News 08.10.2019, 10:30 Uhr

E-ID, SwissID und Mobile ID

Mobile ID? SwissID? E-ID? Wenn diese Bezeichnungen das Ziel hatten, die Bevölkerung zu verwirren, dann haben sie das erreicht. Wir zeigen Ihnen, was die Dienste können und welche ID Sie wirklich brauchen.
Bewegen wir uns im Internet, hoffen wir auf ein möglichst hohes Mass an Anonymität. Doch manchmal lässt es sich nicht vermeiden, dass wir aus dem Schatten treten. Das gilt bei der Anmeldung in einem Onlineshop und natürlich erst recht bei Geldtransfers. Bei diesen Anmeldungen werden fast immer ein Benutzername und ein Kennwort verlangt. Ausserdem kommt zunehmend ein weiteres Element ins Spiel, die Zwei-Faktor-Authentifizierung oder kurz 2FA. Dieses zusätzliche Element muss ebenfalls verfügbar sein, um die Sicherheit zu erhöhen. Die Banken und Shopbetreiber können sich dabei auf mehrere Ansätze stützen: von der primitiven Streichliste über die Access Card bis hin zur SMS oder zum Farbmuster, Bild 1. Wir kommen auf die 2FA später im Artikel noch im Detail zu sprechen.
Bild 1: Das Punktemuster wird auf dem Smartphone entschlüsselt; der daraus resultierende Code gehört zur Anmeldung
Doch in einigen Fällen ist es mit der Anmeldung allein nicht getan – zum Beispiel dann, wenn ein wichtiges Dokument unterzeichnet wird. In solchen Fällen muss die Identität zweifelsfrei belegt werden. Dazu braucht es ein digitales, aber rechtlich anerkanntes Gegenstück zum Ausweis oder Pass. Damit werden auch die wichtigsten Geschäfte komplett digital abgewickelt, ohne dass Namen mit Tinte auf ein Stück Papier gekritzelt werden.
In der Schweiz kursieren zurzeit drei Begriffe, die sich einem dieser Ziele verschrieben haben: E-ID, Mobile ID und SwissID. Die Ähnlichkeit der Begriffe führt schnell zu Missverständnissen. Dabei sind die Unterschiede zwischen den drei Techniken gross, weil jede eine ganz andere Absicht verfolgt.

Ganz offiziell: die E-ID

Beginnen wir mit der Theorie, denn nichts anderes ist die E-ID zurzeit. Dieses Kürzel steht für Elektronische Identifizierung – also für eine elektronische Identität, die sich auf Augenhöhe mit dem Pass und der Identitätskarte befindet. Die E-ID ist einem klassischen, amtlichen Ausweis ebenbürtig – aber mit allen Verheissungen der Digitalisierung gesegnet.
Bevor es losgehen kann, muss das E-ID-Gesetz in Kraft treten, was nach einem jahrelangen Seilziehen voraussichtlich Ende Jahr der Fall sein wird. Dieses Gesetz sieht unter anderem eine Aufgabenteilung zwischen dem Staat und privaten Anbietern vor: Bei den Identity Providern (IdP) handelt es sich um nicht staatliche Firmen, die zur Ausstellung von anerkannten elektronischen Identitäten und zum Betrieb von E-ID-Systemen ermächtigt sind. Der Bund unterzieht die Identity Provider und deren Systeme einem Anerkennungsverfahren und regelmässigen Kontrollen. Allerdings wünscht sich gemäss Umfragen die Mehrheit der Bevölkerung, dass dieses delikate Thema nicht von Privaten, sondern vom Bund bewirtschaftet wird. Diesem Anliegen erteilt der Bundesrat jedoch eine Absage, weil der Bund angesichts des technologischen Wandels und der Vielfalt möglicher technischer Lösungen nicht in der Lage sei, die E-ID selbst zu entwickeln.
Denn zur Komplexität gesellt sich die Vielfalt. Eine E-ID ist nicht in Stein gemeisselt: Das E-ID-Gesetz macht keine Vorgaben, wie ein digitaler Ausweis aussehen soll. Es könnte sich dabei um das Smartphone handeln, aber auch um eine Zugangskarte oder einen Chip, ganz so, wie es am besten zum Besitzer und den Absichten passt. Das Gesetz überlässt es darüber hinaus den Identity Providern, ob sie noch weitere Vertrauensdienste anbieten möchten, die über die reine Identifizierung hinausgehen – also zum Beispiel eine elektronische Signatur für die Unterzeichnung digitaler Dokumente.
Damit werden papierlose Verträge jeder Grössenordnung möglich, die rechtlich bindend sind. Auch der Umgang mit den Ämtern wird dadurch vereinfacht.
Nächste Seite: Für die 2FA: die Mobile ID

Für die 2FA: die Mobile ID

Für die 2FA: die Mobile ID

Im Gegensatz zur E-ID ist die Mobile ID längst in der Realität angekommen. Sie wird von den Schweizer Mobilfunkanbietern als gemeinsame Basis für ein einfaches und trotzdem sicheres Anmelden im Internet angepriesen. Sie übernimmt jedoch nicht die Funktion eines Ausweises.
Die Technologie mit der Bezeichnung Mobile Signature wurde nicht in Helvetien entwickelt, sondern vom Mobile Electronic Signature Consortium. In der Schweiz können Banken, Shopbetreiber oder Steuerverwaltungen das Identifizierungsverfahren bei der Swisscom mieten.
Bei der Mobile ID wird die SIM-Karte zum zusätzlichen Sicherheitsmerkmal, um sich auf Websites mit dem Smartphone anzumelden. Sie übernimmt also den Part der Zwei-Faktor-Authentifizierung. Dabei wird auf dem Smartphone der vom Benutzer selbst definierte Zahlencode eingetippt, um die Anmeldung abzuschliessen. Dazu ist eine spezielle SIM-Karte notwendig.
Wildwuchs bei 2FA
Bild 2: Ein vertrauenswürdiges Gerät erhält einen Code, bevor das Login abgeschlossen werden kann (im Bild: iPhone)
Die 2FA gilt heute als die sicherste Methode, um sich gegen Betrug durch gestohlene Zugangsdaten zu wappnen: Selbst wenn der Dieb zum Beispiel durch eine Phishing-E-Mail in den Besitz von Namen und Kennwort gelangt, sind diese Informationen ohne das weitere Element der 2FA nutzlos. Das waren früher bei den Banken die Streichlisten; heute kommt vornehmlich die SMS zum Einsatz, eine Zugangskarte mit Lesegerät, eine spezialisierte App wie PhotoTAN oder vertrauenswürdige Geräte, Bild 2. Gerade die Banken kochen zurzeit viele eigene Süppchen, indem sie die 2FA in ihren spezifischen Apps integrieren.
Weil so viele Methoden zur 2FA im Umlauf sind, möchte die Mobile ID dazu beitragen, diesen Wildwuchs einzudämmen. Dazu bietet sie sich als universelle, sichere Methode an: Wer sich zum Beispiel bei der PostFinance mit der Mobile ID anmelden will, benötigt neben der Vertragsnummer und dem Kennwort auch die SIM-Karte und die zugehörige PIN. Es braucht also sehr widrige Umstände und viel kriminelle Energie, um diese Schutzmassnahme zu Fall zu bringen. Trotzdem ist das Verfahren in seiner Anwendung angenehm leichtfüssig, wie wir noch sehen werden.
So gut die Absicht hinter der Mobile ID auch ist: Ihre Vorzüge bleiben so lange theoretischer Natur, bis sich das Verfahren auf breiter Front durchgesetzt hat. Auf der Website von Mobile ID werden neben Swisscom und PostFinance auch die beiden Firmen Digital Deals und Daura genannt, die der Masse vermutlich unbekannt sind. Auch der Kanton Zürich ist dabei, der die Mobile ID zum Beispiel für das Einreichen der Onlinesteuererklärung erlaubt. Weitere Zugpferde weist die Seite nicht aus.
SIM mit Anwendung
Bild 3: Die Oberfläche der Mobile ID ist sehr einfach gestrickt; genauso simpel
ist die Anwendung
Die Nutzung der Mobile ID ist kostenlos, doch Sie benötigen eine qualifizierte SIM-Karte der neusten Generation. Auf ihr ist eine kleine Anwendung untergebracht: Sie kann verschlüsselte Nachrichten als «stille SMS» empfangen, ver- und entschlüsseln sowie versenden. Das ermöglicht die Kommunikation zwischen dem Server und der Mobile ID auf einem eigenen Kanal, um das Login zu verifizieren. Besonders praktisch: Ab dem iPhone 6 und iOS 12 ist es ausserdem möglich, die Mobile ID auch über WLAN zu verwenden. Sei es im Keller ohne Empfang oder im Ausland, wenn kein mobiles Netz zur Verfügung steht, aber das WLAN des Hotels.
Bild 4: Fürs Aktivieren der Mobile ID ist gerade einmal die Eingabe der Telefonnummer nötig
Das kleine Programm auf der SIM-Karte kommt mit dem Betriebssystem des Geräts kaum in Berührung. Deshalb funktioniert das Verfahren nicht nur mit Android- und iOS-Smartphones, sondern auch mit ziemlich toten Mobilsystemen wie BlackBerry, Windows Phone oder Symbian. Entsprechend ist die Nutzeroberfläche fast schon primitiv einfach, Bild 3. Ausserdem ist es ein Leichtes, das Gerät zu tauschen, weil einfach die SIM-Karte übernommen wird. Doch jede Medaille hat zwei Seiten: Wenn eben diese SIM-Karte abhandenkommt, bleiben die Webportale unnahbar, bis eine neue Karte da ist.
SIM-Karte umtauschen
Die Chancen stehen leider gut, dass Ihre bestehende SIM-Karte nicht mit der Mobile ID funktioniert. Doch der Umtausch ist weit weniger schmerzhaft, als man vermuten könnte. Zudem können Sie sehr einfach feststellen, ob Ihre SIM-Karte geeignet ist.
Bild 5: Praktisch – wenn die SIM-Karte nicht kompatibel ist, führt die Seite automatisch zum zuständigen Mobilfunkanbieter
Rufen Sie dazu die Website mobileid.ch auf und klicken Sie für die Anmeldung auf die Schaltfläche Jetzt aktivieren. Geben Sie Ihre Mobilnummer ein, Bild 4. Wenn Sie durch den Hinweis ausgebremst werden, dass Ihre Karte nicht kompatibel ist, klicken Sie auf die Schaltfläche SIM bestellen, Bild 5. Nun wählen Sie Ihren Provider aus.
Der Austausch ist bei folgenden Providern kostenlos: Coop Mobile, M-Budget, Swisscom, UPC und Wingo. Bei Sunrise ist sie nur für Kunden von PostFinance kostenlos, indem bei der Bestellung ein Gutscheincode eingegeben wird. Bei Salt kostet eine neue Karte happige 49 Franken. Andere Provider unterstützen die Mobile ID noch nicht, aber das kann sich jederzeit ändern.
Verwendung
Bild 6: Der sechsstellige Code für die Mobile ID wird jeweils direkt auf dem Smartphone festgelegt
So getan, rufen Sie die Seite mobileid.ch erneut auf und geben Ihre technisch aufgefrischte Telefonnummer ein. Sie erhalten am Smartphone eine Aufforderung, Bild 6, einen sechsstelligen Code zu definieren – und das wars auch schon. Es braucht auch in Zukunft keine App oder andere Krücken, um die Mobile ID zu nutzen, weil sich die Software auf der SIM-Karte befindet. Sie erhalten aber einen Schlüssel zur Wiederherstellung; diesen Code brauchen Sie, wenn Sie das Smartphone oder die SIM-Karte wechseln, Bild 7.
Bild 7: Der Schlüssel zur Wiederherstellung
wird beim Verlust des Smartphones oder beim Wechsel der SIM-Karte benötigt
Jetzt ist Ihr Smartphone respektive die SIM-Karte das sichere Element bei der 2FA. Nun müssen Sie sich nur noch beim jeweiligen Dienst für die Anmeldung via Mobile ID registrieren. Bei der PostFinance melden Sie sich mit Ihrem Konto an und klicken rechts oben auf Ihren Namen, Bild 8 A. Wählen Sie im Einblendmenü den Punkt Login und Sicherheit B. Jetzt sehen Sie verschiedene Einstellungen. Klicken Sie unter Mobile ID auf die Schaltfläche Registrieren und melden Sie sich mit Ihrer Telefonnummer an. Das war schon alles. Leider funktioniert die Mobile ID nur mit einer einzigen Telefonnummer, was die Sache für den zugangsberechtigten Partner kein bisschen einfacher macht.
Bild 8: In diesem Menü wird bei der PostFinance der Zugang via Mobile ID definiert
Nächste Seite: SwissID

SwissID

SwissID

Die SwissID wiederum positioniert sich irgendwo zwischen der E-ID und der Mobile ID. Zurzeit dient sie vor allem dazu, sich unter einem einheitlichen Login im Internet anzumelden – somit verfolgt sie eine andere Absicht als die Mobile ID, die eine beliebige Anmeldung durch die 2FA absichert. O-Ton der Website swissid.ch: «Mit SwissID loggen Sie sich bei immer mehr Schweizer Onlinediensten einfach und sicher ein. SwissID ist eine kostenlose Dienstleistung der SwissSign Group, einem Joint Venture aus staatsnahen Betrieben, Finanzunternehmen, Versicherungsgesellschaften und Krankenkassen.» So weit, so klar die Ansage. So setzt etwa die Post (aber nicht PostFinance) die SwissID für die Anmeldung voraus.
Die SwissID hat ausserdem viel Luft nach oben. Ihre Funktionalität besteht aus Modulen, die aufeinander aufbauen. Sie könnte also irgendwann zu einer elektronischen Identität werden, so wie sie im E-ID-Gesetz definiert ist. Diese Zukunftsmusik hören wir allerdings nur aus der Ferne: Auf der Website von SwissID sind die aktuellen Partner aufgeführt und die Anzahl der Verbündeten geht gerade noch so als Müsterchen durch, Bild 9.
Bild 9: Die Auswahl der teilnehmenden Unternehmen ist nicht gerade erschlagend
Anmeldung und Sicherheit
Die Anmeldung erfolgt über die Website swissid.ch, ist kostenlos und dauert nur einige Minuten. Dazu müssen Sie lediglich Ihren Namen und eine E-Mail-Adresse eingeben; an diese E-Mail-Adresse wird ein Code gesendet, der die Anmeldung abschliesst. Nun können Sie fakultativ Ihre Postadresse eingeben, aber eine weitere Prüfung der Identität findet nicht statt. Und das passt nicht zusammen: Auf der einen Seite sieht sich SwissID als Universalschlüssel für Anmeldungen. Auf der anderen Seite wird gerade einmal die E-Mail-Adresse geprüft, die genauso gut eine Wegwerfadresse sein kann.
Bild 10: In den Einstellungen zur SwissID sollten Sie so schnell wie möglich die 2FA aktivieren
Es wird noch schlimmer: In fast jedem Ratgeber für mehr Sicherheit im Internet findet man diese zwei elementaren Regeln. Erstens sollte für jeden Dienst ein eigenes Kennwort verwendet werden. Zweitens sollte dieses Kennwort unbedingt durch die 2FA abgesichert werden, falls verfügbar. Die SwissID ignoriert beides. Für alle Anmeldungen wird logischerweise dasselbe Kennwort verwendet. Ausserdem ist ab Werk tatsächlich die 2FA deaktiviert – und das mutet doch seltsam an.
2FA aktivieren
Um das zu ändern, melden Sie sich im Webbrowser auf swissid.ch an. Klicken Sie rechts oben auf die drei Striche (Hamburger-Menü) und wählen Sie im Einblendmenü den Eintrag SwissID Einstellungen. Hier definieren Sie im Bereich 2FA, welche Zwei-Faktor-Authentifizierung verwendet werden
Bild 11: Anstelle der Mobile ID kann auch die SwissID-eigene App für die 2FA verwendet werden
soll, Bild 10 A. Zur Auswahl stehen die Mobile ID, eine SMS oder eine Streichliste, die Sie ausdrucken und auf Reisen mitnehmen können – nur für den Fall, dass das Mobiltelefon ohne Empfang bleibt. Sobald Sie die SMS oder Mobile ID für die 2FA nutzen, können Sie weiter unten diese Form der Anmeldung zum Standard machen B. Jetzt ist die SwissID abgesichert.
Die App
Alternativ verwenden Sie die App «SwissID», die kostenlos für Android und iOS angeboten wird. Melden Sie sich an (nötigenfalls unter Zuhilfenahme der Mobile ID) und aktivieren Sie die 2FA. Jetzt wird diese App bei der Anmeldung für die 2FA benutzt, Bild 11. Spätestens hier drängt sich der Verdacht auf, dass sich die Mobile ID und die SwissID gegenseitig befruchten wollen, um ihre Wichtigkeit zu unterstreichen.
Nächste Seite: Fazit: gute Ansätze

Fazit: gute Ansätze

Fazit: gute Ansätze

Es wird Zeit für eine Zusammenfassung. Die E-ID kann im geschäftlichen Umfeld und auf den Ämtern einiges verändern, weil sie zum staatlich anerkannten Ausweisdokument wird. Die Mobile ID versucht, ein wenig Ruhe in die Zwei-Faktor-Authentifzierung zu bringen, indem sie eine gemeinsame Plattform für verschiedene Dienste bietet. Die Swiss-ID gibt sich gerne seriös und staatlich, aber sie sitzt zwischen den Stühlen, denn sie ist (noch) kein offizielles Ausweisdokument.
Jede dieser drei Technologien bringt für sich gesehen gute Ansätze mit. Doch leider schaffen sie es nicht, die Prozesse rund um die Identifizierung und Anmeldung zu verschlanken; stattdessen muss man sich bei drei weiteren Stellen anmelden, um alle Möglichkeiten auszuschöpfen. Vor allem aber lösen die SwissID und die Mobile ID kein einziges Problem. Das lässt sich mit einer persönlichen Statistik veranschaulichen: Mein Kennwortmanager zählt aktuell 182 Logins von A wie «Adobe» bis Z wie «Zyxel». Wo immer möglich, nutze ich die 2FA. Die Bilanz fällt ernüchternd aus:
  • Mobile ID: Anzahl meiner Logins, die Mobile ID unterstützen: 2 von 182 – wobei das Login der SwissID dazugehört. Das zweite Login ist jenes der PostFinance, die ironischerweise die 2FA auch über die eigene App abwickeln kann. Das gelbe Kästchen ist weiterhin erlaubt, aber nicht mehr nötig (mehr dazu unter dem Link go.pctipp.ch/2050).
  • SwissID: Anzahl Logins, welche die SwissID unterstützen: 1 von 182. Dabei handelt es sich um die Post, die diese Form der Anmeldung unterdessen verlangt.
Ohne den Druck und die Marktposition der Post und der PostFinance würde sich vermutlich kaum jemand für diese Technologien interessieren. Ein echter Mehrwert ist zurzeit nicht gegeben. Stattdessen bleibt ein guter Kennwortmanager die beste Lösung, um die unzähligen Zugänge im Zaum zu halten.
Die Situation erinnert auch an das Schweizer Bezahlsystem Twint. Dieses wird von den teilnehmenden Banken zwar vehement beworben, aber Twint hat «den Durchbruch noch vor sich», um es sehr vorsichtig auszudrücken. Es fehlt ganz einfach die kritische Masse, dass Twint auf breiter Basis akzeptiert wird. Bei der Mobile ID und SwissID ist es genau dasselbe: Es fehlt an Akzeptanz, weil die Verbreitung nicht gegeben ist – und an der Verbreitung ändert sich so schnell nichts, weil die Akzeptanz fehlt.



Kommentare
Avatar
perryrho
08.10.2019
Zitat: ... "So setzt etwa die Post (aber nicht PostFinance) die SwissID für die Anmeldung voraus." ... Das stimmt so nicht, denn die Post akzeptiert weiterhin auch eine Neu-Registrierung mit bekanntem Kundenlogin (siehe beiliegendes Anmeldefenster der Post). Sollte das bisherige Kundenlogin zukünftig mal eingestellt werden bevor die 'politischen Weichen' konsumentenfreundlicher gestellt werden, müsste ich mir ernsthaft eine Kündigung überlegen (ich nehme mal an, dass ich damit nicht alleine wäre).

Avatar
Jürgen N.
09.10.2019
Glaube ich nicht... Nur schon um ein Paket verfolgen zu können musste ich jetzt nach Jahren zwingend eine SwissID zulegen. Gruss Jürgen

Avatar
Klaus Zellweger
09.10.2019
So sinnvoll wie ein neues Loch im Kopf Glaube ich nicht... Nur schon um ein Paket verfolgen zu können musste ich jetzt nach Jahren zwingend eine SwissID zulegen. Yup! Das geht bereits in Richtung «digitale Nötigung». Eine typische helvetische Insel-Nicht-Lösung: Einfach mit dem Kopf durch die Wand – aber ohne Aussicht auf Erfolg.

Avatar
Coquin
09.10.2019
SuisseID Die heutige SuisseID ist nicht die frühere Suisse ID (per UBS einzustecken) bei der heutigen SuisseID bekommt man einen PIN oder man bestätigt per Telefon

Avatar
Jürgen N.
09.10.2019
Ich musste ein neues Passwort machen, das alte für die Post wurde nicht akzeptiert. Und die Email-Adresse 2x angeben. Eine "PIN" habe ich nicht erhalten. Bin gespannt wie das weitergeht wenn ich wieder mal etwas von der Post möchte...

Avatar
trs
13.10.2019
ID hin ID her ...... alles nur lieblos hingestellt und nie fertig zu Ende gedacht .... hatte vor Jahren eine SwissID auf Chip, drei Jahre lang bezahlt .... zu nix gebraucht.... und heute Sunrise bietet MobileID für Roaming Aufträge, Yallo nicht.... SwissID auf dem GSM weiss nichts von 2FA im WEB-Interface ..... UND was mach ich ich falls mein GSM verloren geht oder meine ID sonst wie abhanden kommt (Identitätsdiebstahl !). Bin inzwischen mit ZWEI Smartphones unterwegs, einfach, falls eines abraucht.... (Nexus 6P in den Ferien, bootloop)! ohne bist du heute ein NIEMAND ... keine ID, kein Ticket, kein Geld, einfach gar nix ....:mad: Zudem darf das Smartphone nicht irgend ein Teil sein, es sollte immer unter Software-Wartung (aktuelle und zeitnahe Updates !) stehen und nicht von der Politik ins Offside gestellt sein (Huawei ...)! Kann aber auch neue Herausfordungen für die Applikationen bedeuten, welche nun plötzlich von Android 9 auf Android 10 portiert sind ... hatte da auch ein paar Aussetzer bezüglich den zugeteilten Rechten. Also abschliessend kann ich nur sagen, dass wer sich nicht um die Administration seines Smartphones kümmern kann, ist da hoffnungslos überfordert.....:eek:

Avatar
stebra
13.10.2019
und Apple-ID usw? Und irgendwie habe ich in Erinnerung, dass Swisscom so etwas wie Passport oder so hatte....