Identitätsnachweis

25. Januar 2011 15:10; Akt: 25.01.2011 16:47 Print

«Ich glaube an den Markt»

von Henning Steier - Trotz der Sicherheitsdiskussion soll die SuisseID ein gutes Jahr vor sich haben. Warum er davon überzeugt ist, verrät SECO-Projektleiter Christian Weber im Interview.

storybild

Die SuisseID ist seit Mai 2010 erhältlich.

Zum Thema
Fehler gesehen?

Betont locker gab sich Christian Weber, Projektleiter SuisseID beim SECO, gestern Abend beim Monday Evening Talk des Sicherheitsanbieters Dreamlab in Bern. «Wir haben die Kritik der Community ernst genommen», sagte er unter Anspielung auf einen Vortrag von der Dreamlab-Mitarbeiter Max Moser und Thorsten Schröder. Die beiden Computerexperten hatten auf der Konferenz Security Zone in Zürich auf Mängel des elektronischen Identitätsnachweises hingewiesen, der seit Mai 2010 hierzulande erhältlich ist. In seiner Präsentation gestern erneuerte Moser seine Bedenken und verwies unter anderem auf rechtliche Probleme. Denn es sei beispielsweise noch nicht geregelt, wer im Missbrauchsfall hafte.

Anfang September 2010 hat das SECO eine Expertengruppe Sicherheit gegründet, die den elektronischen Identitätsnachweis untersuchte. Dabei wurde laut Weber die gesamte Dienstleistungskette der SuisseID bezüglich ihres Risikopotenzials analysiert. Ausserdem veranstaltete das SECO im November 2010 einen Workshop zum Thema, an dem 35 Fachleute teilnahmen. In diesem wurden Sicherheitstipps erarbeitet, die auf der SuisseID-Website zu finden sind.

«Wir haben noch nicht alle Probleme gelöst», räumte Weber in seiner Bilanz ein und verwies anschliessend darauf, dass die Schweiz 50,9 Prozent ihres Bruttoinlandsproduktes mit wissensbasierten Produkten erziele. «Dies ist das Potenzial unseres Landes», sagte Weber, «wir sollten unser gutes Sicherheitsimage nutzen, um die SuisseID weltweit zu verkaufen.» 20 Minuten Online hat Weber nach der Veranstaltung unter anderem gefragt, wie sich diese Pläne mit den wohl vorerst nicht zu beseitigenden Risiken der Technologie vereinbaren lassen.

20 Minuten Online: Zum Start der SuisseID im Mai 2010 peilte das SECO für das Gesamtjahr 300 000 verkaufte elektronische Identitätsnachweise an. Nun wurden 271 000 SuisseIDs bestellt - aber nur 20 000 an Privatpersonen verkauft. Woran lag dies?
Christian Weber: Für uns war immer klar, dass grosse Firmen die Hauptabnehmer sein würden. Und diese können ihre Systeme nicht von heute auf morgen umstellen. Wir waren beispielsweise in Verhandlungen mit einer grösseren Bank, die uns dann aber mitteilte, dass sie ihre Anwendungen nicht in der verlangten Zeit umstellen könnte.

Damit spielen Sie auf die Subvention von 65 Franken pro Exemplar an, die Ende des Jahres auslief.
Genau. Für eine derart komplexe Lösung wie die SuisseID wäre es besser gewesen, wenn der Ausroll-Prozess über einen längeren Zeitraum hätte erfolgen können.

Hielt sich die Kauflust der Kunden nicht auch in Grenzen, weil die Subvention zu niedrig war?
Eine Subvention ist immer zu niedrig. Man muss abwägen: Wir hatten aber nur insgesamt 17 Millionen Franken erhalten, um die Verkäufe bis Ende 2010 zu fördern.

Hat die SuisseID ein Akzeptanzproblem?
Nein. Die Frage müsste lauten: Wieso sollen Herr und Frau Schweizer zurzeit eine SuisseID kaufen?

Sagen Sie es mir, bitte.
Je mehr Anwendungsmöglichkeiten, desto interessanter wird die SuisseID für Privatpersonen. Mittlerweile gibt es über 110 Einsatzmöglichkeiten, bis Ende 2011 sollten es doppelt so viele sein.

Welche ist Ihr Favorit?
Mir gefallen Lösungen zum elektronischen Versand digitaler Behördendokumente und elektronischer Patientenakten.

In Österreich muss man einen elektronischen Identitätsnachweis erwerben, wenn man sich digital über seine Steuererklärung beschweren möchte. Das wäre doch ein Mittel, die Absätze in der Schweiz zu fördern.
Damit haben Kantone wie St. Gallen und Thurgau bereits begonnen. Steuerpflichtige können dort mit der SuisseID Einsicht in ihr Steuerkonto nehmen und Zahlungsvereinbarungen abschliessen.

Schwachstellen in PDF-Dokumenten sind nur ein negativer Kritikpunkt, den die Sicherheitsexperten Max Moser und Thorsten Schröder im vergangenen Herbst an der SuisseID bemängelt hatten. Im Dezember legten Hacker auf dem Jahreskongress des Chaos Computer Clubs in Berlin nach, indem sie zeigten, wie eine virtuelle Smartcard mit Daten einer realen gefüllt wird Sie haben eine Arbeitsgruppe eingerichtet, die unlängst nur relativ allgemein gehaltene Empfehlungen für Nutzer ins Netz gestellt hat.
Wie meinen Sie das?

Tipps wie «Halten Sie Ihren Virenscanner und das Betriebssystem auf dem neuesten Stand» sollten Anwender grundsätzlich beherzigen.
Aber genau darum geht es doch. Die SuisseID ist ein System, dessen Sicherheit eben nicht nur von Technologie, sondern auch vom Verhalten des Benutzers abhängt. Aber selbst wenn dieser ein routinierter PC-User ist - einen hundertprozentigen Schutz vor Cyberkriminellen gibt es nicht. Es ist doch wie beim Autofahren: Wir wissen alle, das es gefährlich ist und lassen es uns trotzdem nicht vermiesen. Im Übrigen ist die Sicherheit natürlich vor allem ein Thema für die Lösungsanbieter, die zum Beispiel vermehrt auf Klasse-2-Lesegeräte setzen. Zum Start wurden vor allem Klasse-1-Geräte angeboten.

Warum will das SECO sich mittelfristig aus dem im November gegründeten Verein Trägerschaft SuisseID zurückziehen, wie Sie in Ihrem Vortrag verlauten liessen?
Ich glaube an den Markt - und der wird es regeln. Man darf nur nicht den Fehler machen und wie die Franzosen zu früh aussteigen. Eine dortige Lösung hat nicht die gewünschten Resultate gebracht. Wir hingegen sind gut aufgestellt und strecken die Fühler ins Ausland aus. Der Weltpostverein testet unsere Lösung und Schweden ist ebenfalls interessiert. Gespräche haben bereits stattgefunden. Ich bin optimistisch, dass etwas daraus wird. Aber das SECO ist natürlich nicht der Chefverkäufer der SuisseID - ich sehe uns allenfalls als Türöffner.

Zurück in die Schweiz. Wie gross ist das Marktpotenzial hierzulande?
Wir haben 400 000 Mehrwertsteuerpflichtige, 60 000 Landwirte und 40 000 Tierhalter, die ab diesem Jahr eine SuisseID haben müssen, wenn sie elektronisch abrechnen wollen. Im Betriebs- und Unternehmensregister sind rund eine halbe Million Firmen zu finden. Das ist die nächste Zielgruppe. Am Ende werden Privatpersonen die SuisseID vom Arbeitgeber, der Bank oder Versicherung bekommen, denn die Unternehmen können viel Geld sparen. Ein Absatzziel für dieses Jahr haben wir übrigens nicht.

Man könnte doch die neue Generation der Schweizer Identitätskarten mit SuisseID-Funktionen ausstatten.
Ich bin in der Tat in Gesprächen mit dem Bundesamt für Polizei. Aber die Bürger müssten natürlich die Wahl haben.

Wie ist eigentlich ihr Verhältnis zu Doris Leuthard, der Initiantin der SuisseID?
Ihr haben wir die SuisseID zu verdanken, denn sie hat sich sehr für das Projekt eingesetzt.

Haben Sie mit Leuthards Nachfolger, Johann Schneider Ammann, schon über die SuisseID gesprochen?
Noch nicht mit ihm direkt, jedoch mit einem seinem persönlichen Mitarbeiter.