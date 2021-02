E-ID-Lösungen in Europa – Diese drei Länder haben schon eine E-ID – so funktioniert sie Staat oder Unternehmen? Wer die elektronische Identität herausgeben soll, ist heiss umstritten. Beispiele aus Deutschland, Schweden und Norwegen zeigen Vor- und Nachteile der unterschiedlichen Lösungen. Holger Alich

Die Swiss-ID-App bietet mit einem Log-in Zugang zu verschiedenen Schweizer Onlinediensten. Das E-ID-Gesetz soll diese Log-in-Dienste regulieren. Foto: Christian Beutler (Keystone)

Eine sicherere elektronische Identität soll den Geschäftsverkehr im Internet erleichtern. Doch wie soll die Ausgabe der E-ID organisiert werden? Die Schweiz stimmt am 7. März über das Gesetz dazu ab. Es sieht im Kern vor, dass der Staat den Prozess überwacht, Private dagegen die E-ID-Lösungen betreiben. An der starken Rolle der Privatwirtschaft entzündet sich Kritik.

Ein Blick ins Ausland zeigt indes, dass es eine Vielfalt an Lösungen gibt. «Das Spektrum reicht von rein staatlichen Lösungen wie in Deutschland oder Singapur bis hin zu einem System der Vielfalt, bei der verschiedene private Player verschiedene E-IDs anbieten, wie etwa in Norwegen», erklärt Patrick Akiki, Partner und Informatikexperte der Unternehmensberatung PWC. «Eine staatliche Lösung garantiert keinen Erfolg», sagt Akiki.

Deutschland

Deutschland gilt nicht als digitaler Musterschüler, aber in Sachen E-ID waren die Deutschen für einmal früh dran. Seit 2010 gibt es den elektronischen Personalausweis. Dieser hat einen Chip, auf dem Name, Anschrift und Geburtstag gespeichert sind. In diesem System gibt der Staat die E-ID heraus, wie es in der Schweiz die Kritiker verlangen. Ein Erfolg ist die deutsche digitale ID-Karte bisher nicht.

Das hat mehrere Gründe. So mussten zu Beginn die Inhaber eines Personalausweises die Onlinefunktion extra freischalten lassen. Von rund 62 Millionen ID-Karten-Inhabern haben dies erst 30 Millionen gemacht. Seit 2017 ist die Onlinefunktion automatisch freigeschaltet.

Zweiter Stolperstein: Wer sich online mit seiner staatlichen E-ID identifizieren wollte, brauchte zu Beginn ein eigenes Kartenlesegerät. Inzwischen gibt es die AusweisApp2 als Ersatz, doch diese wurde bisher nur gut 4 Millionen Mal heruntergeladen.

Gemäss einer Studie der Boston Consulting Group und der Technologiefirma Nortal wurde die Onlineidentifizierung mit der deutschen E-ID im vergangenen Jahr zwischen 2,5 und 3 Millionen Mal genutzt – was im internationalen Vergleich wenig ist. Laut dem Konsortium Swiss Sign loggen sich Nutzer mit ihrer Swiss ID rund 1,5 Millionen Mal pro Monat auf einer Website ein – allerdings umfasst die Swiss ID auch Log-in-Möglichkeiten mit tieferen Sicherheitsstandards als die deutsche E-ID, mit denen man zum Beispiel sein Auto bei der Zulassungsbehörde anmelden kann.

Die deutsche E-ID krankt vor allem am Huhn-Ei-Problem: Es gibt zu wenige Unternehmen, welche die deutsche E-ID akzeptieren. Können die Nutzer mit einer E-ID ausser Behördengängen keine anderen Dinge erledigen, verwenden sie die E-ID dann kaum. Und ohne Nutzer haben Unternehmen wiederum keinen Anreiz, den Zertifizierungsprozess für die E-ID zu durchlaufen. Ein Teufelskreis.

Laut den Experten der Unternehmensberatung PWC ist es für Unternehmen aber recht kompliziert, die deutsche E-ID als Identifizierungslösung für die eigene Website zu nutzen. So gibt es derzeit nur rund dreissig private Anbieter, die auf die staatliche E-ID zurückgreifen.

Schweden

Schweden geht einen ganz anderen Weg. Dort gibt es bereits seit 2003 eine E-ID namens «BankID». Sie basiert auf dem Prinzip «Eine Lösung – verschiedene Herausgeber». Hier ist es nicht der schwedische Staat, sondern es sind zehn Banken wie die SEB, Nordea oder die Danske Bank, welche die einheitliche «BankID» herausgeben.

Grundlage des Systems sind die Identifizierungssysteme der Banken. Bevor eine Bank einem Kunden ein neues Konto eröffnet, muss sie seine Identität zweifelsfrei feststellen. Hat er sich gegenüber seiner Bank einmal zweifelsfrei identifiziert, nutzt die «BankID» diese geprüfte Identität.

Sprich: Es ist die Bank, die gegenüber anderen Websites wie Onlineshops, aber auch gegenüber Behörden die Identität eines Nutzers mit der «BankID» bestätigt. Der Staat überwacht, spielt beim Betrieb aber keine Rolle. Dafür nutzt der Staat selbst die private Lösung. So können die Schweden mit ihrer «BankID» ihre Steuererklärung rechtskräftig abgeben und auch damit Verträge aller Art abschliessen. Das System ist ein Erfolg; rund 8 Millionen Menschen nutzen es.

Norwegen

Norwegen hat noch ein anderes System als Deutschland und Schweden gewählt. Hier gibt es gleich vier verschiedene Systeme von vier Anbietern, die zudem unterschiedliche Sicherheitsniveaus haben. Norwegens Digitalisierungsagentur wacht darüber, dass die verschiedenen Systeme kompatibel sind, sodass die Nutzer jeweils damit ihre Behördengänge erledigen können.

Die Agentur selbst bietet ferner die «MinID» an. Um diese zu bekommen, benötigt ein Nutzer eine staatlich vergebene nationale Identitätsnummer, ein Mobiltelefon oder eine Mailadresse sowie einen Brief mit PIN-Codes. Bei jedem Einloggen wird dabei ein PIN-Code verbraucht.

Parallel gibt es die «BankID», die ähnlich wie die schwedische Lösung aufgebaut ist. Hier ist es die Bank, welche im Onlineverkehr die Identität eines Nutzers bestätigt. In der norwegischen Variante werden hierbei die sicherheitsrelevanten Daten auf der SIM-Karte des Mobiltelefons gespeichert.

Gemäss einer Übersicht über E-ID-Lösungen von PWC ist die «BankID» die erfolgreichste E-ID-Lösung in Norwegen mit 3,7 Millionen Nutzern. Das entspricht rund 70 Prozent der Bevölkerung. Daneben bietet die private Firma Buypass ebenfalls eine E-ID an, die auf einer eigens herausgegebenen Smartcard beruht, die über einen Kartenleser im Onlineverkehr ausgelesen wird und damit besonders sicher ist.