Wer sich im Web bewegt, hat unzählige Identitäten, für jedes Angebot einen Nutzernamen und ein Passwort – das nervt. Wer sich an die Empfehlungen hält und zu jedem Log-in ein unterschiedliches Passwort wählt, erhält so unzählige. Da fühlt man sich wie im Mittelalter, als jede Stadt ihre eigene Währung hatte. In Europa gibt es mittlerweile eine übergreifende Währung – warum ist es in der modernen Internetwelt nicht auch denkbar, die Anzahl der Log-ins zu reduzieren und sich trotzdem sicher zu fühlen?
Die grossen Anbieter wie Google, Facebook und Microsoft machen es vor. Sie haben alle ihre Anwendungen im Netz mit einem Log-in versehen. Sogar kleinere Anbieter wie doodle.com überlassen dem Anwender die Wahl, sein Log-in mit dem normalen Benutzername-und-Passwort-Prinzip oder mit dem Facebook- oder Google-Konto zu erzeugen. Diese Lösung ist praktisch und vor allem im privaten Sektor verbreitet. Was aber, wenn jemand von dieser Lösung profitieren will, ohne sich bei Facebook, Google und Co. zu registrieren?
OpenID – ein dezentrales Authentifizierungssystem für webbasierte Dienste
Unter dem Namen OpenID haben grosse Web-Unternehmen einen offenen Standard entwickelt. Für die Anmeldung benötigt man eine OpenID-Identität, die der Anbieter bereitstellt. Eine OpenID hat die Form einer URL. Üblicherweise ist der Benutzername eine Subdomain des Anbieters, benutzername.example.com. Einige verwenden auch den Benutzernamen als Pfad in der URL, example.com/benutzername. Damit die Anwender von einem spezifischen Anbieter unabhängig sind, sollten sie nach Möglichkeit eine eigene URL auf eigenem Webspace als OpenID verwenden.
Webseiten, die OpenID als Anmeldeverfahren unterstützen, können ergänzend weiterhin eine «klassische Anmeldung» anbieten oder darauf verzichten. In diesem Fall sind keine Funktionen wie «Passwort vergessen» nötig und der Sicherheitsaufwand für das Speichern von Benutzernamen und Passwörtern verlagert sich auf die OpenID-Anbieter. Unter den zahlreichen Anbietern befindet sich auch Google. Die Verbreitung von Open-ID ist nicht offensichtlich, man findet nur bei einigen unter www.openid.ch aufgeführten Beispielseiten klare Hinweise auf diese Authentifizierungsform.
SuisseID – der Schweizer Standard
Im Rahmen der dritten Stufe konjunktureller Stabilisierungsmassnahmen als Folge der Finanz- und Wirtschaftskrise hat der Bundesrat die beschleunigte Einführung der SuisseID beschlossen, welche im Mai 2010 im Schweizer Markt erfolgt ist.
Mit SuisseID können Unternehmen, Behörden und Privatpersonen ihre Partner identifizieren und sich über ihre Identität und Handlungsbefugnis Gewissheit verschaffen sowie ihre Dokumente rechtsverbindlich elektronisch unterschreiben. Ein Trägerverein, dem seit 2014 auch die Fachgruppe Elektronik und Informatik (FAEL) des SwissEngineering angehört, fördert SuisseID. Das System enthält derzeit folgende Elemente:
- SuisseID-Log-in: Bei der Anwendung Log-in-Button drücken, dieser fragt nach Ihrer persönlichen PIN, und die SuisseID öffnet sicher den Zugang.
- Qualifizierte elektronische Signatur: Mit der SuisseID lassen sich Dokumente elek-tronisch unterschreiben. Die elektronische Signatur ist fälschungssicher und in der Schweiz, wie auch in einigen anderen Ländern, vom Gesetzgeber der handschriftlichen Unterschrift gleichgestellt.
- Berechtigungen: Beim Ausstellen der SuisseID kann der Nutzer persönliche Informationen wie Alter, Geschlecht und Nationalität, die den Angaben auf der Identitätskarte oder dem Pass entsprechen, angeben und beim Anbieter auf einem Hochsicherheitsserver speichern. Über den sogenannten IdP-Dienst (Identity Provider) können diese auf Anwendungen abgefragt werden. Bestätigt der Inhaber die Anfrage, werden die Informationen geschützt übermittelt. So lässt er sich von der Anwendung beispielsweise als volljährig identifizieren.
Erweiterte SuisseID-Information
In Zukunft werden die Partner auch eine Anfrage bei einem Anbieter von «Funk-tionsnachweisen» stellen können. Ist die ID entsprechend verknüpft, können die Anbieter Funktionsnachweise aus verschiedenen Berufsregistern (beispielsweise Notare oder Ärzte), in denen der Nutzer eingetragen ist, bestätigen. Auch dazu ist dessen vorgängige Zustimmung erforderlich – ohne die Einwilligung darf der Anbieter keine Informationen weitergeben. Für die Intergrationen in Applikationen gibt es Java, .Net und CMS (wie Typo3) Software Development Kits (SDK).
Zukunft und Verbreitung von SuisseID
Die Verbreitung von SuisseID hängt davon ab, wie skalierbar und komfortabel man sie einsetzen kann. Nicht jede Anwendung verlangt nach der gleichen Sicherheit. Will man nur die Anwendungen personalisiert benutzen, genügen Benutzername und Passwort. Für Bestellungen, die Hinterlegung von Kreditkarteninformationen oder Unterschriften ist eine höhere Stufe wie eine zweite Authentifizierung (SMS mit PIN auf Mobile) oder ein Hardware-Key (USB-Stick oder Chip-Karte) nötig. Bedingt durch die Unterstützung des Bundes, hat die SuisseID-Lösung in den eGovernance-Anwendungen mit der eID und eSignature die ersten Anwendungen gefunden.
Doch auch andere Bereiche wie SwissLotto, der «elektronische Briefkasten» der Post oder der Onlineshop von buch.ch nutzen die SuisseID-Funktionalitäten. Im Dezember 2011 informierte der Bundesrat die Öffentlichkeit darüber, Identitätskarte und Pass bis Ende 2016 rundum zu erneuern. Bei der Identitätskarte sollen Bürgerinnen und Bürger dann neben einem Modell ohne Chip zwischen drei weiteren Modellen mit Chip wählen können: einem mit elektronisch gespeicherten Daten wie der Pass, einem mit elektronischer Identität für E-Gouvernement- und E-Business-Anwendungen sowie einem mit elektronisch gespeicherten Daten und elektronischer Identität. Dies wird der Verbreitung vermutlich einen weiteren Schub verleihen.
Infoservice
Trägerverein SuisseID, Geschäftsstelle
Steinerstrasse 37, 3006 Bern