Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!

DatenschutzFAQErste-Hilfe-Team: kontakt@republik.ch.



Dieser Artikel wirft ja eine Menge Fragen auf. Wurde da gerade der Fahrplan für den nächsten Flop aufgeschlagen? Keine elektronische Unterschrift, nicht EU kompatibel, eine, naja, offenbar nicht über alle Zweifel erhabene Firma- was habe ich noch vergessen? Geldvernichtungsmaschine vielleicht...

54
/
0

Für die Firmen von SwissSign scheint es eher ein Goldesel als eine Geldvernichtungsmaschine zu sein. Oder sind die aus altruistischen Motiven dabei?

14
/
0

Es erinnert im Entfernten an die Maut-Geschichte des beScheuerten Andy.

10
/
0
M. S.
Rentner
·

Ja über was stimmen wir denn nun ab? Über elektronische Signaturfunktionen für Unternehmenskunden, die ratzfatz irgendwelche Transaktionen hin und her schieben möchten, oder über den elektronischen Pass, der Herrn und Frau Schweizer das Glück auf Eden bringen soll? Mir ist's derzeit eigentlich egal - ich habe bereits Nein gestimmt!

50
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Ja wir stimmen über die eID ab. Seltsamerweise wurde das eID-Gesetz nicht mit dem bestehenden Gesetz zu qualifizierten elektronischen Signaturen (QES-Level) verkoppelt. Es wird fast so getan, als ob es das nicht gäbe. Obwohl eine eID ja auch ein Zertifikat, Nachweis, Signatur ist, dass ich die Person bin, die ich vorgebe zu sein. Weshalb dies die Architekten in Bundesbern nicht miteinander verschränkt haben, ist mir ein Rätsel. In der EU gibt es die eIDAS-Verordnung: die regelt eID-Benutzerkonto/Stick/Smartcard (was auch immer) und elektronische rechtsgültige Signatur in Einem. Würde das die Schweiz auch so machen, könnten wir in der Tat in Zukunft Volksinitiativen im Netz unterschreiben und im digitalen Behördenverkehr Transaktionen erledigen. (vorausgesetzt wünschenswerterweise dass die eID vom Staat herausgegeben wird) Vielleicht war das auch der Plan, aber kommuniziert wird zur Signatur wenig.

29
/
0

Nennen wir das Kind doch beim Namen:
Keller-Sutter und Cassis, die beiden Bundesrät*innen der FDP, machen praktisch ausschliesslich Klientelpolitik, ausgebrütet in geheimen Kommissionssitzungen und abgesegnet vom bürgerlich dominierten Parlament. Die Vorlage zur eID ist eine strukturelle Missgeburt wie vergangene und künftige Vorschläge zur Lösung der verfahrenen Rentensituation.

47
/
1

Für mich tönt swiss-id nach dem dümmstmöglichen Fall: Bund lagert Kompetenz und Daten aus, login kostet, Daten sind in Händen von privaten, Firma ist nicht über alle Zweifel erhaben... das alles ist nicht weiter verwunderlich aber hier finde ich es stossend und dass der Identitätsnachweis privatisiert wird finde ich grundsätzlich falsch. Und zu Ihrem Kommentar: somit haben wir also Salamitaktik mit dem Risiko, dass jedes Redli anders gewurstet wurde und am Schluss nix zueinander passt... digital ist halt so schön abstrakt, da ist alles wurscht?

39
/
0
Roland Jost
Pensionär
·

Diese Informationen hätten viel früher verbreitet werden sollen. Dann wären wir heute auf der sicheren Seite und die Privatisierung der E-ID würde bestimmt abgelehnt. Viele Stimmbürger haben sich wahrscheinlich erneut von BR Keller-Sutter beeindrucken lassen. Mit einigem Aufwand habe ich doch verschiedene Freunde und Bekannte zu einem NEIN überzeugen können aber ob das reicht ist unsicher.

43
/
1
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Guten Tag Herr Jost. Sie haben recht, uns sind diese Informationen jedoch erst in den letzten Wochen zugetragen worden bzw wir konnten die Quellen erst in den vergangenen Wochen erschliessen. Dann natürlich noch die Prüfung, Fact-Checking etc. unsere Netzrecherchen zu den Zertifikaten. Das brauchte seine Zeit, schliesslich möchten wir nur erhärtete Fakten publizieren.

Aber wir/ich waren ja auch sonst nicht untätig.
Es gibt weitere Texte zum Thema:

28.1: https://www.republik.ch/2021/01/28/…identitaet
9.2.: https://www.republik.ch/2021/02/09/…wettbewerb
17.2: https://www.republik.ch/2021/02/17/…eden-zieht

30
/
0

Liebe Adrienne, an dieser Stelle ein riesengrosses Dankeschön für deine wertvolle, mitunter ziemlich investigative (!) Arbeit! Wirklich toll!! 🙏🙏🙏

31
/
0

Hallo Frau Fichter, vielen Dank, die zusätzlichen links habe ich herunter geladen und gelesen, jedes mal kapiert man (bald 77) ein wenig besser, worum es geht. Schliesslich orientiert man sich an den Kommentaren von Fachleuten oder denen die "drus chumme". Deslalb Danke

7
/
1
N. A.
· editiert

Dass Frau Keller-Sutter leider nicht rot wird, wenn sie lügt, konnten wir vor kurzem sehen, als sie vor der Abstimmung wiederholt behauptete, die Korzernverantwortungsinitiative führe zu einer Beweislast-Umkehr; es könnte sein, dass sie nicht wusste, was Beweislast-Umkehr bedeutet, aber ich möchte ihr nicht unterstellen, dass sie nicht immer weiss, wovon sie spricht, wenn sie öffentlich spricht. Bei dieser elektronischen Passgeschichte ist das natürlich alles ganz anders ...

Ja, und herzlichen Dank Frau Fichter für das hartnäckige dranbleiben!

26
/
1

kaspar surber in der aktuellen woz «Hier wird vorauseilend eine Infrastruktur privatisiert, bevor sie überhaupt erstellt ist.»

41
/
0
M. R.
Ratsmitglied Project R Genossenschaft
·
· editiert

Ah... Der Stoff, aus dem die IT-Debakel sind! Mal ehrlich, wenn ich das so lese, sehe ich bereits die nächste Public–Private Partnership (PPP) am Horizont auftauchen, welche abermals (Steuer-)Millionen, wenn nicht Milliarden in den Sand setzt. Aber noch ist ja nicht aller Tage Abend. Vielleicht sollte man für good practices mal ein gelungenes Beispiel beleuchten. Vielleicht Estland? Jedenfalls herzlichen Dank, Adrienne, für das Öffnen der Black Box E-ID – oder besser der Can of Worms.

29
/
1
E. M.
Kulturkritiker
·

Estland wurde gehackt, X Millionen schaden.

0
/
0
M. R.
Ratsmitglied Project R Genossenschaft
·
· editiert

Vermutlich meinen Sie den Cyber-Angriff von 2007 seitens russischer Akteure (hauptsächlich mittels DoS und Botnetze) – just in dem Jahr also, als Estland das erste Mal per E-Voting wählen konnte (und damit als erstes Land der Welt). Vorwand oder «zündende Funke» war die Umsetzung des Bronzesoldaten von Tallinn aus der Sowjetzeit.

Dieses Ereignis war ein Fanal für [die estnische Aufrüstung in die Cyber Security und die sog. Cyber Defence Unit, in der auch ein «Schwarm» privater IT-Expert*innen tätig sind, welche vom Verteidigungsministerium geschult werden. Mit dem Ergebnis, dass Estland als einziges Land verschont blieb, als Hacker europaweit Regierungsnetzwerke angriffen.

Estland ist mit der Geschichte mit und geographischen Nähe zu Russland relativ exponierter als etwa die Schweiz. Doch wird natürlich auch die Schweiz tagtäglich angegriffen, wobei der Cyber-Defense hier im Verhältnis noch in den Kinderschuhen steckt und wesentlich von Estland lernen könnte – wie auch bei der E-ID.

Aber eins ist sicher: Kein E-Government ohne hinreichende Cyber-Security.

0
/
0

Interessante Aussage zur Suisse-ID. Von mir als Standardbenutzer her floppte sie, weil sie mit 50Fr pro Jahr und Benutzer viel zu teuer war. Ich hatte sie daher nie, und haette sie auch nicht gebraucht.
Die neue Swiss-ID wir aehnlich floppen weil sie den Seitenbetreiber pro Login kostet, und die Webseite teuer jedes Jahr zertifiziert werden muss. Die meisten Logins gehen ja gar nicht um Kaeufe, sondern um die Uebersicht ueber Rabat/Bonus/Superpunkte, ueber Kundenanfragen, Preisvergleiche, Rechnungen anschauen, Lieferzeiten nachschauen. Dafuer jedes Mal abdruecken ? Eher nicht. Das braucht's ja bisher auch nicht.
Eine Swiss-ID gibt keine Zusatzinformation ueber die Bonitaet, keine Betreibungsliste nach Kantonen sortiert, keine Bruttosteuerzahlen. Weshalb sollte eine normale Firma, so ein Login machen, wenn sie's bisher nicht benoetigte ?
Zudem sollte so ein Login gratis sein. Das Google Login ist auch gratis, Auch wenn ich's nicht verwenden wuerde.

27
/
1

Das Google-Login ist gratis, weil Google die Daten, welche im Zusammenhang damit anfallen, gewinnträchtig nutzt.
Das aber wollen wir bei der Swiss-Id gerade nicht, darum ist es richtig, dass es etwas kostet. Es sollte nur nicht so viel sein, dass die Akzeptanz darunter leidet.
Mangelhaft am Gesetz ist vor allem, dass es die Nutzung der Daten nicht ausdrücklich verbietet und dass die elektronische Signatur nicht Bestandteil davon ist.

19
/
3

Wenn das Gesetz die Nutzung der Daten nicht verbietet machen sie's. Und deshalb soll die Dienstleistung gratis sein. Und sie sollte auch gratis sein, weil man besser wie die bestehende Konkurrenz sein sollte. Denn wenn sie nicht gratis ist, wird die Verbreitung limitiert sein. Fuer meine Logins werde ich diese ID nicht benoetigen. Die gehen auch bis anhin.
Wenn's nur um eine limitierte Anzahl von Kanzlei transaktionen gehen wuerde benoetigte man keinen Aufstand.

18
/
1
Adrienne Fichter
Redakteurin @ Republik
·

Guten Tag Herr Bersagent. Natürlich, für Privatnutzer - oder allgemein- muss die Anwendung "ein Pain" gewesen sein. Auch das mit den ursprünglichen Gebühren von ursprünglich 160 Franken war ziemlich verfehlt, dafür dass man sie damals vielleicht 1-2 Mal braucht (weil es damals noch keine Anwendungsmöglichkeiten und kein Ökosystem gab). Naef hat da sicher recht, wenn er sagt, die SuisseID sei kompliziert in der Handhabung gewesen und hätte ihnen mehr Probleme bereitet. Doch das Problem war, dass es ein wichtiges Arbeitsinstrument für die Unternehmenskunden gewesen war (Unterzeichnung von Dokumenten). Man versprach sehr viel (eine Ersatzlösung sei schnell parat), und es wurde wenig eingehalten.

9
/
0

Ich hatte zwei mal eine SuisseID. Mein Problem damit waren primär fehlende Einsatzmöglichkeiten: Ich konnte meine Steuern nicht damit abgeben, und für den Betreibungsregisterauszug brauche ich auch keine ID - es reicht bisher ein Onlineformular.

Die SuisseID war wohl - für Privatnutzer - im Konzept der Zeit voraus und in der Umsetzung suboptimal. Schade eigentlich.

11
/
0

Wie kommt man eigentlich dazu, dem Stimmbürger solchen Mist überhaupt anzudrehen? Aber wenn man es aus purem Geiz vermeidet, im IT-Bereich eigene Kompetenzen aufzubauen, schlägt natürlich die Stunde Dienstleister und Lobbyisten. Und die Kompetenz, die Angebote dann profund zu überprüfen, fehlt so natürlich auch. Das Resultat sind Fehlleistungen in Serie. Zeitungsartikel über das neueste sündhaft teure IT-Desaster bei der öffentlichen Hand nimmt man mittlerweile ja nur noch gelangweilt zur Kenntnis. Courant normal halt.

26
/
0
J. F.
· editiert

Wie in der Recherche gesagt wurde: Es geht konkret um den Schutz von Investitionen, welche private Firmen im Hinblick auf das neue E-ID Gesetz getätigt haben. Nicht nur Swiss Sign AG, sondern auch andere Firmen, z.B. auch eine Firma, welche das Produkt govy.swiss (Marke govy.swiss durch UPGREAT AG, Fehraltorf letztes Jahr eingetragen) bereits in einem Pilotbetrieb hat (https://govy.swiss/#section-8). Dieses Produkt ist direkt mit der Swiss Sign AG verknüpft, indem govy.swiss den SwissID Login einbindet (https://govy.swiss/#section-7).
Es geht also nicht in erster Linie darum, uns Bürger glücklich zu machen, sondern um solche Investitionen zu schützen.
Das ist legal. Auch legal und wichtig ist es, aufzuzeigen, worum es geht: Um Gewinnschancen nämlich, natürlich nicht um diejenigen der Stimmbürger...
Das Argument, dass bei Ablehnung des Gesetzes Arbeitsplätze verloren gehen würden, wirkt etwas deplaziert: Das oben erwähnte govy.swiss Produkt soll nämlich (siehe https://govy.swiss/#section-4) die Mitarbeiter der Verwaltung 'entlasten', im Idealfall wohl obsolet machen, denn das Produkt govy.swiss wird ja nicht gratis abgegeben.
Ich kann das Engagement der Investoren für die E-ID sehr gut verstehen, dies darf aber auf meine Meinungsbildung nicht direkt Einfluss haben, denn die Frage ist: Ist die E-ID in der vorliegenden Form so aufgesetzt, dass wir sie staatlich mit einem Gesetz absegnen wollen? Für mich nicht.

25
/
2

Was mir in dieser Hinsicht mehr Sorgen macht als die vielleicht nicht so optimalen Kompetenzen des zu erwartenden Marktführers ist dass das Gesetz diese Anbieter auch mehr oder weniger von jeglicher Haftung befreit, wann immer etwas schief gehen wird. Oder verstehe ich das falsch?

19
/
0
M. S. L.
Informatikingenieur ETH
·

Für den Zahlungsverkehr genügt es, dass die Post/ Bank sich mir gegenüber authentifizieren kann per Zertifikat, ich authentifiziere mich typischerweise per Karte/PIN/TAN dreifach. So alle paar Jahre gibt es aus Sicherheitsgründen neue Karten und Zertifikate. Wird auch mit einer E-ID so sein - selbst wenn die E-ID Zahl die selbe bleiben sollte.

Selbst wenn die Implementierung massentauglich sein sollte, bleiben Prozesse, die es möglicherweise noch nicht sind oder deren Kosten normale Benutzende möglicherweise massiv unterschätzen. Mein toller Swiss Pass (die rote Karte, mit der ein GA verknüpft werden kann, nicht der Schweizer Pass), ist nur ein paar Jahre gültig. Wenn ich nun aber mit einer solchen Karte einen Vertrag signiere, der lange gültig sein soll, kann ich die Karte dann zurückgeben und der Vertrag bleibt gültig? Sichere Aufbewahrung von öffentlich zugänglicher digitaler Information ist nicht gratis - die Kosten sind Grössenordnungen über denen des Speicherplatzes. Seit zwanzig Jahren wird versucht, in der Schweiz digitale ID oder Signatur kommerziell zu etablieren. Ist immer noch kein Massenprodukt.

16
/
0

Der Teil des Zertifikatmanagements ist ein sogenannter Zeitstempel vom Zertifikatherausgeber: Wenn eine digitale Unterschrift erzeugt wird, enthält diese eine präzise Zeitangabe, die nicht vom lokalen Gerät, sondern vom Herausgeber geliefert wird. Damit ist auch nachträglich die Gültigkeit der Unterschrift noch garantiert, wenn das eigentlich dafür benutzte Zertifikat schon längst abgelaufen ist.

Aber klar, dafür braucht es Infrastruktur. Ist aber soo aufwändig auch nicht, eine PKI Infrastruktur zu betreiben ist fast schon Wald-und-Wiesen-Technologie.

0
/
1
M. S. L.
Informatikingenieur ETH
·
· editiert

Wir reden hier nicht von Firmendomains, wo ein Zertifikat oder eine ID ein paar Jahre gültig sind und sich die Kosten dafür über Hunderte bis Millionen Transaktionen verteilen. Dann sind Aufwand und Kosten in einem anderen Verhältnis. Ist wie beim Wasser-und Stromzähler: Kosten konstant, wer mehr davon verbraucht, hat es pro Einheit billiger.

[edit]
Nach Artikel 14.4 des Gesetzestexts werden meine Daten vernichtet, wenn der Zertifikats-Anbieter Konkurs macht, und ich keiner Uebernahme durch einen anderen Anbieter zustimme. Sollte ich mit einer E-ID eine Transaktion getaetigt haben, die noch immer ueberpruefbar sein sollte, habe ich schlicht keine Wahl. Gleich werd ich ein bisschen polemisch gegen Herrn Wilhelm oben: Schon fast Wald-und-Wiesen-Technologie. [/edit]

5
/
0

Falls jemand Zertifikate (wie die von Swiss Sign, im Artikel unter "Certification Authorities" erwähnt) gratis haben möchte, oder sich nicht mit Swiss Sign abgeben möchte, kann man sich relativ einfach bei letsencrypt.org durchklicken.

Dahinter steht die "Internet Security Research Group", eine "public benefit coroporation" die spendenbasiert finanziert ist.
2013 gegründet von Mozilla (-> Firefox-Browser etc.), der Electronic Frontier Foundation (->Nonprofit die zivile Freiheiten in der digitalen Welt verteidigt), die Universität von Michigan, Cisco (-> Kommunikationselektronik-Hersteller, Webex) und Akamai (-> Content delivery network).

5
/
0

Wir nutzen die Swiss Sign Zertifikate geschäftlich für unsere SSL Zertifikate. Wir waren eigentlich überrascht über den unkomplizierten Ablauf und v.a. über die kommerziell durchaus attraktiven Angebote. Nach einer Probephase sind wir nun daran, alle Zertifikate zu Swiss Sign zu migrieren und einen internationalen Anbieter abzulösen. Aber ja, alles scheint da nicht im Reinen zu sein...

7
/
4
E. M.
Kulturkritiker
·

Zitat

Ein Artikel des Technologiemagazins ZDNet vom 13. Oktober 2019 kommt zu einem vernichtenden Urteil: Gemäss einer Studie gehören Swiss Sign und Quo Vadis zu den weltweit problematischsten sogenannten Certification Authorities.

Das bedeutet: Sie stellen falsche oder fehlerhafte SSL-Zertifikate für die verschiedenen Internet-Browser aus, weil diese nicht den Standards der Browser­hersteller Chrome, Mozilla und Edge entsprechen. Oft handelte es sich um Kleinigkeiten wie falsch geschriebene Kantons­namen, teilweise wurden aber auch kritischere Elemente falsch definiert.

Fragen

Abgesehen von der falschen Verwendung des Konditionalsatzes und dem konsequenten Falschschreiben des Namens der Glattbrugger Firma: Wo liegen die Firmensitze der Browser­-Hersteller Chrome, Mozilla und Edge? Wie heissen die Verantwortlichen Führungsfiguren dieser angeblichen Browser-Hersteller? Was sind diese ominösen Standards, welche sie festlegen?

0
/
1

Ohne Standards wäre es mit der Sicherheit im Internet, ja sogar mit dem Internet an sich, nicht weit her: Wenn für jede Webseite andere Zugriffsprotokolle und andere Sicherheitsmechanismen zur Authentisierung (bin ich mit der richtigen Webseite verbunden?) und Verschlüsselung (kann niemand mitlesen?) verwendet werden müssten, wären Browser einiges grösser, komplexer und fehleranfälliger als heute (so es sie überhaupt geben würde).

Das CABForum (https://cabforum.org/) ist ein Zusammenschluss von Zertifizierungsstellen (wie zB Swiss Sign, Let's Encrypt, DigiCert etc) und Webbrowser-Herstellern (Google, Apple, Opera, Mozilla/Firefox etc) welcher mit den sogenannten Baseline Requirements (https://cabforum.org/baseline-requirements/) die Mindestanforderungen an Zertifizierungsstellen definieren. Nur Zertifikate von Zertifizierungsstellen welche diese Baseline Requirements erfüllen werden von den Browsern als vertrauenswürdig eingestuft. Je nach Sicherheitseinstellungen im Browser sind dann Zugriffe zu Webseiten mit nicht vertrauenswürdigen Zertifikaten gar nicht oder nur nach einer Warnung möglich.

Um ein praktisches Beispiel zu nehmen: Ob www.postfinance.ch wirklich die Webseite der PostFinance ist, lässt sich rein aus der URL nicht ableiten. Die Zertifizierungsstelle überprüft beim Ausstellen eines Zertifikats dass die Webseite effektiv der PostFinance gehört und hält dies im Zertifikat selbst fest. Diese Information kann man beim Websurfen im Browser anschauen, das Vertrauen in deren Korrektheit steht und fällt mit der Vertrauenswürdigkeit der Zertifizierungsstelle.

2
/
0
E. M.
Kulturkritiker
·

hallo Patrick. leider hat Dein Kommentar nichts mit den von mir monierten Fehlern zu tun. er wiederholt allseits bekannte Tatsachen. auch die falsche Schreibung der Glattbrugger rsp. Opfikoner Firma wiederholt er. die Standards X.509 und TLS wurden übrigens nicht von sogenannten Browser-Herstellern definiert. dass die SwissSign AG jahrelang eine inkompetente ostdeutsche Flugzeugtechnikerin zu den CABForumstreffen geschickt hat, der auch laufend handwerkliche Fehler beim Ausstellen von Premium-Zertifikaten unterlaufen sind, hat die Sitation natürlich nicht verbessert. generell ist der Arrtikel für mich oberflächlich, nebensächlich und sprachlich fragwürdig. freundliche Grüsse, Eduard

0
/
0

Fürs Lektorat: Doch deren Umsetzung bei der Swiss ID entspricht entspricht noch nicht dem hohen Sicherheits­niveau der alten Suisse ID.

3
/
1
Adrienne Fichter
Redakteurin @ Republik
·

Merci, wird korrigiert!

0
/
0

Das ist dann wohl ein Schiffbruch.
Erschreckend, welches Image die Firma teilweise hat.
Meine SuisseID sei noch bis Ende 2022 gültig. Auf der Webseite steht Ende 2021. Mal schauen, was am Ende stimmt. Ich hätte vermutet, das Zertifikatsablaufdatum zählt.
Ich glaube ich werde dann ein Grab für den Stick machen.

0
/
0
(durch User zurückgezogen)

WARUM erscheinen die aktuellen BIT Root-Zertifikate (CA 1..4 + E) ALLE NICHT vertrauenswürdig !?!
Dagegen sind z.B. die CA Root-Zertifikate der Swisscom, der UBS etc. vertrauenswürdig.

0
/
0
seit 2018

Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz

kontakt@republik.ch
Medieninformationen

Der Republik Code ist Open Source