Reinhard Riedl: «Il faut résoudre sans équivoque la ... - SharePoint
Reinhard Riedl: «Il faut résoudre sans équivoque la ... - SharePoint
Reinhard Riedl: «Il faut résoudre sans équivoque la ... - SharePoint
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Doch während viele Verwaltungsstellen von<br />
Gemeinden, Kantonen, dem Bund und manch<br />
ein Vertreter der Privatwirtschaft bereits auf die<br />
SuisseID schwören, fehlen überzeugende Anwendungen<br />
für ihren privaten Gebrauch noch weitgehend.<br />
Den praktischen Wert der SuisseID als sicherer,<br />
universeller, für alle verfügbarer und für alle<br />
Zwecke einfach benutzbarer Identitätsnachweis in<br />
Ehren: Ohne genügende Anwendungsmöglichkeiten<br />
bleibt ihr Nutzen der breiten Bevölkerung schleier-<br />
haft – zumal sie mit jährlichen Kosten von 33 Franken<br />
nicht gratis ist (Seite 30). Und so <strong>la</strong>nge der Nutzen<br />
unk<strong>la</strong>r ist, hält sich auch das Vertrauen in den<br />
elektronischen Identitätsnachweis in Grenzen.<br />
Die Katze beisst sich in den Schwanz und zwar,<br />
sieht man die Pressearchive durch, seit nun gut zwei<br />
Jahren schon: Nur wenige Privatpersonen kaufen<br />
eine SuisseID, so<strong>la</strong>nge es nicht genügend Applikationen<br />
gibt, kaum ein Entwickler legt sich ins Zeug,<br />
so<strong>la</strong>nge es nur wenige Kunden gibt. Doch vielleicht<br />
wird sich das nun bald ändern. So soll ab 2016 Bürgerinnen<br />
und Bürgern die Möglichkeit offen stehen,<br />
eine Identitätskarte mit elektronischer Identität für<br />
E-Government- und E-Business-Anwendungen zu<br />
Die Gretchenfrage<br />
beantragen. Verschmilzt die SuisseID mit der Identitätskarte,<br />
so dürfte sie sich in der Schweiz vielleicht<br />
nicht gerade flächendeckend, aber doch bedeutend<br />
weiter verbreiten, als dies heute der Fall ist.<br />
Ein wichtiger Punkt wird auch sein, ob es gelingt,<br />
die SuisseID grenzüberschreitend einzusetzen.<br />
Verschiedene Länder haben eigene eID-Lösungen<br />
aufgebaut, welche die europäische Kommission nun<br />
im Interesse eines einheitlichen E-Business-Raumes<br />
in Europa zu vereinheitlichen trachtet. Von einem<br />
möglichen Anschluss der SuisseID an diese gemeinsame<br />
eID-Architektur verspricht sich das SECO eine<br />
Menge. In seinem Auftrag arbeitet die Berner Fachhochschule<br />
zurzeit an einem breit angelegten europäischen<br />
Pilotprojekt mit (Seite 48). o<br />
(cdh) – Die SuisseID kann geknackt werden. Das zeigte etwa Gunnar Porada an einem ISSS-Security Lunch im<br />
vergangenen Mai eindrücklich: Er führte vor, wie einfach es ist, mittels eines Trojaners die elektronische Identität<br />
einer anderen Person im Handumdrehen zu kapern und für rechtsverbindliche Tätigkeiten zu missbrauchen (zu<br />
bewundern auf: www.youtube.com/watch?v=vlTlQXn_Jgk). Wer haftet in solchen Fällen?<br />
Laut Gesetz müssen der Anbieter der elektronischen Signatur und die zuständigen Zertifizierungsdienstanbieter<br />
gewährleisten, dass die verwendeten Signaturschlüssel vor der missbräuchlichen Verwendung durch andere Personen<br />
verlässlich geschützt werden. An ihnen ist es also, zu überprüfen, ob der Schlüsselhalter über eine sichere<br />
Signatureinheit verfügt.<br />
Aber auch der Endanwender der SuisseID hat Pflichten: Nach Art. 59a des Obligationenrechts haftet der Signaturinhaber<br />
gegenüber Drittpersonen für Schäden, die diese erleiden, weil sie sich auf das qualifizierte gültige Zertifikat<br />
einer anerkannten Anbieterin von Zertifizierungsdiensten im Sinne des schweizerischen Signaturgesetzes (ZerES)<br />
vom 19. Dezember 2003 ver<strong>la</strong>ssen haben. Die Haftung entfällt, wenn der Inhaber des Signaturschlüssels g<strong>la</strong>ubhaft<br />
darlegen kann, dass er kein unsicheres Gerät benutzt und die nach den Umständen notwendigen und zumutbaren<br />
Sicherheitsvorkehrungen getroffen hat, um den Missbrauch des Signaturschlüssels zu verhindern. In diesem Fall<br />
kann der Schlüsselinhaber auf den Zertifizierungsdiensteanbieter Rückgriff nehmen.<br />
Welches aber sind diese notwendigen und zumutbaren Sicherheitsvorkehrungen? Sie gleichen denen, die im Umgang<br />
mit Kreditkarten gelten: Die PIN nicht aufschreiben, PIN und Chipkarte sicher, aber niemals zusammen<br />
aufbewahren, weder SuisseID noch PIN an Dritte weitergeben, den Verlust sofort melden und eine kompromittierte<br />
SuisseID für ungültig erklären <strong>la</strong>ssen, den Computer gegen Viren schützen und ein Betriebssystem benutzen, das<br />
auf dem neuesten Stand ist.<br />
Alles k<strong>la</strong>r? Nicht wirklich. So ist, nach Meinung verschiedener Rechtsexperten, nicht abschliessend definiert, welches<br />
die notwendigen und zumutbaren Sicherheitsvorkehrungen sind, die der Endnutzer beachten muss. Auch die «Pflichten»<br />
der Anbieter von Zertifizierungsdiensten sind nicht ausschöpfend umschrieben. Wer sich wie gegen Missbrauch<br />
wehren kann, bleibt damit ziemlich offen, zumal bisher jede Gerichtspraxis fehlt.<br />
SCHWERPUNKT<br />
2/2012 bulletin 41