einem jahrelangen Seilziehen voraussichtlich Ende Jahr der Fall sein wird. Dieses Gesetz sieht unter anderem eine Aufgabenteilung zwischen dem Staat und privaten Anbietern vor: Bei den Identity Providern (IdP) handelt es sich um nicht staatliche Firmen, die zur Ausstellung von anerkannten elektronischen Identitäten und zum Betrieb von E-ID-Systemen ermächtigt sind. Der Bund unterzieht die Identity Provider und deren Systeme einem Anerkennungsverfahren und regelmässigen Kontrollen. Allerdings wünscht sich gemäss Umfragen die Mehrheit der Bevölkerung, dass dieses delikate Thema nicht von Privaten, sondern vom Bund bewirtschaftet wird. Diesem Anliegen erteilt der Bundesrat jedoch eine Absage, weil der Bund angesichts des technologischen Wandels und der Vielfalt möglicher technischer Lösungen nicht in der Lage sei, die E-ID selbst zu entwickeln.
Denn zur Komplexität gesellt sich die Vielfalt. Eine E-ID ist nicht in Stein gemeisselt: Das E-ID-Gesetz macht keine Vorgaben, wie ein digitaler Ausweis aussehen soll. Es könnte sich dabei um das Smartphone handeln, aber auch um eine Zugangskarte oder einen Chip, ganz so, wie es am besten zum Besitzer und den Absichten passt. Das Gesetz überlässt es darüber hinaus den Identity Providern, ob sie noch weitere Vertrauensdienste anbieten möchten, die über die reine Identifizierung hinausgehen – also zum Beispiel eine elektronische Signatur für die Unterzeichnung digitaler Dokumente.
Damit werden papierlose Verträge jeder Grössenordnung möglich, die rechtlich bindend sind. Auch der Umgang mit den Ämtern wird dadurch vereinfacht.
Nächste Seite: Für die 2FA: die Mobile ID
Für die 2FA: die Mobile ID
Für die 2FA: die Mobile ID
Im Gegensatz zur E-ID ist die Mobile ID längst in der Realität angekommen. Sie wird von den Schweizer Mobilfunkanbietern als gemeinsame Basis für ein einfaches und trotzdem sicheres Anmelden im Internet angepriesen. Sie übernimmt jedoch nicht die Funktion eines Ausweises.
Die Technologie mit der Bezeichnung Mobile Signature wurde nicht in Helvetien entwickelt, sondern vom Mobile Electronic Signature Consortium. In der Schweiz können Banken, Shopbetreiber oder Steuerverwaltungen das Identifizierungsverfahren bei der Swisscom mieten.
Bei der Mobile ID wird die SIM-Karte zum zusätzlichen Sicherheitsmerkmal, um sich auf Websites mit dem Smartphone anzumelden. Sie übernimmt also den Part der Zwei-Faktor-Authentifizierung. Dabei wird auf dem Smartphone der vom Benutzer selbst definierte Zahlencode eingetippt, um die Anmeldung abzuschliessen. Dazu ist eine spezielle SIM-Karte notwendig.
Wildwuchs bei 2FA
Die 2FA gilt heute als die sicherste Methode, um sich gegen Betrug durch gestohlene Zugangsdaten zu wappnen: Selbst wenn der Dieb zum Beispiel durch eine Phishing-E-Mail in den Besitz von Namen und Kennwort gelangt, sind diese Informationen ohne das weitere Element der 2FA nutzlos. Das waren früher bei den Banken die Streichlisten; heute kommt vornehmlich die SMS zum Einsatz, eine Zugangskarte mit Lesegerät, eine spezialisierte App wie PhotoTAN oder vertrauenswürdige Geräte, Bild 2. Gerade die Banken kochen zurzeit viele eigene Süppchen, indem sie die 2FA in ihren spezifischen Apps integrieren.
Weil so viele Methoden zur 2FA im Umlauf sind, möchte die Mobile ID dazu beitragen, diesen Wildwuchs einzudämmen. Dazu bietet sie sich als universelle, sichere Methode an: Wer sich zum Beispiel bei der PostFinance mit der Mobile ID anmelden will, benötigt neben der Vertragsnummer und dem Kennwort auch die SIM-Karte und die zugehörige PIN. Es braucht also sehr widrige Umstände und viel kriminelle Energie, um diese Schutzmassnahme zu Fall zu bringen. Trotzdem ist das Verfahren in seiner Anwendung angenehm leichtfüssig, wie wir noch sehen werden.
So gut die Absicht hinter der Mobile ID auch ist: Ihre Vorzüge bleiben so lange theoretischer Natur, bis sich das Verfahren auf breiter Front durchgesetzt hat. Auf der Website von Mobile ID werden neben Swisscom und PostFinance auch die beiden Firmen Digital Deals und Daura genannt, die der Masse vermutlich unbekannt sind. Auch der Kanton Zürich ist dabei, der die Mobile ID zum Beispiel für das Einreichen der Onlinesteuererklärung erlaubt. Weitere Zugpferde weist die Seite nicht aus.
SIM mit Anwendung
Die Nutzung der Mobile ID ist kostenlos, doch Sie benötigen eine qualifizierte SIM-Karte der neusten Generation. Auf ihr ist eine kleine Anwendung untergebracht: Sie kann verschlüsselte Nachrichten als «stille SMS» empfangen, ver- und entschlüsseln sowie versenden. Das ermöglicht die Kommunikation zwischen dem Server und der Mobile ID auf einem eigenen Kanal, um das Login zu verifizieren. Besonders praktisch: Ab dem iPhone 6 und iOS 12 ist es ausserdem möglich, die Mobile ID auch über WLAN zu verwenden. Sei es im Keller ohne Empfang oder im Ausland, wenn kein mobiles Netz zur Verfügung steht, aber das WLAN des Hotels.
Das kleine Programm auf der SIM-Karte kommt mit dem Betriebssystem des Geräts kaum in Berührung. Deshalb funktioniert das Verfahren nicht nur mit Android- und iOS-Smartphones, sondern auch mit ziemlich toten Mobilsystemen wie BlackBerry, Windows Phone oder Symbian. Entsprechend ist die Nutzeroberfläche fast schon primitiv einfach, Bild 3. Ausserdem ist es ein Leichtes, das Gerät zu tauschen, weil einfach die SIM-Karte übernommen wird. Doch jede Medaille hat zwei Seiten: Wenn eben diese SIM-Karte abhandenkommt, bleiben die Webportale unnahbar, bis eine neue Karte da ist.
SIM-Karte umtauschen
Die Chancen stehen leider gut, dass Ihre bestehende SIM-Karte nicht mit der Mobile ID funktioniert. Doch der Umtausch ist weit weniger schmerzhaft, als man vermuten könnte. Zudem können Sie sehr einfach feststellen, ob Ihre SIM-Karte geeignet ist.
Bild 5: Praktisch – wenn die SIM-Karte nicht kompatibel ist, führt die Seite automatisch zum zuständigen Mobilfunkanbieter
Der Austausch ist bei folgenden Providern kostenlos: Coop Mobile, M-Budget, Swisscom, UPC und Wingo. Bei Sunrise ist sie nur für Kunden von PostFinance kostenlos, indem bei der Bestellung ein Gutscheincode eingegeben wird. Bei Salt kostet eine neue Karte happige 49 Franken. Andere Provider unterstützen die Mobile ID noch nicht, aber das kann sich jederzeit ändern.
Verwendung
So getan, rufen Sie die Seite mobileid.ch erneut auf und geben Ihre technisch aufgefrischte Telefonnummer ein. Sie erhalten am Smartphone eine Aufforderung, Bild 6, einen sechsstelligen Code zu definieren – und das wars auch schon. Es braucht auch in Zukunft keine App oder andere Krücken, um die Mobile ID zu nutzen, weil sich die Software auf der SIM-Karte befindet. Sie erhalten aber einen Schlüssel zur Wiederherstellung; diesen Code brauchen Sie, wenn Sie das Smartphone oder die SIM-Karte wechseln, Bild 7.
Jetzt ist Ihr Smartphone respektive die SIM-Karte das sichere Element bei der 2FA. Nun müssen Sie sich nur noch beim jeweiligen Dienst für die Anmeldung via Mobile ID registrieren. Bei der PostFinance melden Sie sich mit Ihrem Konto an und klicken rechts oben auf Ihren Namen, Bild 8 A. Wählen Sie im Einblendmenü den Punkt Login und Sicherheit B. Jetzt sehen Sie verschiedene Einstellungen. Klicken Sie unter Mobile ID auf die Schaltfläche Registrieren und melden Sie sich mit Ihrer Telefonnummer an. Das war schon alles. Leider funktioniert die Mobile ID nur mit einer einzigen Telefonnummer, was die Sache für den zugangsberechtigten Partner kein bisschen einfacher macht.
Nächste Seite: SwissID
SwissID
SwissID
Die SwissID wiederum positioniert sich irgendwo zwischen der E-ID und der Mobile ID. Zurzeit dient sie vor allem dazu, sich unter einem einheitlichen Login im Internet anzumelden – somit verfolgt sie eine andere Absicht als die Mobile ID, die eine beliebige Anmeldung durch die 2FA absichert. O-Ton der Website swissid.ch: «Mit SwissID loggen Sie sich bei immer mehr Schweizer Onlinediensten einfach und sicher ein. SwissID ist eine kostenlose Dienstleistung der SwissSign Group, einem Joint Venture aus staatsnahen Betrieben, Finanzunternehmen, Versicherungsgesellschaften und Krankenkassen.» So weit, so klar die Ansage. So setzt etwa die Post (aber nicht PostFinance) die SwissID für die Anmeldung voraus.
Die SwissID hat ausserdem viel Luft nach oben. Ihre Funktionalität besteht aus Modulen, die aufeinander aufbauen. Sie könnte also irgendwann zu einer elektronischen Identität werden, so wie sie im E-ID-Gesetz definiert ist. Diese Zukunftsmusik hören wir allerdings nur aus der Ferne: Auf der Website von SwissID sind die aktuellen Partner aufgeführt und die Anzahl der Verbündeten geht gerade noch so als Müsterchen durch, Bild 9.
Anmeldung und Sicherheit
Die Anmeldung erfolgt über die Website swissid.ch, ist kostenlos und dauert nur einige Minuten. Dazu müssen Sie lediglich Ihren Namen und eine E-Mail-Adresse eingeben; an diese E-Mail-Adresse wird ein Code gesendet, der die Anmeldung abschliesst. Nun können Sie fakultativ Ihre Postadresse eingeben, aber eine weitere Prüfung der Identität findet nicht statt. Und das passt nicht zusammen: Auf der einen Seite sieht sich SwissID als Universalschlüssel für Anmeldungen. Auf der anderen Seite wird gerade einmal die E-Mail-Adresse geprüft, die genauso gut eine Wegwerfadresse sein kann.
Es wird noch schlimmer: In fast jedem Ratgeber für mehr Sicherheit im Internet findet man diese zwei elementaren Regeln. Erstens sollte für jeden Dienst ein eigenes Kennwort verwendet werden. Zweitens sollte dieses Kennwort unbedingt durch die 2FA abgesichert werden, falls verfügbar. Die SwissID ignoriert beides. Für alle Anmeldungen wird logischerweise dasselbe Kennwort verwendet. Ausserdem ist ab Werk tatsächlich die 2FA deaktiviert – und das mutet doch seltsam an.
2FA aktivieren
Um das zu ändern, melden Sie sich im Webbrowser auf swissid.ch an. Klicken Sie rechts oben auf die drei Striche (Hamburger-Menü) und wählen Sie im Einblendmenü den Eintrag SwissID Einstellungen. Hier definieren Sie im Bereich 2FA, welche Zwei-Faktor-Authentifizierung verwendet werden
soll, Bild 10 A. Zur Auswahl stehen die Mobile ID, eine SMS oder eine Streichliste, die Sie ausdrucken und auf Reisen mitnehmen können – nur für den Fall, dass das Mobiltelefon ohne Empfang bleibt. Sobald Sie die SMS oder Mobile ID für die 2FA nutzen, können Sie weiter unten diese Form der Anmeldung zum Standard machen B. Jetzt ist die SwissID abgesichert.
Die App
Alternativ verwenden Sie die App «SwissID», die kostenlos für Android und iOS angeboten wird. Melden Sie sich an (nötigenfalls unter Zuhilfenahme der Mobile ID) und aktivieren Sie die 2FA. Jetzt wird diese App bei der Anmeldung für die 2FA benutzt, Bild 11. Spätestens hier drängt sich der Verdacht auf, dass sich die Mobile ID und die SwissID gegenseitig befruchten wollen, um ihre Wichtigkeit zu unterstreichen.
Nächste Seite: Fazit: gute Ansätze
Fazit: gute Ansätze
Fazit: gute Ansätze
Es wird Zeit für eine Zusammenfassung. Die E-ID kann im geschäftlichen Umfeld und auf den Ämtern einiges verändern, weil sie zum staatlich anerkannten Ausweisdokument wird. Die Mobile ID versucht, ein wenig Ruhe in die Zwei-Faktor-Authentifzierung zu bringen, indem sie eine gemeinsame Plattform für verschiedene Dienste bietet. Die Swiss-ID gibt sich gerne seriös und staatlich, aber sie sitzt zwischen den Stühlen, denn sie ist (noch) kein offizielles Ausweisdokument.
Jede dieser drei Technologien bringt für sich gesehen gute Ansätze mit. Doch leider schaffen sie es nicht, die Prozesse rund um die Identifizierung und Anmeldung zu verschlanken; stattdessen muss man sich bei drei weiteren Stellen anmelden, um alle Möglichkeiten auszuschöpfen. Vor allem aber lösen die SwissID und die Mobile ID kein einziges Problem. Das lässt sich mit einer persönlichen Statistik veranschaulichen: Mein Kennwortmanager zählt aktuell 182 Logins von A wie «Adobe» bis Z wie «Zyxel». Wo immer möglich, nutze ich die 2FA. Die Bilanz fällt ernüchternd aus:
- Mobile ID: Anzahl meiner Logins, die Mobile ID unterstützen: 2 von 182 – wobei das Login der SwissID dazugehört. Das zweite Login ist jenes der PostFinance, die ironischerweise die 2FA auch über die eigene App abwickeln kann. Das gelbe Kästchen ist weiterhin erlaubt, aber nicht mehr nötig (mehr dazu unter dem Link go.pctipp.ch/2050).
- SwissID: Anzahl Logins, welche die SwissID unterstützen: 1 von 182. Dabei handelt es sich um die Post, die diese Form der Anmeldung unterdessen verlangt.
Ohne den Druck und die Marktposition der Post und der PostFinance würde sich vermutlich kaum jemand für diese Technologien interessieren. Ein echter Mehrwert ist zurzeit nicht gegeben. Stattdessen bleibt ein guter Kennwortmanager die beste Lösung, um die unzähligen Zugänge im Zaum zu halten.
Die Situation erinnert auch an das Schweizer Bezahlsystem Twint. Dieses wird von den teilnehmenden Banken zwar vehement beworben, aber Twint hat «den Durchbruch noch vor sich», um es sehr vorsichtig auszudrücken. Es fehlt ganz einfach die kritische Masse, dass Twint auf breiter Basis akzeptiert wird. Bei der Mobile ID und SwissID ist es genau dasselbe: Es fehlt an Akzeptanz, weil die Verbreitung nicht gegeben ist – und an der Verbreitung ändert sich so schnell nichts, weil die Akzeptanz fehlt.
08.10.2019
09.10.2019
09.10.2019
09.10.2019
09.10.2019
13.10.2019
13.10.2019