Bericht und Antrag - Short Information about the ICT 21 process
Bericht und Antrag - Short Information about the ICT 21 process
Bericht und Antrag - Short Information about the ICT 21 process
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Leitfaden ‚Rechtskonformes E-Government’:<br />
Digital Identity Management<br />
Wesen, Bedeutung <strong>und</strong> Handhabung digitaler Identitäten für<br />
eine <strong>Information</strong>s- <strong>und</strong> Wissensgesellschaft in der Schweiz<br />
Inhaltsverzeichnis<br />
1. Management Summary ----------------------------------------------------------------------------------------------1<br />
2. Vorwort -------------------------------------------------------------------------------------------------------------------2<br />
3. Definition-----------------------------------------------------------------------------------------------------------------3<br />
4. Identitäten in der ‚analogen’ Welt ----------------------------------------------------------------------------------3<br />
5. Identitäten in der ‚digitalen’ Welt -----------------------------------------------------------------------------------4<br />
6. Identitäten, Rollen <strong>und</strong> Profile --------------------------------------------------------------------------------------5<br />
7. Diskussion wichtiger Aspekte---------------------------------------------------------------------------------------7<br />
8. Instrumente <strong>und</strong> Lösungen------------------------------------------------------------------------------------------9<br />
9. Situation in der Schweiz ------------------------------------------------------------------------------------------- 13<br />
10. Fazit <strong>und</strong> Ausblick --------------------------------------------------------------------------------------------------- 16<br />
1. Management Summary<br />
Während sich in der ‚analogen’ Welt gängige Instrumente, Methoden <strong>und</strong> Verfahren der Identitätsprüfung<br />
über viele Jahrzehnte etabliert haben <strong>und</strong> in der Bevölkerung, Wirtschaft <strong>und</strong> Verwaltung<br />
akzeptiert sind, gilt dies in der ‚digitalen’ Welt einer <strong>Information</strong>s- <strong>und</strong> Wissensgesellschaft<br />
in der Schweiz erst ansatzweise. Zwar gehören elektronische Identifikations-, Au<strong>the</strong>ntisierungs-<br />
<strong>und</strong> Autorisierungsverfahren vor allem in Grossfirmen <strong>und</strong> Verwaltungseinheiten inzwischen<br />
ebenfalls zum Alltag. Aufgr<strong>und</strong> ihrer bisherigen Ausprägung eignen sie sich jedoch<br />
nur bedingt oder gar nicht zur Handhabung digitaler Identitäten natürlicher <strong>und</strong> juristischer<br />
Personen in vernetzten, organisationsübergreifenden Online-Geschäften <strong>und</strong> -Prozessen (sogenanntes<br />
federated digital identity management).<br />
In der Schweiz wird die Diskussion um digitale Identitäten noch kaum integral geführt. Sie hat<br />
sich bisher vor allem an den folgenden drei Punkten konkretisiert:<br />
• in sogenannten public key infrastructure (PKI)-Lösungen<br />
• im B<strong>und</strong>esgesetz über die elektronische Signatur (ZertES)<br />
• in der elektronischen Identitätskarte (eID-Karte)<br />
Während das B<strong>und</strong>esgesetz über die elektronische Signatur auf Anfang 2005 in Kraft treten<br />
soll, sind die anderen beiden (<strong>und</strong> weitere nötige) Punkte zum gegenwärtigen Zeitpunkt noch<br />
nicht so weit vorangeschritten oder realisiert, dass die Voraussetzungen für die Gestaltung,<br />
Einführung, Verbreitung <strong>und</strong> umfassende Nutzung von vernetzten organisationsübergreifenden<br />
Online-Geschäften <strong>und</strong> -Prozessen in unserer Volkswirtschaft im Allgemeinen <strong>und</strong> im Bereich<br />
E-Government im Speziellen gegeben wären.<br />
Damit liegt die Schweiz nicht nur gegenüber den vom B<strong>und</strong>esrat in der ‚Strategie für eine <strong>Information</strong>sgesellschaft<br />
in der Schweiz’ formulierten Zielen, den eingesetzten Verwaltungsressourcen<br />
<strong>und</strong> den aufgewendeten Steuergeldern im Rückstand. Unser Land fällt insbesondere<br />
im Vergleich mit den diesbezüglich führenden Volkswirtschaften deutlich – <strong>und</strong> kontinuierlich –<br />
zurück.<br />
Die integrale Auseinandersetzung mit dem Wesen, der Bedeutung <strong>und</strong> Handhabung digitaler<br />
Identitäten im Sinne des federated identity management tut deshalb ebenso Not wie die Auslösung<br />
eines aus einer Hand, professionell <strong>und</strong> eng geführten gemischtwirtschaftlichen Pro-<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 1 von 17
gramms zur Überwindung der aufgestauten Probleme <strong>und</strong> zwecks Beschleunigung der Road<br />
Map für eine <strong>Information</strong>s- <strong>und</strong> Wissensgesellschaft in der Schweiz.<br />
Dieses Programm muss unter anderem dazu führen, dass der B<strong>und</strong> für die natürlichen <strong>und</strong> juristischen<br />
Personen in der Schweiz eineindeutige digitale Identitäten bereitstellt, diese per Gesetz<br />
regelt <strong>und</strong> sie in einem entsprechenden nationalen Register führt. Wir sind nicht nur auf<br />
dem Papier (oder kraft anderer traditioneller Ausweisformen) Bürgerinnen <strong>und</strong> Bürger der<br />
Schweiz, sondern auch by digital means. Das heisst: diese Aufgabe ist nicht an die Privatwirtschaft<br />
delegierbar.<br />
2. Vorwort<br />
Die Ausführungen dieses Beitrages stützen sich unter anderem auf Arbeiten, welche in den<br />
letzten Jahren im Rahmen der Expertenkommission Swiss<strong>ICT</strong> 1 zu <strong>the</strong>matischen Schlüsselbereichen<br />
einer modernen <strong>Information</strong>s- <strong>und</strong> Wissensgesellschaft vorangetrieben worden sind.<br />
Besonders wichtige <strong>und</strong> kritische Themen des Sektors <strong>ICT</strong> wurden auch im neuen Dachverband<br />
<strong>ICT</strong>switzerland 2 der Schweizer <strong>ICT</strong>-Organisationen aufgegriffen <strong>und</strong> werden in den entsprechenden<br />
Kommissionen <strong>und</strong> Projekten behandelt.<br />
Zu den identifizierten Schlüssel<strong>the</strong>men, welche für alle Sektoren einer <strong>Information</strong>s- <strong>und</strong> Wissensgesellschaft<br />
3,4 relevant sind <strong>und</strong> diese folglich bereits durchdringen oder in absehbarer<br />
Zeit durchdringen werden, zählt das Thema digital identity management.<br />
Road Map zur<br />
<strong>Information</strong>s- <strong>und</strong> Wissensgesellschaft<br />
Querschnitts<strong>the</strong>men, Kompetenzen<br />
Gesellschaft<br />
• Arbeitsmarkt<br />
• Healthcare<br />
•...<br />
Wirtschaft<br />
• Wachstum<br />
• Innovation<br />
•...<br />
Öffentliche<br />
Hand<br />
• G2A/B/C<br />
•...<br />
• Business & Process Design<br />
• Digital Identity Management<br />
• Hardware (Engineering, Produktion, ...)<br />
• <strong>Information</strong>s- <strong>und</strong> Wissensmanagement<br />
• Qualitäts- <strong>und</strong> Risk Management<br />
• Rechtliche Fragestellungen<br />
• Research <strong>und</strong> Trenderkennung<br />
• Security & Forensics<br />
• Service Management<br />
• Software (Engineering, Produktion, ...)<br />
• Standards <strong>und</strong> Normen<br />
• Technologie-Management<br />
• Value Management, Metrics<br />
Bildung <strong>und</strong><br />
Forschung<br />
• Bologna 05<br />
•...<br />
<strong>ICT</strong> als Enabling Technologies (plan, build, run)<br />
Projektmanagement als Skill, Methode <strong>und</strong><br />
Tool zur Planung, Realisierung <strong>und</strong> Umsetzung<br />
Abbildung 1: Beispiele für Schlüssel<strong>the</strong>men einer modernen <strong>Information</strong>s- <strong>und</strong> Wissensgesellschaft<br />
(Quelle: Markus Fischer, Swiss<strong>ICT</strong> <strong>und</strong> <strong>ICT</strong>switzerland)<br />
1 Swiss<strong>ICT</strong>, Schweizerischer Verband der <strong>Information</strong>s- <strong>und</strong> Kommunikationstechnologie, www.swissict.ch<br />
2 <strong>ICT</strong>switzerland, Dachverband der Schweizer <strong>ICT</strong>-Organisationen, http://www.ictswitzerland.ch/de/<br />
3 vgl. Koordinationsgruppe <strong>Information</strong>sgesellschaft (KIG), http://www.admin.ch/ch/d/egov/egov/kig/kig.html<br />
4 vgl. World Summit on <strong>the</strong> <strong>Information</strong> Society (WSIS), http://www.itu.int/wsis/<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 2 von 17
3. Definition<br />
Unter dem Begriff digital identity management verstehen wir die Inhalte, Massnahmen <strong>und</strong><br />
Leistungen, welche für die Gestaltung <strong>und</strong> Realisierung von sowie für den Umgang mit digitalen<br />
Identitäten für natürliche <strong>und</strong> juristische Personen, Institutionen, Körperschaften usw. benötigt<br />
werden.<br />
Dazu gehören insbesondere<br />
• die entsprechende Strategie, Konzeption, innovative Gestaltung, Realisierung, Handhabung<br />
<strong>und</strong> Überwachung,<br />
• die Funktionen, ihre Funktionsträger <strong>und</strong> Rollen in den entsprechenden Organisationen,<br />
• die Prozesse <strong>und</strong> Abläufe, Leistungen <strong>und</strong> Services,<br />
• die Anwendungen, Systeme <strong>und</strong> Netzwerke, sowie<br />
• die Gr<strong>und</strong>lagen <strong>und</strong> Rahmenbedingungen (Gesetze, Verordnungen, Normen, Standards).<br />
Demzufolge beinhaltet digital identity management nicht nur spezifische Einzellösungen <strong>und</strong><br />
Komponenten wie beispielsweise eine public key infrastructure (PKI) 5 oder elektronische Ausweise<br />
(Smart Cards, USB Token usw.), sondern das gesamte Framework, welches benötigt<br />
wird, um digitale Identitäten für natürliche <strong>und</strong> juristische Personen in einer Volkswirtschaft <strong>und</strong><br />
über ihre internen <strong>und</strong> externen Schnittstellen hinweg zu handhaben.<br />
4. Identitäten in der ‚analogen’ Welt<br />
Reife Volkswirtschaften zeichnen sich unter anderem dadurch aus, dass sie ihre Bürgerinnen<br />
<strong>und</strong> Bürger, ihre privatrechlichen <strong>und</strong> öffentlich-rechtlichen Unternehmen, Organisationen <strong>und</strong><br />
Institutionen, ihre Infrastrukturen sowie wichtige Anlagen <strong>und</strong> Güter kennen, d.h. identifiziert<br />
haben, in entsprechenden Registern führen <strong>und</strong> bei Bedarf kontrollieren können.<br />
In der ‚analogen’ Welt sind uns die dafür nötigen Instrumente <strong>und</strong> Verfahren bekannt <strong>und</strong> im<br />
alltäglichen Gebrauch geläufig:<br />
• Natürliche Personen besitzen einen Pass, eine Identitätskarte <strong>und</strong> andere Ausweise, durch<br />
die sie repräsentiert sind <strong>und</strong> entsprechend identifiziert werden können. Dank der Genforschung,<br />
der modernen Gentechnologie <strong>und</strong> aufgr<strong>und</strong> entsprechender Anwendungen (z.B.<br />
in der Kriminologie) ist inzwischen allen bewusst, dass wir Menschen durch unsere individuelle<br />
DNS 6 biologisch bzw. biometrisch eineindeutig repräsentiert sind <strong>und</strong> demzufolge<br />
auch physiologisch zweifelsfrei identifiziert werden können. Ein amtliches eineindeutiges<br />
Identifikationsmerkmal <strong>und</strong> -verfahren für natürliche Personen fehlt demgegenüber.<br />
• Juristische Personen werden im Handelsregister 7 sowie in weiteren Registern (z.B. Sozialversicherung,<br />
Steuern, Statistiken usw.) eingetragen <strong>und</strong> in zahlreichen anderen Verzeichnissen<br />
(z.B. Directory Services, Kompass, Ragionenbuch, Teledata usw.) geführt.<br />
• Tiere werden zum Teil ebenfalls in Registern geführt <strong>und</strong> zwecks Identifizierbarkeit entsprechend<br />
gekennzeichnet (z.B. Marken, Nummern, Tätowierung).<br />
• Infrastrukturen <strong>und</strong> Anlagen sowie Dinge <strong>und</strong> Sachen von entsprechender Bedeutung werden<br />
ebenfalls in Registern (z.B. Gr<strong>und</strong>buch, Luftfahrzeugregister) geführt <strong>und</strong> durch entsprechende<br />
Beschriebe, Prüfberichte, Spezifikationen usw. dargestellt.<br />
Diese Instrumente <strong>und</strong> Verfahren sind über lange Zeiträume entstanden <strong>und</strong> haben sich in den<br />
vielen Jahrzehnten ihrer praktischen Handhabung durch die zahlreichen Organisationen unseres<br />
Staatswesens etabliert <strong>und</strong> bewährt. Die entsprechenden Gr<strong>und</strong>lagen sind geschaffen,<br />
5 vgl. zum Beispiel http://www.pki-page.org/, http://csrc.nist.gov/pki/,<br />
6 Desoxyribonukleinsäure (engl. DNA), vgl. zum Beispiel http://www.net-lexikon.de/Desoxyribonukleinsaeure.html<br />
7 vgl. http://www.zefix.ch/. Inwieweit die entsprechenden Registereinträge national eineindeutig sind oder nicht,<br />
wurde im Rahmen dieses Beitrages nicht untersucht.<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 3 von 17
werden durch die laufende Anwendung ständig interpretiert <strong>und</strong> gemäss den Erkenntnissen<br />
<strong>und</strong> Bedürfnissen weiter entwickelt.<br />
Mit anderen Worten – oder als vorläufiges Zwischenfazit:<br />
Wir haben uns an diese Instrumente <strong>und</strong> Verfahren gewöhnt, <strong>und</strong> kaum jemand stört sich daran,<br />
solange sich die über viele Stellen verteilten administrativen Abläufe – <strong>und</strong> die damit verb<strong>und</strong>enen<br />
Kosten, Umtriebe <strong>und</strong> Verzögerungen – in akzeptablen Grenzen halten, <strong>und</strong> solange<br />
kein Missbrauch festgestellt werden muss.<br />
5. Identitäten in der ‚digitalen’ Welt<br />
Mit Blick auf die Anwendung moderner <strong>Information</strong>s- <strong>und</strong> Kommunikationstechnologien (information<br />
& communication technologies, <strong>ICT</strong>) in allen Sektoren <strong>und</strong> Segmenten unserer Volkswirtschaft<br />
<strong>und</strong> in praktisch allen Aktivitätsgebieten <strong>und</strong> Kontexten der Bevölkerung stellt sich<br />
nicht nur die Frage, sondern ergibt sich der dringende Bedarf, das Wesen digitaler Identitäten<br />
zu klären <strong>und</strong> deren Handhabung auf eine transparente <strong>und</strong> verlässliche Basis zu stellen.<br />
Als Benutzende von Applikationen, Systemen <strong>und</strong> Netzwerken ist uns geläufig, dass wir uns<br />
zu Beginn eines <strong>ICT</strong>-basierten Arbeitsablaufs am entsprechenden Endgerät (z.B. PC, Notebook)<br />
mittels einer dafür bereitgestellten Anwendung ‚anmelden’ oder ‚einloggen’, in der Regel<br />
mittels Benutzerkennung (User ID) <strong>und</strong> Passwort, teils auch mit sogenannten Smart Cards 8<br />
(Plastic-Karten mit integriertem Microchip sowie Kartenleser am Endgerät), USB Token 9 oder<br />
sogar mittels biometrischer Methoden wie Fingerabdruck, Iris-Scanning usw. Dieser Vorgang<br />
ist uns als Au<strong>the</strong>ntisierung 10 mit anschliessender Autorisierung 11 bekannt <strong>und</strong> ist entsprechend<br />
umfassend dokumentiert 12 .<br />
Die Vielzahl von (oft proprietären 13 ) Geräten <strong>und</strong> Anwendungen, Arbeitsumgebungen <strong>und</strong><br />
Kontexten bringt leider auch eine steigende Menge <strong>und</strong> Vielfalt an entsprechenden Verfahren<br />
<strong>und</strong> Daten mit sich, deren Bewirtschaftung uns in all unseren Wirkungskontexten zunehmend<br />
Mühe bereitet. In Unternehmensplattformen <strong>und</strong> -netzwerken (Intranet- <strong>und</strong> Extranet-<br />
Lösungen, Corporate oder Enterprise Portals) kennt man daher die Profil- oder Rollen-basierte<br />
Autorisierung, dank der die Mitarbeitenden mittels einer einzigen Anmeldung (single sign on 14 )<br />
auf sämtliche benötigten Daten <strong>und</strong> Anwendungen zugreifen können, seit Jahren. Solche Profile<br />
können sowohl standardisiert (z.B. für alle entsprechenden Funktionsträger identisch) als<br />
auch individualisiert <strong>und</strong> personalisiert sein.<br />
Derselbe Ansatz wird auch dazu benutzt, um das wiederholte <strong>und</strong> unterschiedliche Login auf<br />
die individuellen Web Sites mehrerer Online-Anbieter zu vermeiden, z.B. mittels Microsoft<br />
.NET Passport 15 .<br />
Trotz fortschrittlicher Technologien, Lösungen <strong>und</strong> Mechanismen fehlen immer noch wichtige<br />
Gr<strong>und</strong>lagen <strong>und</strong> Komponenten, um die digitalen Identitäten von natürlichen <strong>und</strong> juristischen<br />
Personen sowie von Tieren <strong>und</strong> Sachen so einfach, transparent <strong>und</strong> verlässlich zu handhaben,<br />
wie wir uns dies in der ‚analogen’ Welt gewohnt sind – <strong>und</strong> darin über Jahrzehnte Vertrauen<br />
gefasst haben.<br />
8 vgl. zum Beispiel http://www.smartcardalliance.org/<br />
9 vgl. zum Beispiel http://www.aladdin.de/produkte/usbtoken_esecurity/etoken_uebersicht.html<br />
10 Beantwortung der Frage: wer ist berechtigt?<br />
11 Beantwortung der Frage: wer ist wozu berechtigt? Die Autorisierung erfolgt dabei vielfach durch Zuweisung<br />
bestimmter Rollen (der einzelnen Funktionsträger in Organisationen) <strong>und</strong> definierter Profile (rollenspezifische<br />
Berechtigungen für bestimmte Daten, Applikationen <strong>und</strong> Systeme).<br />
12 vgl. zum Beispiel http://www.it-securityinformation.com/index.htm, http://infosecuritymag.techtarget.com/,<br />
http://security.bitpipe.com/ <strong>und</strong> zahlreiche andere Quellen<br />
13 d.h. organisations- <strong>und</strong> anwendungsspezifisch, nicht standardisiert, nicht durchgängig implementierbar<br />
14 vgl. zum Beispiel http://www3.ca.com/Solutions/Product.asp?ID=166<br />
15 vgl. http://www.passport.net/Consumer/Default.asp?lc=1033<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 4 von 17
Die Diskussion über digitale Identitäten (<strong>und</strong> die damit verb<strong>und</strong>enen Daten, Funktionen <strong>und</strong><br />
Werkzeuge) wird denn auch intensiv geführt 16 . Als mögliches privatwirtschaftliches bzw. industrielles<br />
Konzept auf dem Weg zur breiten Anwendung digitaler Identitäten in vernetzten Umgebungen<br />
<strong>und</strong> zur Benützung von modularen Web Services 17 in Geschäfts- <strong>und</strong> Verwaltungsprozessen<br />
gewinnt in den USA die Initiative Liberty Alliance 18 zunehmend an Gewicht. Microsoft<br />
verfolgt mit TrustBridge 19 eine eigene Stossrichtung, beteiligt sich dem Vernehmen nach aber<br />
zumindest teilweise auch an der Initiative bzw. den vorgeschlagenen Lösungen <strong>und</strong> Standards<br />
der Liberty Alliance.<br />
6. Identitäten, Rollen <strong>und</strong> Profile<br />
Natürliche Personen sind im Verlaufe ihres Lebens in der Regel mindestens in den drei Kontexten<br />
Person, Beruf <strong>und</strong> Gesellschaft aktiv.<br />
Person<br />
• Individuum<br />
• Familie<br />
• Fre<strong>und</strong>e<br />
• Bekannte<br />
• Life Cycle<br />
• Hobbies<br />
•Reisen<br />
• Präferenzen<br />
• Restriktionen<br />
•…<br />
Profil(e),<br />
Kontexte<br />
Profil(e),<br />
Kontexte<br />
Profil(e),<br />
Kontexte<br />
Gesellschaft<br />
• Bürger<br />
• Gemeinde, Kanton, Staat<br />
• Vereine, Verbände, Politik, Militär, …<br />
Beruf<br />
• Ausbildung<br />
• Jobsuche<br />
• Karriere<br />
• Funktionen<br />
• Rollen<br />
• Leistungen<br />
•Prozesse<br />
• Strukturen<br />
• Branchen<br />
•Märkte<br />
•…<br />
Abbildung 2: Aktivitätskontexte natürlicher Personen (Quelle: Markus Fischer)<br />
Mit Blick auf die in Kapitel 5 geschilderte Problematik <strong>und</strong> angesichts der vielen Kontexte, in<br />
denen wir mehr oder weniger ständig aktiv sind, ist es daher aus Optik einer modernen <strong>Information</strong>s-<br />
<strong>und</strong> Wissensgesellschaft unumgänglich, dass der Staat seinen Bürgerinnen <strong>und</strong> Bürgern<br />
nicht nur auf deren Verlangen einen Pass oder eine Identitätskarte ausstellt, sondern sie<br />
ab Geburt mit einer eineindeutigen digitalen Identität versieht, diese per Gesetz regelt <strong>und</strong> sie<br />
in einem entsprechenden nationalen Register führt.<br />
Diese digitale Identität natürlicher Personen bildet, zusammen mit den entsprechenden Gesetzen<br />
<strong>und</strong> Verordnungen, ihrerseits die Gr<strong>und</strong>lage für die Herausgabe <strong>und</strong> Handhabung von digitalen<br />
Identitätskarten 20 , aber auch für die aus verschiedenen Gründen nötige Harmonisierung<br />
der entsprechenden Register, Instrumente <strong>und</strong> Prozesse auf B<strong>und</strong>es-, Kantons- <strong>und</strong><br />
Gemeindeebene.<br />
Für juristische Personen <strong>21</strong> , Organisationen <strong>und</strong> Institutionen besteht ein analoges Bedürfnis,<br />
<strong>und</strong> zwar jeweils für die Organisation als solche (z.B. als Objekte in den entsprechenden Re-<br />
16 vgl. http://www.digitalidworld.com/, http://www.nwfusion.com/topics/id.html <strong>und</strong> zahlreiche andere Quellen<br />
17 vgl. http://www.w3.org/2002/ws/<br />
18 vgl. http://www.projectliberty.org/<br />
19 vgl. http://www.microsoft.com/presspass/press/2002/Jun02/06-06TrustbridgePR.asp<br />
20 vgl. http://www.ofj.admin.ch/<strong>the</strong>men/ri-ir/dig-id/intro-d.htm<br />
<strong>21</strong> vgl. Unternehmens-Identität (U-Id),<br />
www.bakom.ch/imperia/md/content/deutsch/telecomdienste/internet/informationsgesellschaft/7.pdf<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 5 von 17
gistern <strong>und</strong> für deren Harmonisierung) als auch für ihre Organe <strong>und</strong> Bevollmächtigten (z.B.<br />
durch Referenzierung auf die digitalen Identitäten der entsprechenden natürlichen Personen).<br />
Kontext<br />
digitales Ich<br />
( digID)<br />
Kontext<br />
digitales<br />
Unternehmen<br />
( digID)<br />
Kontext<br />
handelt<br />
• als (Funktion, Professionalitätsstufe, …)<br />
• entlang (Abläufe, Geschäftsprozesse)<br />
• verantwortlich für (Menschen, Produkte, …)<br />
• einzeln, kollektiv zu …<br />
• bis zu (Betrag, Budget, Limite, Termin, …)<br />
( Rolle)<br />
digitale<br />
• Institutionen<br />
• Organisationen<br />
• Verbände<br />
• Vereine<br />
• Verwaltungen<br />
•usw.<br />
( digID)<br />
Formel: digID + Rolle = Profil (generiert <strong>und</strong> bewirtschaftet von, bei ...)<br />
Abbildung 3: Identitäten, Rollen, Profile (Quelle: Markus Fischer)<br />
In einer zunehmend vernetzten Welt spielen digitale Identitäten eine überragende Rolle, wenn<br />
es darum geht, Berechtigte in den entsprechenden vernetzten Umgebungen <strong>und</strong> Kontexten,<br />
entlang von Prozessen zwischen Behörden, Geschäftspartnern <strong>und</strong> anderen Parteien sowie in<br />
Verbindung zu diesbezüglichen Interaktionen <strong>und</strong> Transaktionen zu identifizieren – <strong>und</strong> auf<br />
dieser Gr<strong>und</strong>lage zu berechtigen (vgl. Kapitel 5, Au<strong>the</strong>ntisierung <strong>und</strong> Autorisierung).<br />
Da die entsprechenden Anwendungen, Prozesse <strong>und</strong> Services – <strong>und</strong> die damit verb<strong>und</strong>enen<br />
Instrumente <strong>und</strong> Verfahren der Identitätsprüfung – nicht an den Grenzen einer Abteilung, eines<br />
Unternehmens oder einer Verwaltungseinheit Halt machen, sondern Organisationen vernetzt<br />
übergreifen <strong>und</strong> sich mitunter entlang ganzer Wertschöpfungsketten manifestieren, müssen für<br />
ein funktionierendes ‚digital identity management’ auch die Grenzen traditioneller Identifikations-,<br />
Au<strong>the</strong>ntisierungs- <strong>und</strong> Autorisierungslösungen überw<strong>und</strong>en werden. Dafür hat sich der<br />
Begriff des federated identity management etabliert 22, 23 . Vor allem in den USA finden zu diesem<br />
Themenbereich regelmässige <strong>und</strong> viel beachtete Kongresse unter Beteiligung führender<br />
Fachleute, Anbieter <strong>und</strong> Interessensvertreter statt 24 .<br />
Welche Geschäftstypen, Prozesse <strong>und</strong> Transaktionen eine – in diesem Falle digitale – Identifikation<br />
der involvierten Parteien erfordern, ist im Zuge der Bereitstellung digitaler Identitäten<br />
nicht neu zu erfinden. Die Benützung elektronischer Medien <strong>und</strong> Kanäle sowie die Bereitstellung<br />
<strong>und</strong> Abwicklung entsprechender Angebote der Öffentlichen Hand, der Wirtschaft, des Bildungssektors<br />
<strong>und</strong> der Gesellschaft ändern vorerst nichts an den bestehenden gesetzlichen<br />
Gr<strong>und</strong>lagen, verlangen aber deren gezielte Ergänzung 25 <strong>und</strong> allfällige Anpassung.<br />
Mit Bezug auf die mitunter recht emotional geführte Diskussion um die Sicherheit <strong>und</strong> den<br />
Schutz von Daten, <strong>Information</strong>en, Anwendungen, Systemen <strong>und</strong> Netzwerken ist festzuhalten,<br />
dass die zunehmend vernetzte Welt entsprechend hohe Standards 26 , professionelle Handhabung<br />
sowie einwandfreie Transparenz <strong>und</strong> Kontrollierbarkeit erfordert. Die Erweiterung elekt-<br />
22 vgl. http://discuss.andredurand.com/stories/storyReader$320 <strong>und</strong> andere Quellen<br />
23 vgl. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnwebsrv/html/wsfedinterop.asp<br />
24 vgl. http://conference.digitalidworld.com/2004/Page.do;jsessionid=3B3693<strong>21</strong>71A47A1D2E22DFD554E178F3?name=home<br />
25 zum Beispiel ZertES, http://www.ofec.admin.ch/<strong>the</strong>men/digsig/intro-d.htm<br />
26 vgl. SNR CWA 14842:2003 E-Trust sowie die Arbeiten des Vereins eCH (http://www.ech.ch/)<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 6 von 17
onisch abgewickelter Prozesse <strong>und</strong> Transaktionen um die Möglichkeit der Prüfung digitaler<br />
Identitäten ändert daran gr<strong>und</strong>sätzlich nichts; sie verpflichtet die involvierten Parteien jedoch<br />
umso mehr zur lückenlosen Einhaltung der ohnehin strengen Vorschriften, Massnahmen <strong>und</strong><br />
Kontrollen.<br />
Staat als Herausgeber<br />
<strong>und</strong> Halter von digID<br />
Beauftragter für Führung<br />
<strong>und</strong> Abwicklung (CA, PKI)<br />
<strong>Information</strong> Evaluation Contract Transaction Fulfilment After Sales<br />
ID-Prüfung i.d.R. fakultativ ID-Prüfung i.d.R. obligatorisch i.d.R. fakultativ<br />
• handelt für sich<br />
• handelt für Unternehmen<br />
• handelt für Dritte<br />
digitales<br />
Individuum<br />
Profil-<br />
Daten<br />
generiert K<strong>und</strong>en- <strong>und</strong><br />
Geschäftsfall-Daten <strong>und</strong><br />
-<strong>Information</strong>en bei jeder<br />
Gegenpartei in Systemen,<br />
Applikationen <strong>und</strong> Netzen<br />
(CIF, GFD, CRM, ERP, MIS / EIS, SCM, …)<br />
Abbildung 4: Prozesse, Daten <strong>und</strong> Anwendungen im Online-Geschäfts- <strong>und</strong> Behördenverkehr<br />
(Quelle: Markus Fischer)<br />
Die grossen Fortschritte, welche auf dem Gebiet der radio frequency identification (RFID) 27 -<br />
Technologie <strong>und</strong> ihrer Handhabung (z.B. entlang von Logistik-Prozessen) erzielt werden, erweitern<br />
die Diskussion um digitale Identitäten auf das Gebiet der Dinge (z.B. Artikeldeklarationen,<br />
Etiketten, RFID tags) <strong>und</strong> Tiere (z.B. Implantierung von RFID-Chips bei Haustieren 28 ).<br />
Aus Optik einer zunehmend vernetzten Welt wäre es daher wünschbar, auch Tiere <strong>und</strong> Sachen<br />
mit digitalen Identitäten auszustatten <strong>und</strong> sie damit bei Bedarf zu digital identifizierbaren<br />
Objekten zu machen, sei dies im Zusammenhang mit der Abwicklung von Prozessen oder mit<br />
entsprechenden Registern <strong>und</strong> deren Harmonisierung.<br />
7. Diskussion wichtiger Aspekte<br />
Die Frage, ob digitale Identitäten überhaupt nötig <strong>und</strong> unter Gesichtspunkten des Datenschutzes<br />
zumutbar sind, wird immer wieder neu aufgeworfen <strong>und</strong> kontrovers diskutiert. Eigentlich<br />
würden doch bestehende Instrumente der Identifikation <strong>und</strong> Verfahren der Identitätsprüfung<br />
ausreichen (vgl. Kapitel 4 <strong>und</strong> 5). Und offenbar wird es – aus welchen Gründen auch immer –<br />
als erwünscht oder nötig angesehen, die wahre Identität von Personen bei Online-Geschäften<br />
verbergen (anonymisieren), verändern (pseudonymisieren) oder vervielfachen (multiplizieren)<br />
zu können. Dieser alles andere als triviale Punkt wird am Schluss dieses Kapitels kommentiert.<br />
Zudem wird argumentiert, dass lediglich ein sehr geringer Anteil sämtlicher elektronisch benutzbarer<br />
Geschäfts- <strong>und</strong> Verwaltungsprozesse, Interaktionen <strong>und</strong> Transaktionen eine zweifelsfreie<br />
Identifikation natürlicher <strong>und</strong>/oder juristischer Personen voraussetzen. Die überwiegende<br />
Mehrzahl der Online-Interaktionen <strong>und</strong> Transaktionen begnüge sich mit der kontrollierbaren<br />
<strong>und</strong> nachvollziehbaren Bezahlung der bestellten Leistung (z.B. Download einer Software<br />
<strong>und</strong> Bezahlung mit Kreditkarte). Die Überprüfung des Zahlungspflichtigen wird dabei den traditionellen<br />
Anbietern <strong>und</strong> ihren Leistungen überlassen (Kreditkartenorganisation, Karteninhaber,<br />
Kartennummer, Laufzeit der Kartengültigkeit usw.).<br />
27 vgl. zum Beispiel http://www.rfidjournal.com/<br />
28 vgl. zum Beispiel http://www.anis.ch/deutsch/index.html<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 7 von 17
Aus Optik der Benutzenden von Online-Angeboten kann dieser Argumentation dann gefolgt<br />
werden, wenn sich Anbieter von Online-Leistungen nachweislich dazu verpflichten <strong>und</strong> sich<br />
periodisch darauf prüfen lassen, ihre Online-Angebote, Organisation, Prozesse <strong>und</strong> Sicherheitsmassnahmen<br />
entsprechend auszugestalten, zu handhaben <strong>und</strong> abzuwickeln 29 . Dadurch<br />
tragen sie dazu bei, in den Online-Geschäften <strong>und</strong> -Prozessen Vertrauen (trust) zu begründen<br />
<strong>und</strong> aufrecht zu erhalten. Eine Prüfung der Identität der beteiligten Parteien können sie damit<br />
jedoch keinesfalls ersetzen.<br />
Anbieter aus<br />
• Privatwirtschaft<br />
• Öffentliche Hand<br />
• Bildung & Forschung<br />
• Ges<strong>und</strong>heitswesen<br />
• Utilities, ...<br />
Staat als Herausgeber<br />
<strong>und</strong> Halter von digID<br />
Beauftragter für Führung<br />
<strong>und</strong> Abwicklung (CA, PKI)<br />
SNR CWA 14842 E-Trust<br />
Handhabung <strong>und</strong><br />
Einhaltung von<br />
• Recht<br />
• Prozessmanagement<br />
• Sicherheit<br />
<strong>Information</strong><br />
Evaluation<br />
Contract<br />
Transaction<br />
Fulfilment<br />
After Sales<br />
• lösen aus<br />
• signieren digital<br />
• bezahlen<br />
„digitale“ Individuen<br />
• Personen<br />
• Organisationen<br />
K<strong>und</strong>en, Auftraggeber<br />
• beziehen Waren<br />
<strong>und</strong> Leistungen<br />
• erhalten Rechnung<br />
Abbildung 5: Vertrauen im Online-Geschäft dank der Vertrauensinitiative e-comtrust<br />
(Quelle: Markus Fischer)<br />
Für jene Fälle, die eine zweifelsfreie Identifikation <strong>und</strong> Identitätsprüfung der Gegenpartei von<br />
Gesetzes wegen unumgänglich machen oder aus anderen Gründen erfordern, sind jedoch zusätzliche<br />
Vorkehrungen zu treffen.<br />
Bedeutende Unternehmen der Privatwirtschaft sowie b<strong>und</strong>esnahe Betriebe haben dazu sophistizierte<br />
Instrumente, Methoden <strong>und</strong> Verfahren entwickelt <strong>und</strong> bieten die entsprechenden<br />
Lösungen als Service im Kontext zu ihren Geschäftsprozessen an (z.B. Online-Transaktionen<br />
im Bank- <strong>und</strong> Finanzbereich). Diese Lösungen sind jedoch meist proprietär <strong>und</strong> daher für andere<br />
Online-Anbieter, Geschäfts- <strong>und</strong> Transaktionstypen nicht verwendbar. Sie unterstützen<br />
keine organisationsübergreifende <strong>und</strong> geschäftsprozessorientierte Identitätsprüfung <strong>und</strong> entsprechen<br />
daher nicht den Anforderungen an ein federated identity management. Zudem liegt<br />
es meist nicht in der Strategie oder Geschäftsnatur solcher Anbieter (z.B. Banken), die Identifikation<br />
<strong>und</strong> Identitätsprüfung als eigenständigen Service auch für Dritte anzubieten, z.B. im Zusammenhang<br />
mit anderen Online-Diensten, welche dieses Prüfungsniveau voraussetzen.<br />
Bezüglich des eingangs erwähnten Arguments, die Identität von Personen bei Online-<br />
Geschäften verbergen (anonymisieren), verändern (pseudonymisieren) oder vervielfachen<br />
(multiplizieren) zu wollen, sei folgendes klargestellt:<br />
29 vgl. SNR CWA 14842 E-Trust sowie Vertrauensinitiative ‚e-comtrust’, www.e-comtrust.com<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 8 von 17
• Kein uns heute bekanntes menschliches Wesen verfügt über mehr als eine (d.h. seine individuelle)<br />
DNS. Jeder Mensch ist also durch seinen genetischen Code im uns bekannten<br />
Universum einmalig <strong>und</strong> biologisch bzw. biometrisch eineindeutig repräsentiert.<br />
• Das alter ego gehört offenbar zu den archetypischen Mustern unserer Existenz. Ihm wird<br />
unter anderem dadurch nachgelebt, dass Menschen sich beispielsweise am Karneval eine<br />
Maske aufsetzen, in Theaterstücken die Identität eines Hamlet oder anderer Figuren annehmen<br />
<strong>und</strong> verkörpern, oder eben auch dadurch, sich im Web nicht oder zumindest nicht<br />
unter der einzig realen Identität zu erkennen zu geben.<br />
• Bei all diesen Versuchen <strong>und</strong> Massnahmen, anderweitige Identitäten anzunehmen oder die<br />
einzig reale Identität nicht preiszugeben, handelt es sich jedoch stets nur um Rollen (oder<br />
um Rollenspiele), nie aber um neue, zusätzliche oder duplizierte reale Identitäten. Zu einfach<br />
(<strong>und</strong> vielleicht auch zu schön?) wäre es, die diesbezüglichen enormen moralischen,<br />
gentechnologischen, gesetzlichen <strong>und</strong> weitere Hürden im Sinne einer Web-basierten Alchemie<br />
überwinden zu wollen.<br />
Die Betrügereien im Online-Geschäft mit Hilfe von gestohlenen, gefälschten <strong>und</strong> verfälschten<br />
Identitäten (identity <strong>the</strong>ft and fraud) 30 gehören inzwischen zu den häufigsten Delikten in der <strong>Information</strong>sgesellschaft<br />
<strong>und</strong> verursachen enorme wirtschaftliche Schäden 31 . Umso mehr drängen<br />
sich im Umgang mit digitalen Identitäten klare Gr<strong>und</strong>lagen, professionelle Instrumente <strong>und</strong><br />
Verfahren, eine transparente <strong>und</strong> verlässliche Handhabung sowie Massnahmen zum Aufbau<br />
<strong>und</strong> zum dauerhaften Erhalt von Vertrauen (trust) auf.<br />
Wie delikat der Umgang mit – in diesem Falle fehlenden – digitalen Identitäten sein kann, mag<br />
uns folgendes in den Medien 32 als Fahndungserfolg gefeiertes Beispiel vor Augen führen:<br />
dank der gezielten Überwachung von Anrufen mittels Mobile Phones, die mit Prepaid SIM<br />
Cards ausgestattet waren, gelang es, wichtige Beziehungen <strong>und</strong> Funktionsträger im globalen<br />
Terrornetzwerk zu ermitteln.<br />
Das ist die erfreuliche Seite der Medaille: ein erfolgreich aufgedeckter Missbrauch von <strong>ICT</strong><br />
durch vorher nicht identifizierte Kräfte zum Zweck krimineller bzw. terroristischer Machenschaften.<br />
Die unerfreuliche Seite der Medaille jedoch ist, dass das Fehlen bzw. Ausbleiben der<br />
Identifikation <strong>und</strong> Identitätsprüfung in Verbindung mit dem Einsatz von <strong>ICT</strong> es ja erst ermöglicht<br />
hat, <strong>ICT</strong> (in diesem Falle nicht identifizierte Prepaid SIM Cards in Mobile Phones) zu solchen<br />
Zwecken überhaupt einzusetzen.<br />
In diesem Zusammenhang stellt sich auch die Frage, zu was ein falsch verstandener Datenschutz<br />
letztlich führen kann. Mit anderen Worten: Die Datenschützer müssen sich nicht nur<br />
daran messen lassen, was sich mittels Datenschutz erreichen <strong>und</strong>/oder verhindern lässt, sondern<br />
auch an dem, was sie mit solchermassen verstandenem Datenschutz ermöglichen <strong>und</strong>/<br />
oder zulassen.<br />
8. Instrumente <strong>und</strong> Lösungen<br />
Die klassische Lösung, in einer Organisation die Berechtigung zur Benützung von <strong>ICT</strong>-<br />
Ressourcen zu prüfen, wurde in Kapitel 5 dargestellt. Es wurde auch ausgeführt, dass dieser<br />
Ansatz in einer vernetzten Welt mit organisationsübergreifenden Prozessen <strong>und</strong> Services nicht<br />
taugt.<br />
Seit Jahren wurden <strong>und</strong> werden daher Instrumente <strong>und</strong> Lösungen entwickelt <strong>und</strong> an den Markt<br />
gebracht, um diese Unzulänglichkeit zu überwinden. Die prominenteste Lösung besteht darin,<br />
dass die sich nicht a priori kennenden Parteien in Online-Interaktionen mittels öffentlicher <strong>und</strong><br />
privater Schlüssel eine entsprechende Prüfung der Identitäten anstreben. Zu diesem Zweck<br />
30 vgl. zum Beispiel http://www.usdoj.gov/criminal/fraud/id<strong>the</strong>ft.html<br />
31 vgl. http://www.nzz.ch/2004/01/30/em/page-article9DGSF.html<br />
32 vgl. http://www.nytimes.com/2004/03/04/international/europe/04PHON.html?hp<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 9 von 17
sind sogenannte public key infrastructures (PKI) 33 zu errichten <strong>und</strong> zu betreiben, bei denen die<br />
sogenannten certification authorities (CA) digitale Zertifikate herausgeben, prüfen <strong>und</strong> bei Bedarf<br />
revozieren, <strong>und</strong> bei denen die sogenannten registration authorities (RA), welche die Benutzenden<br />
aufgr<strong>und</strong> ihrer Funktion kennen <strong>und</strong> in ihren Systemen <strong>und</strong> Applikationen datenmässig<br />
führen, das Zutreffen der Identität der Teilnehmenden bestätigen.<br />
Was ist eine PKI?<br />
Eine PKI (Public Key Infrastructure) <strong>und</strong> ihre Funktionen können anhand ihrer Komponenten<br />
wie folgt beschrieben werden:<br />
• P (public) <strong>und</strong> K (key) können verstanden werden als die Software <strong>und</strong> Hardware, die benötigt<br />
werden, um kryptografische Schlüsselpaare herzustellen <strong>und</strong> zu verwalten. Der entsprechende<br />
Mechanismus besteht aus der Erstellung oder dem Import kryptografischer<br />
Schlüssel, aus deren ‚Verpackung’ in einen Identifikator (ein Zertifikat) sowie aus der digitalen<br />
Signierung, welche die Korrek<strong>the</strong>it der im Zertifikat enthaltenen <strong>Information</strong> bestätigt.<br />
Die PKI als Organisation ist verantwortlich für die ordnungsgemässe Handhabung der Zertifikate<br />
(<strong>und</strong> ihrer Inhalte) <strong>und</strong> überwacht ihre Korrek<strong>the</strong>it <strong>und</strong> Gültigkeit.<br />
• I (infrastructure) steht für die Infrastruktur oder die Umgebung, in welcher verschiedene<br />
Anwendungen <strong>und</strong> Funktionen mit kryptografischen Schlüsseln <strong>und</strong>/oder Zertifikaten ablaufen.<br />
Diese Anwendungen reichen von Zugangskontrolle über sichere E-Mail bis zu digital<br />
signierter <strong>Information</strong>. Der Infrastruktur kommt steigende Bedeutung zu, indem sie nicht<br />
nur die informationstechnologische Basis bereitstellt, sondern die oben erwähnten Funktionalitäten<br />
schafft <strong>und</strong> unterstützt.<br />
Was ist eine CA <strong>und</strong> eine RA, was sind CAO <strong>und</strong> RAO?<br />
Eine CA (Certification Authority) kann als Software bezeichnet werden, die auf einer hochgradig<br />
sicheren <strong>und</strong> vertrauenswürdigen Hardware in einer ebenso sicheren <strong>und</strong> entsprechend<br />
geschützten Umgebung installiert ist, <strong>und</strong> die durch hochqualifizierte Spezialisten betrieben<br />
wird, deren Funktionen zwecks Gewaltentrennung untereinander aufgeteilt werden. Diese Vorkehrungen<br />
dienen der Vorbeugung gegen Missbrauch digitaler Identitäten, welche mittels der<br />
CA-Software gehandhabt (<strong>und</strong> mitunter erzeugt) werden.<br />
Die CA-Software ist nicht nur in der Lage, die ma<strong>the</strong>matischen Funktionen zur Erzeugung<br />
kryptografischer Schlüssel abzuarbeiten, sondern sie ‚umwickelt’ diese Schlüssel gleichsam<br />
mit einem Zertifikat. Die CA handhabt die Gültigkeit oder den Status dieser Zertifikate, indem<br />
sie diese aufheben (sistieren) oder widerrufen (revozieren) kann, <strong>und</strong> indem sie die Gültigkeit<br />
oder den Status dieser Zertifikate gegenüber Drittparteien anzeigt oder diese benachrichtigt.<br />
Zu diesem Zweck stellt die CA eine CRL (Certificate Revocation List) aus oder ermöglicht deren<br />
Online-Abfrage mittels des OCSP (Online Certificate Status Protocol)-Mechanismus.<br />
Eine RA (Registration Authority) kann als Software <strong>und</strong>/oder Organisation bezeichnet werden,<br />
welche für die Überprüfung der Beglaubigung von Individuen verantwortlich ist, die ihrerseits<br />
eine digitale Identität anfordern. Die RA steht dafür ein, dass die <strong>Information</strong>, welche diese Individuen<br />
repräsentiert <strong>und</strong> in Form von Zertifikaten dargestellt wird, korrekt ist.<br />
CAO steht für den Betreiber (Operator) der CA, also für eine oder mehrere Personen mit bestimmten<br />
Funktionen <strong>und</strong> Pflichten bezüglich der CA. RAO steht für den Betreiber (Operator)<br />
der RA, also für eine oder mehrere Personen mit bestimmten Funktionen <strong>und</strong> Pflichten bezüglich<br />
der RA.<br />
Was ist eine digitale Identität?<br />
Als digitale Identität (digital identity) kann die Kombination kryptografischer Schlüssel mit dem<br />
Zertifikat, das den Bezug auf dessen Eigentümer (subscriber) gewährleistet, bezeichnet werden.<br />
Eine digitale Identität wird üblicherweise in einer Datei auf einer Harddisk angelegt <strong>und</strong><br />
33 vgl. http://www.pki-page.org/ <strong>und</strong> andere Quellen<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 10 von 17
gespeichert; sie kann aber auch auf einer externen kryptografischen Komponente (z.B. Smart<br />
Card, USB Token) residieren. Eine digitale Identität (die manchmal auch als DN [distinguished<br />
name] bezeichnet wird) kann beispielsweise so aussehen:<br />
DN = CN=Joseph Antonius Doekbrijder / Email=joseph.doekbrijder@swisssign.com /<br />
O=SwissSign AG / C=CH<br />
Was ist ein Zertifikat?<br />
Das Zertifikat stellt sozusagen die ‚Verpackung’ dar, welche den öffentlichen kryptografischen<br />
Schlüssel (public key) <strong>und</strong> die digitale Identität enthält. Diese Verpackung gestattet die Verifikation<br />
der Gültigkeit <strong>und</strong>, bis zu einem gewissen Grad, der Korrek<strong>the</strong>it der <strong>Information</strong> über die<br />
digitale Identität, welche im Zertifikat enthalten ist. Bei einem Zertifikat handelt es sich demzufolge<br />
um jene <strong>Information</strong>, die von einer CA zu einem öffentlichen kryptografischen Schlüssel<br />
hinzugefügt wird, um diesen Schlüssel mit seinem Eigentümer <strong>und</strong> mit der herausgebenden<br />
CA in Verbindung zu bringen.<br />
Ein Zertifikat enthält in der Regel eine Zertifikatsnummer, einen Personennamen, eventuell eine<br />
E-Mail-Adresse <strong>und</strong> möglicherweise zusätzliche <strong>Information</strong>en wie z.B. die Organisationseinheit,<br />
der die Person angehört, <strong>und</strong>/oder das Land, in der die Organisationseinheit oder die<br />
Person domiziliert ist. Idealerweise enthält das Zertifikat möglichst wenig <strong>Information</strong>. Zudem<br />
sollte diese <strong>Information</strong> wenn immer möglich ‚statisch’, d.h. stabil <strong>und</strong> keinen Änderungen unterworfen<br />
sein. Alle zusätzlichen <strong>Information</strong>en (z.B. Personalnummer usw.) sollten nach Möglichkeit<br />
in einer hochsicheren Datenbank angelegt <strong>und</strong> gespeichert werden, deren Zugangs<strong>und</strong><br />
Zugriffsmöglichkeit ausschliesslich dazu berechtigten Personen eingeräumt wird.<br />
Wie <strong>und</strong> mit welchen Konsequenzen wird ein Schlüssel benützt?<br />
Die Sicherheit von Schlüsseln kann erhöht werden, indem der spezifische Gebrauch von kryptografischen<br />
Schlüsselpaaren (public key, private key) entsprechend definiert wird. Gr<strong>und</strong>sätzlich<br />
kann mit lediglich einem Schlüsselpaar gearbeitet werden, jedoch mit dem Nachteil, dass<br />
Daten verloren gehen können, falls beispielsweise der Schlüsselsatz (pass phrase, nicht zu<br />
verwechseln mit dem Begriff Schlüsselpaar) zum privaten Schlüssel vergessen wird. In diesem<br />
ungünstigen Fall können Daten, welche mit dem öffentlichen Schlüssel verschlüsselt worden<br />
sind, nicht mehr entschlüsselt werden.<br />
Aus diesem Gr<strong>und</strong>e empfehlen Lösungsanbieter wie z.B. SwissSign 34 dringend, zwei separate<br />
Schlüsselpaare zu verwenden, nämlich eines für die Verschlüsselung sowie eines für die Signierung.<br />
Das Schlüsselpaar für die Verschlüsselung kann wie üblich gehandhabt werden, indem<br />
einerseits der öffentliche Schlüssel publiziert <strong>und</strong> andererseits der private Schlüssel – in<br />
jedem Fall unter Anlage eines Backup – gespeichert wird. Dafür eignen sich die CA solcher<br />
Lösungsanbieter in idealer Weise.<br />
Auch das Schlüsselpaar für die Signierung kann, abgesehen von einer wichtigen Ausnahme,<br />
wie üblich gehandhabt werden, indem der öffentliche Schlüssel publiziert wird. Jedoch – <strong>und</strong><br />
dies ist die Ausnahme – darf unter keinen (!) Umständen zugelassen werden, dass irgend eine<br />
Instanz zu irgend einem Zeitpunkt ein Backup des privaten Signierungsschlüssels erstellt. Sollte<br />
der Schlüsselsatz (pass phrase) vergessen werden oder verloren gehen, kann über die Infrastruktur<br />
von SwissSign jederzeit, problemlos <strong>und</strong> ohne Kostenfolge ein neues Schlüsselpaar<br />
für die Signierung bezogen werden.<br />
Wofür kann eine digitale Identität oder ein Zertifikat eingesetzt werden?<br />
Allein <strong>und</strong> für sich genommen eröffnen weder eine digitale Identität noch ein Zertifikat irgend<br />
eine Funktionalität. Erst ihr Einsatz <strong>und</strong> ihre Anwendung in entsprechenden Applikationen,<br />
Prozessen <strong>und</strong> Kontexten (z.B. E-Business, E-Government, E-Healthcare) schafft den beabsichtigten<br />
Zugewinn an Sicherheit (security), Schutz (privacy) <strong>und</strong> Vertrauen (trust). So kann<br />
34 vgl. http://www.swisssign.com/index_en.php<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 11 von 17
zum Beispiel die sehr häufig <strong>und</strong> normalerweise ungeschützt eingesetzte Anwendung ‚E-Mail’<br />
zu secure e-mail werden, indem E-Mail in Verbindung mit einem Zertifikat verwendet wird.<br />
Was ist eine digitale Signatur?<br />
Digitales Signieren oder digitale Signatur bedeutet jene Handlung, bei welcher der Eigentümer<br />
des privaten Signaturschlüssels den entsprechenden Schlüsselsatz (pass phrase) eingibt <strong>und</strong><br />
so quasi seine elektronische (oder digitale) Unterschrift unter das Dokument setzt. Dadurch,<br />
dass der öffentliche Signaturschlüssel <strong>und</strong> der private Signaturschlüssel zusammenpassen<br />
<strong>und</strong> dadurch, dass das Zertifikat der herausgebenden CA mitsamt der darin enthaltenen <strong>Information</strong><br />
<strong>und</strong> der öffentliche Signaturschlüssel Gültigkeit erhalten, kann eine Drittpartei ermitteln<br />
<strong>und</strong> verifizieren, dass es sich beim Absender tatsächlich um jene Instanz handelt, welche<br />
diese zu sein vorgibt.<br />
Eine Datei wird also digital signiert, indem die digitale Identität – unter massivem Einsatz ma<strong>the</strong>matischer<br />
Mittel – zur Verschlüsselung dieser Datei eingesetzt wird, <strong>und</strong> indem die Instanz,<br />
welche das Dokument signiert, durch den privaten Signaturschlüssel in Verbindung mit dem<br />
Schlüsselsatz (pass phrase) identifiziert wird.<br />
Die herausgebende CA kann prüfen <strong>und</strong> den Nachweis erbringen, wer zum Zeitpunkt der Erstellung<br />
der digitalen Signatur der Eigentümer des digitalen Signaturschlüssels war, <strong>und</strong> ob eine<br />
gültige (d.h. aktive, nicht sistierte oder revozierte) digitale Identität benützt wurde. Eine solchermassen<br />
digital signierte Datei ist sowohl für kommerzielle Transaktionen als auch für<br />
Rechtsgeschäfte gültig, vorausgesetzt, dass die gesetzlichen Gr<strong>und</strong>lagen <strong>und</strong> rechtlichen Vereinbarungen<br />
dies vorsehen <strong>und</strong> zulassen.<br />
Was ist ein qualifiziertes Zertifikat?<br />
Der Begriff ‚qualifiziertes Zertifikat’ entstand in Europa, als in der EU entsprechende Arbeiten<br />
zugunsten eines einheitlichen Standards für PKI-Systeme vorangetrieben wurden. Obwohl<br />
keine formelle Definition besteht, kann mit ‚qualifiziertes Zertifikat’ gr<strong>und</strong>sätzlich jene Art von<br />
Zertifikaten bezeichnet werden, welche gemäss den gesetzlichen Regulierungen einer nationalen<br />
Gesetzgebung erstellt wird. Zur Zeit kommt in der Schweiz ZertDV 35 zur Anwendung. Ab<br />
Januar 2005 dürfte ZertES 36 in Kraft treten. In der EU gilt dafür die ETSI 37 -Norm, <strong>und</strong> in den<br />
USA <strong>und</strong> in Kanada kommt die ANSI 38 -Norm zur Anwendung.<br />
Was ist ein ‚root certificate’?<br />
Als ‘root certificate’ wird ein unsigniertes oder selbst signiertes Zertifikat einer CA bezeichnet.<br />
Die Benützung eines ‚root certificate’ setzt gr<strong>und</strong>sätzlich das Vertrauen in die entsprechende<br />
CA voraus – <strong>und</strong> dies wiederum bedingt, dass die Instanz, welche ein solches ‚root certificate‚<br />
benützt, darüber informiert ist <strong>und</strong> versteht, wer bzw. was die CA ist, wie sie funktioniert <strong>und</strong><br />
operiert, <strong>und</strong> wer bzw. was sich dahinter verbirgt (Organisation, Personen, haftendes Kapital,<br />
Kompetenz, Marke, Vertrauenswürdigkeit usw.).<br />
Mit der Benützung eines ‚root certificate’ anerkennt <strong>und</strong> akzeptiert die benützende Instanz alle<br />
Zertifikate, welche von der entsprechenden CA ausgegeben werden. Der detaillierte Beschrieb<br />
der Handhabung, Organisation, Funktionen, Abläufe <strong>und</strong> Prozesse der CA findet sich in den<br />
sogenannten CP/CPS 39 (Certificate Policy/Certification Practice Statement). Jede Instanz, welche<br />
sich für ein ‚root certificate’ <strong>und</strong> eine CA entscheidet bzw. diese in Anspruch nimmt, entscheidet<br />
also auch darüber, ob sie <strong>und</strong> ihre Partner im elektronischen Verkehr in dieses ‚root<br />
35 Verordnung vom 12. April 2000 über Dienste der elektronischen Zertifizierung (Zertifizierungsdiensteverordnung,<br />
ZertDV)<br />
36 B<strong>und</strong>esgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (B<strong>und</strong>esgesetz über die<br />
elektronische Signatur, ZertES) vom 19. Dezember 2003<br />
37 ETSI TS 101 456, vgl. http://portal.etsi.org/docbox/EC_Files/EC_Files/ts_101456v010201p.pdf<br />
38 ANSI X9.79, vgl. http://webstore.ansi.org/ansidocstore/product.asp?sku=ANSI+X9%2E79%2D2001<br />
39 vgl. zum Beispiel http://www.swisssign.com/documents/SwissSign_Gold_CPS.pdf<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 12 von 17
certificate’ <strong>und</strong> in diese CA Vertrauen setzen will, kann <strong>und</strong> soll. Auch hier gilt: ‚drum prüfe, wer<br />
sich ewig ( an wen, für wie lange, zu welchen Konditionen, …) bindet’!<br />
Was ist ‚revocation’?<br />
Mit Revozierung (revocation) wird jener Prozess bezeichnet, welcher ein Zertifikat ungültig<br />
macht, indem er es aufhebt (sistiert) oder widerruft (revoziert). Unter speziellen Umständen<br />
kann der Schlüssel, der mit dem Zertifikat verknüpft ist, für ein anderes Zertifikat verwendet<br />
werden (rollover). Widerrufene oder aufgehobene Zertifikate werden in der CRL (Certificate<br />
Revocation List) aufgeführt, <strong>und</strong> die CRL wird durch die CA gemäss ihren CP/CPS publiziert.<br />
Selbst wenn ein Verschlüsselungszertifikat revoziert werden soll/wird/worden ist, ist es dennoch<br />
ausserordentlich wichtig, den zugehörigen privaten Schlüssel (für die Verschlüsselung,<br />
nicht für die Signierung) aufzubewahren. Dieser Schlüssel wird weiterhin dazu benötigt, um<br />
Daten, welche mit dem alten (revozierten) Zertifikat verschlüsselt wurden, weiterhin entschlüsseln<br />
zu können. Der private Schlüssel für die Signierung behält demgegenüber keinen Wert<br />
<strong>und</strong> kann im Falle der Revozierung eines Zertifikates gelöscht werden.<br />
Eine weitere Lösung zur digitalen Identitätsprüfung bieten sogenannte digitale oder elektronische<br />
Identitätskarten (digID card, e-ID-Karte), bei denen ein Microchip mit den entsprechenden<br />
Identifikations-<strong>Information</strong>en eingearbeitet ist, <strong>und</strong> die an entsprechenden Lesegeräten die<br />
Identifikation der KarteninhaberInnen gestattet. Dabei sind verschiedene Ausprägungen realisierbar:<br />
• Aus Optik der Benutzenden <strong>und</strong> aus Gründen eines umfassenden Service Levels werden<br />
gr<strong>und</strong>sätzlich Karten bevorzugt, die gemäss den Wünschen <strong>und</strong> Anforderungen ihrer Inhaber<br />
<strong>und</strong> den Geschäftsmöglichkeiten der Anbieter möglichst universell <strong>und</strong> in mehreren<br />
Kontexten eingesetzt werden können, z.B. als Identitätskarte, Führerausweis, Versichertenkarte<br />
usw. Solche Karten hätten demzufolge entsprechend reichhaltige Datensets auf<br />
dem Microchip gespeichert.<br />
• Aus Gründen des Daten- <strong>und</strong> Persönlichkeitsschutzes werden zumindest von den mit Datenschutz<br />
Beauftragten jedoch Karten bevorzugt, die ausschliesslich der Identifikation der<br />
entsprechenden Person dienen, also keine zusätzlichen <strong>Information</strong>en enthalten <strong>und</strong> somit<br />
auch nicht für zusätzliche Anwendungsbereiche <strong>und</strong> Services eingesetzt werden können.<br />
Dies bedeutet, dass zwecks Erreichen des gewünschten Services Levels anderweitige<br />
bzw. ergänzende Lösungen gef<strong>und</strong>en werden müssen.<br />
Schliesslich ist noch die digitale oder elektronische Unterschrift oder Signatur zu erwähnen,<br />
welche der ‚analogen’ handschriftlichen Unterschrift gleichgestellt wird, <strong>und</strong> welche dazu beitragen<br />
soll, in Online-Interaktionen für die involvierten Parteien sichere Vereinbarungen zu treffen,<br />
den Formvorschriften genügende Verträge abzuschliessen <strong>und</strong> Geschäftsabwicklungen<br />
zu vollziehen (vgl. Kasten ‚PKI’ <strong>und</strong> B<strong>und</strong>esgesetz über die elektronische Signatur, ZertES).<br />
9. Situation in der Schweiz<br />
Im Bereich der PKI/CA-Lösungen wurden in der Schweiz sowohl von privatwirtschaftlichen als<br />
auch von b<strong>und</strong>esnahen Akteuren entsprechende Instrumente <strong>und</strong> Lösungen entwickelt, die<br />
zum Teil mangels Benützung wieder verschw<strong>und</strong>en sind 40 oder noch bestehen 41 , den breiten<br />
Markt in allen Sektoren (Wirtschaft, Gesellschaft, Öffentliche Hand, Bildung <strong>und</strong> Forschung)<br />
einer <strong>Information</strong>s- <strong>und</strong> Wissensgesellschaft in der Schweiz aber noch nicht durchdringen.<br />
PKI in der Schweiz am Beispiel der SWITCHpki<br />
In der Schweiz sind zahlreiche PKI-Umgebungen im Gebrauch. So betreiben praktisch alle<br />
bedeutenden Banken, viele Grossunternehmen sowie grosse Verwaltungseinheiten spezifi-<br />
40 vgl. http://www.telekurs-services.com/swisskey/index.html, http://www.igtop.ch/<br />
41 vgl. http://www.swisscert.ch/, http://www.swisssign.com, http://www.arpage.ch/isi_services_0.html<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 13 von 17
sche interne PKI-Lösungen, um vertrauliche interne Kommunikation <strong>und</strong> Datenhandling zu ermöglichen.<br />
Bei mittleren Unternehmen, kantonalen Organisationen usw. finden sich neben eigenen<br />
PKI-Lösungen auch sogenannte CA-Outsourcing-Lösungen wie z.B. mit SwissSign.<br />
Zu den bedeutenden operativen Schweizer PKI-Lösungen zählt jene des Swiss Education &<br />
Research Network 42 . Als dessen Betreiberin hat SWITCH für die Mitglieder eine PKI 43 aufgebaut,<br />
welche den Zugang <strong>und</strong> die Verbindung zu bestimmten Komponenten der akademischen<br />
Infrastruktur sicherstellt.<br />
SWITCHpki Services<br />
SWITCHpki, ein X.509 Public Key Infrastruktur-Service für das Schweizer Hochschulsystem,<br />
bietet folgende Dienste an:<br />
• Zertifikate für den Einsatz als ‚trust anchor’ in Client/Server-Anwendungen<br />
• Betrieb der SWITCH RA (registration authority) zur Herausgabe von Zertifikaten basierend<br />
auf der SWITCH Server CA (certification authority), welche von SwissSign als Partner der<br />
SWITCHpki betrieben wird<br />
• Entsprechende Interfaces zur Handhabung der SWITCHpki-Zertifikate<br />
• Unterhalt der SWITCHpki Dokumentation<br />
SWITCHpki Architektur<br />
Die gesamte Architektur von SWITCHpki basiert auf einem hierarchischen Modell, welches die<br />
Feinkontrolle über diverse involvierte CA <strong>und</strong> RA gestattet. Zurzeit bestehen drei SWITCH CA:<br />
Die ‚SWITCH CA’, welche zur Unterzeichnung der ‚SWITCH Server CA’ eingesetzt wird, ist offline<br />
in einem Schweizer Banksafe eingelagert. Die ‚SWITCH Server CA’ wird gebraucht, um<br />
Server-Zertifikate herauszugeben. Die ‚SWITCH Personal CA’ wird zurzeit ausschliesslich für<br />
die Herausgabe von persönlichen Zertifikaten für den Betrieb der RA eingesetzt.<br />
Die Schlüsselkomponente der SWITCHpki ist die RA-Infrastruktur. Das Outsourcing der CA-<br />
Lösung ermöglicht es dem Swiss Education & Research Network, eine oder mehrere RA zu<br />
bilden <strong>und</strong> diese RA mit der SWITCH CA-Infrastruktur zu verbinden. Diese flexible Lösung<br />
gestattet die Identifikation <strong>und</strong> Herausgabe von Zertifikaten auf die jeweils sinnvollste Art.<br />
42 http://www.switch.ch/<br />
43 http://www.switch.ch/pki/<strong>about</strong>.html, http://www.switch.ch/pki/SWITCHpki_Launch.pdf<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 14 von 17
Dazu vergleichbare Architekturen werden von einer Vielzahl kommerzieller Organisationen<br />
eingesetzt, welche dadurch in die Lage versetzt werden, eigene RA zu betreiben, ohne deswegen<br />
komplexe <strong>und</strong> kostspielige CA-Infrastrukturen aufbauen <strong>und</strong> betreiben zu müssen.<br />
Somit verbleibt die Forderung nach einer Gesamtlösung, innerhalb derer sich die entsprechenden<br />
Instanzen der öffentlichen Hand <strong>und</strong> der privatwirtschaftlichen Lösungsanbieter so<br />
organisieren, dass die zweifelsfreie Identifikation von Parteien im vernetzten interaktions- <strong>und</strong><br />
transaktionsorientierten Online-Geschäft – <strong>und</strong> die digitale Identitätsprüfung als ein selbständiger<br />
Service – für all jene Fälle angeboten <strong>und</strong> betrieben werden können, die dies erfordern,<br />
<strong>und</strong> für die zurzeit noch keine anderen geeigneten Identifikationsmöglichkeiten bestehen.<br />
Es stellt sich also weniger die Frage, wer in der Schweiz als Anbieter <strong>und</strong> Betreiber einer Public<br />
Key Infrastructure (PKI) <strong>und</strong> als Certification Authority auftreten soll, sondern vielmehr, wie<br />
die Integration der Instanzen, Anbieter, Instrumente <strong>und</strong> Prozesse zu einer Gesamtlösung zu<br />
gestalten <strong>und</strong> operativ sicherzustellen ist. Diesbezügliche Forderungen <strong>und</strong> Erwartungshaltungen<br />
schwanken zwischen der Privatwirtschaft <strong>und</strong> der Öffentlichen Hand hin <strong>und</strong> her, wobei<br />
der (monetäre) Nutzen jeweils mit Vorteil privatisiert <strong>und</strong> die Lasten gerne sozialisiert würden,<br />
was natürlich kaum zu einer raschen <strong>und</strong> einvernehmlichen Lösung führen kann.<br />
Aufgr<strong>und</strong> der Erfahrungen der letzten Jahre (e-hype <strong>und</strong> anschliessende Konsolidierung) sowie<br />
der spezifischen Bedingungen in der Schweiz (hohe Ansprüche, Standards <strong>und</strong> Sensitivitäten<br />
bezüglich Qualität, Sicherheit <strong>und</strong> Vertrauen) ist davon auszugehen, dass für ein breit<br />
akzeptiertes, stabiles <strong>und</strong> leistungsfähiges federated digital identity management in der Gesam<strong>the</strong>it<br />
seiner Ausprägungen <strong>und</strong> Aufgaben nur Organisationen <strong>und</strong> Lösungsanbieter in Frage<br />
kommen, zu deren Tradition, Geschäftsgebiet <strong>und</strong> Tagesgeschäft der vertrauensvolle Umgang<br />
mit Daten, <strong>Information</strong>en, Geldmitteln <strong>und</strong> mit anderen Dingen gehören, welche besondere<br />
Sensitivität hinsichtlich Schutz, Sicherheit, Stabilität <strong>und</strong> Vertrauen erfordern.<br />
Dass in der Schweiz nur wenige Organisationen dafür in Frage kommen, liegt nahe. Für sie<br />
stellt sich die Frage, ob, unter welchen Umständen <strong>und</strong> innerhalb welcher Zeiträume entsprechende<br />
Services sowohl bezüglich Tarifierbarkeit, Preisbildung <strong>und</strong> Verrechnungsmodelle als<br />
auch vom Mengengerüst her einen sinnvollen <strong>und</strong> praktikablen Business Case ergeben.<br />
Bei der Suche nach Antworten auf diese Frage sind also jene Parteien <strong>und</strong> Geschäftstypen zu<br />
identifizieren, die aufgr<strong>und</strong> der Natur ihrer Angebote <strong>und</strong> Leistungen entweder dazu verpflichtet<br />
sind oder ein höchstmögliches Interesse daran haben, die zweifelsfreie Identifikation der<br />
Gegenpartei <strong>und</strong> Identitätsprüfung der Benutzenden als zwingenden Bestandteil ihrer Online-<br />
Angebote zu integrieren. Als Beispiele sind zu nennen:<br />
• Elektronische Wahlen <strong>und</strong> Abstimmungen (E-Voting, E-Democracy)<br />
• Gr<strong>und</strong>buch- <strong>und</strong> andere Behördengeschäfte wie beispielsweise die Bestellung <strong>und</strong> Verlängerung<br />
von Pässen, Identitätskarten usw.<br />
• Sensitive Online-Transaktionen, z.B. im Ges<strong>und</strong>heitsbereich, mit Ärzten, Apo<strong>the</strong>ken, Krankenversicherungen,<br />
Kliniken usw.<br />
• Online-Transaktionen mit sogenannten Utilities (z.B. Energieversorger, Wasserwerke usw.)<br />
Zum Thema ‚elektronische Identitätskarte 44 ’ ist zu vermerken, dass der B<strong>und</strong>esrat dem Eidgenössischen<br />
Justiz- <strong>und</strong> Polizeidepartement im Juli 2002 den Auftrag erteilt hat, bis Ende 2003<br />
ein Konzept <strong>und</strong> einen Gesetzesentwurf für die Einführung einer elektronischen Identitätskarte<br />
auszuarbeiten 45,46 . Die Karte muss als konventionelle wie als elektronische Identitätskarte eingesetzt<br />
werden können <strong>und</strong> rechtsverbindliches Signieren ermöglichen. Ferner soll sie auch<br />
den Ausländerausweis ersetzen.<br />
44 vgl. http://www.swissict.ch/intern/inside/doku/Muster_Beitrag.pdf<br />
45 vgl. http://www.ofj.admin.ch/<strong>the</strong>men/ri-ir/dig-id/i-com-d.htm<br />
46 vgl. http://www.ofj.admin.ch/<strong>the</strong>men/ri-ir/dig-id/artikel-digid-eidkarte-d.pdf<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 15 von 17
Leider wurden die entsprechenden Arbeiten im Frühjahr 2004 beinahe kommentarlos sistiert,<br />
offenbar als Folge der Budgetkürzungen <strong>und</strong> Sparmassnahmen. Es muss jedoch vermutet<br />
werden, dass die Arbeiten hinter den Kulissen bereits seit längerer Zeit massiv beeinträchtigt<br />
wurden, sei es infolge unterschiedlicher Auffassungen zwischen den Protagonisten über die<br />
Ausgestaltung der Karte, ihrer Merkmale <strong>und</strong> Services, bezüglich ihres Einsatzes im Online-<br />
Verkehr mit Behörden sowie im Verhältnis der beteiligten oder betroffenen B<strong>und</strong>esstellen, Registern<br />
usw. Schliesslich war am 22.09.2004 zu lesen 47 , dass ‚nun private Anbieter am Zug’<br />
seien – wodurch das Problem natürlich keiner Lösung zugeführt, sondern lediglich der<br />
‚schwarze Peter’ weitergereicht worden ist 48 .<br />
Bezüglich der digitalen oder elektronischen Unterschrift oder Signatur ist die Referendumsfrist<br />
(8.04.2004) für das B<strong>und</strong>esgesetz über Zertifizierungsdienste im Bereich der elektronischen<br />
Signatur (B<strong>und</strong>esgesetz über die elektronische Signatur, ZertES) vom 19.12.2003 49 unbenützt<br />
verstrichen. Das neue Gesetz tritt voraussichtlich am 1. Januar 2005 in Kraft 50 . Damit werden<br />
wir in der Schweiz demnächst über ein entsprechendes B<strong>und</strong>esgesetz verfügen, aber noch<br />
kaum über breit anwendbare Instrumente <strong>und</strong> Services, um digitale Identitäten natürlicher <strong>und</strong><br />
juristischer Personen in vernetzten <strong>und</strong> organisationsübergreifenden Online-Geschäften <strong>und</strong> -<br />
Prozessen einfach <strong>und</strong> sicher zu handhaben.<br />
10. Fazit <strong>und</strong> Ausblick<br />
Dieses gravierende Implementierungsmanko wird einer <strong>Information</strong>s- <strong>und</strong> Wissensgesellschaft<br />
in der Schweiz nicht nur bei der Gestaltung <strong>und</strong> Benützung entsprechender Leistungen, Prozesse<br />
<strong>und</strong> Services in den einzelnen Sektoren <strong>und</strong> über ihre organisatorischen Grenzen hinweg<br />
im Wege stehen.<br />
Vielmehr wird es die in den verschiedenen Sektoren tätigen Anbieter von Online-Geschäften<br />
<strong>und</strong> -Prozessen auch noch längere Zeit davon abhalten, die immensen Möglichkeiten <strong>und</strong> Potenziale<br />
der Effizienz-, Effektivitäts- <strong>und</strong> Wertsteigerung, welche mit der Benützung solcher<br />
verknüpfter Online-Geschäfte <strong>und</strong> -Prozesse in möglichst zahlreichen Kontexten für alle Beteiligten<br />
– <strong>und</strong> damit für unsere Volkswirtschaft als Ganzes – einhergehen, gezielt <strong>und</strong> nachhaltig<br />
auszuschöpfen.<br />
Für die Einführung, Verbreitung <strong>und</strong> Nutzung von Online-Services im Bereich E-Government<br />
hat dies fatale Konsequenzen. Während verwaltungsintern noch am ehesten Lösungen (wie<br />
beispielsweise der elektronische Personalausweis des B<strong>und</strong>esamtes für Informatik <strong>und</strong> Telekommunikation<br />
BIT) gef<strong>und</strong>en werden dürften, bleiben vernetzte geschäfts- <strong>und</strong> prozessorientierte<br />
Interaktionen <strong>und</strong> Transaktionen im elektronischen Behördenverkehr zwischen dem<br />
B<strong>und</strong>, den 26 Kantonen <strong>und</strong> den über 2'800 Gemeinden einerseits sowie der Bürgerschaft <strong>und</strong><br />
der Privatwirtschaft andererseits auf weite Sicht eine Illusion.<br />
Angesichts der in der Strategie des B<strong>und</strong>esrates für eine <strong>Information</strong>sgesellschaft in der<br />
Schweiz 51 im Jahre 1998 formulierten Ziele, des umfangreichen <strong>und</strong> millionenschweren Projektportfolios<br />
der Departemente, der B<strong>und</strong>esämter <strong>und</strong> der B<strong>und</strong>eskanzlei 52 sowie der im jährlichen<br />
Turnus publizieren umfangreichen <strong>Bericht</strong>e der Koordinationsgruppe <strong>Information</strong>sgesellschaft<br />
(KIG) 53 muss dieses ernüchternde Fazit <strong>und</strong> diese enttäuschende Perspektive als<br />
47 vgl. http://www.parlament.ch/afs/data/d/gesch/2004/d_gesch_20043228.htm<br />
http://www.e-gov.zh.ch/internet/sk/e-gov/de/aktuelles/presse/2004/2307_kanton.html<br />
48 vgl. dazu Motion Ruedi Noser (http://www.parlament.ch/afs/data/d/gesch/2004/d_gesch_20043228.htm) <strong>und</strong><br />
Anfrage Trix Heberlein (http://www.parlament.ch/afs/data/d/gesch/2004/d_gesch_20041133.htm)<br />
49 vgl. http://www.swisssign.com/documents/ZertES-d-BBl-2003-82<strong>21</strong>.pdf<br />
50 vgl. http://www.ofec.admin.ch/<strong>the</strong>men/digsig/intro-d.htm<br />
51 vgl. http://www.admin.ch/ch/d/egov/egov/kig/strategie_br_980<strong>21</strong>8.pdf<br />
52 vgl. zum Beispiel Guichet virtuel, www.ch.ch<br />
53 vgl. http://www.admin.ch/ch/d/egov/egov/kig/kig.html sowie http://www.admin.ch/ch/d/egov/egov/kig/kig.html<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 16 von 17
edenklich bezeichnet werden. Dies ganz besonders im direkten Vergleich zu den in anderen<br />
Volkswirtschaften erarbeiteten <strong>und</strong> implementierten Lösungen.<br />
Um die Diskussion über digitale Identitäten hierzulande nicht nur nachzuverfolgen, sondern zu<br />
intensivieren <strong>und</strong> praxistaugliche Lösungen rascher als bisher voranzubringen, ist es daher<br />
vordringlich,<br />
• den Themenkomplex ‚Digital Identity Management’ samt seinen Instrumenten, Prozessen<br />
<strong>und</strong> Verfahren als Schlüsselprojekt zu positionieren, entsprechend zu alimentieren <strong>und</strong> prioritär<br />
zu bearbeiten,<br />
• Pilotbetriebe in Schlüsselbereichen unserer Volkswirtschaft <strong>und</strong> unter Einbezug von Vertretern<br />
der Benutzergruppen durchzuführen 54 ,<br />
• einen diesbezüglichen Masterplan für die <strong>Information</strong>s- <strong>und</strong> Wissensgesellschaft Schweiz<br />
zu formulieren 55 , <strong>und</strong><br />
• dieses Programm aus einer Hand, professionell <strong>und</strong> eng zu führen, damit es nicht Opfer<br />
von Föderalismus, Partikularinteressen <strong>und</strong> Rivalitäten wird.<br />
Andernfalls riskieren wir im besten Fall, in absehbarer Zeit zwar ein B<strong>und</strong>esgesetz über die<br />
elektronische Signatur sowie – möglicherweise in einem zweiten Anlauf – eine digitale Identitätskarte<br />
zu bekommen, diese aber mangels entsprechender Dienste, Anbieter <strong>und</strong> Betreiber<br />
auf viele Jahre hinaus nicht handhaben <strong>und</strong> nutzbringend einsetzen zu können.<br />
Im schlechtesten Fall liegt das Risiko jedoch darin, dass<br />
• die Schweiz im Vergleich zu anderen Volkswirtschaften im Bereich vernetzter, interaktions<strong>und</strong><br />
transaktionsfähiger Online-Lösungen <strong>und</strong> insbesondere im Bereich E-Government<br />
weiter zurückfällt,<br />
• die b<strong>und</strong>esrätliche Strategie für eine <strong>Information</strong>sgesellschaft in der Schweiz bzw. die ausgelösten<br />
Projekte, eingesetzten Verwaltungsressourcen <strong>und</strong> Steuergelder diesbezüglich ihre<br />
Ziele verfehlen, <strong>und</strong><br />
• die Schweiz diesbezüglich anlässlich des zweiten Weltgipfels der <strong>Information</strong>sgesellschaft<br />
(WSIS) im November 2005 in Tunis 56 ein unbefriedigendes Dossier präsentieren wird.<br />
____________________________________________________________________________________________<br />
Adresse des Verfassers:<br />
Markus Fischer<br />
MF Consulting<br />
Route du Mont 40<br />
CH-1789 Lugnorre<br />
markus-fischer@bluewin.ch<br />
54 vgl. dazu Editorial <strong>und</strong> Beitrag ‚Helvetia: Zur PKI wie die Jungfrau zum Kind’, InfoWeek Nr. 20/2004<br />
55 vgl. dazu Workshop ‚e-society’ der SATW <strong>ICT</strong> commission (http://ict.satw.ch/SPIP/rubrique.php3?id_rubrique=1),<br />
11. <strong>und</strong> 12.11.2004, Schloss Münchenwiler<br />
56 vgl. http://www.smsitunis2005.org/plateforme/index.php?lang=en<br />
© 2004 Markus Fischer, CH-1789 Lugnorre 2004-12-17 Leitfaden Rechtskonformes E-Government Beitrag DIM v1.2.doc Seite 17 von 17