Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!

DatenschutzFAQErste-Hilfe-Team: kontakt@republik.ch.



Schon fast die Hälfte der Schweizer Bevölkerung hat eine SwissID (fast 3 Mio. Kunden). Es geht in dieser Abstimmung also gar nicht mehr darum, ob wir ein privates Angebot zulassen wollen, sondern nur darum, ob der Staat diese private Lösung regulieren soll. Diese Lösung kommt respektive ist schon längstens da, auch wenn wir das E-ID Gesetz ablehnen. Es wird dann einfach ein rein privatwirtschaftliches Login sein, keine staatlich anerkannte E-ID. Wenn jemand zweifelt, dann soll er nochmals gut betrachten, welche Unternehmen schon in der SwissSign Group vereint sind. Deren Marktmacht ist erdrückend. Ist das fair? Ist das ideal? Ist das die schöne Welt? Es ist egal, denn es ist ein Faktum.

Bei einem Nein kann der Staat die folgenden Dinge nicht mehr regulieren:

  • Keine Vorgaben, was die Unternehmen mit den Daten der Kunden machen
    dürfen. Die Daten werden dem Unternehmen gehören und von diesem beliebig
    ausgewertet und weiterverwendet werden können.

  • Keine Vorgaben bezüglich Interoperabilität der Schnittstellen: Die de facto Monopolistin wird ihr System mit proprietären Schnittstellen versehen und damit anderen IdP-Lösungen den Markteintritt verwehren.

  • Keine Integration mehr in eGovernment: Staatliche Dienstleistungen wie Betreibungsregisterauszug, Strafregisterauszug, usw. werden mit der SwissID nicht bezogen werden können.

Sollte bei Ablehung dereinst eine staatliche Login Variante kommen (nach zig Jahren, weil die Lobbyisten im Parlament dieselben sind, die die SwissSign Group vertreten), dann werden die Webshops und Banken und Telcos und SBB und Post und Versicherungen die SwissID schon dermassen durchgesetzt und etabliert haben, dass kein Hahn mehr nach dem staatlichen Login schreit.

3
/
1

Ergänzung: Der Bund - also wir Bürger - kann bei einem NEIN auch nicht mehr verhindern, dass die SwissSignGroup an einen ausländischen Investor verkauft wird.
Momentan ist der Bund direkt und indirekt über Post und SBB an der SwissSign Group beteiligt und in diesem Sinne nicht nur über das Gesetz und die Verordnung sondern auch durch die finanzielle Beteiligung indirekt weisungsbefugt und bei einem drohenden Verkauf vetoberechtigt.
Ob diese Form der Finanzierung und Einflussnahme des Bundes bei einem mit einem NEIN einhergehenden Bundes-Alleingang im Stil des SuisseID-Millionen-Fails so bleiben wird, mag ich stark bezweifeln.

3
/
2
Software Ingenieur
·
· editiert

Danke René Baron und A. W.. Nachdem ich nun den ganzen Kommentarthread durchgelesen habe, haben Ihre Voten für mich den Ausschlag für meine Stimme bei der Abstimmung gegeben, ich war bis jetzt sehr hin- und her gerissen.

Ich bin als Software Ingenieur schon oft mit Sicherheits- und ID Technologien in Kontakt gekommen und ich bin eigentlich kritisch eingestellt, weiss aber auch wie extrem schwierig und komplex das Thema ist, vor allem bei der Umsetzung der Details.

Mir gefällt die Vorstellung auch nicht, dass quasi-staatliches ID Management von Privaten und nicht vom Staat erbracht wird. Aber gleichzeitig sehe ich auch täglich, wie der Bund unfähig ist, pragmatische und minimale Lösungen zu bauen. Ich habe null Vertrauen, dass hier eine sichere und stabile, sowie zukunftssichere Lösung entstehen könnte. Ich bin einig: bis das politisch entschieden, reguliert, besprochen und vernehmlasst und referendiert ist, ist der Zug längst abgefahren und am Markt ist der Mist schon geführt.

Besser jetzt einen Quasi-Standard adoptieren und da noch Einfluss nehmen und Bedingungen diktieren.

Ich glaube zudem, dass die im Artikel geäusserte Angst, dass die IdP dann "alles" wissen, und dieses Wissen zu Geld machen, etwas übertrieben ist.

Für ein ID Management werden relativ wenig Daten ausgetauscht, bei schlecht designten Redirect URIs mehr, aber nicht prinzipiell. Was klar ist: der IdP weiss, wo die ID eingesetzt wurde (zB. bei welcher Behörde, beim Arzt, beim Online Einkauf), und das ist natürlich schon viel (wie wir wissen, sind auch bei End-to-End verschlüsselter Kommunikation wie Whatsapp die Metadaten wie Sender, Empfänger, Zeit, Dauer) die halbe Miete. Ich habe deshalb schon vor langer Zeit aufgehört "Login mit Google" etc. zu nutzen.

Selbstverständlich sind derartig zentral gelagerte Daten ein Honeypot. Aber das ist ein grundsätzliches Problem der Digitalisierung, und nicht davon, wer es umsetzt. Ich hätte, abgesehen davon, mehr Angst um meine Daten beim Bund als bei einem privaten (nicht bezüglich Missbrauch, aber bezüglich Sicherheit)

2
/
2

Ich verstehe das Theater um den Datenschutz einfach nicht. Wir alle geben im Internet bereits heute derart viele Daten preis, dass das ganze doch keine Rolle spielt. Und sowieso: Der Datenschutz degeneriert ja sowieso immer mehr zum Verbrecherschutz. Es wäre an der Zeit, das Datenschutzgesetz einmal unter dieser Perspektive unter die Lupe zu nehmen. wir haben ja jetzt genügend Erfahrung damit.

5
/
59

Unnötige Datenanhäufungen bieten eine grosse Angriffsfläche für Missbrauch und Verbrechen.

Wer die praktische Alltagsrealität von IT Systemen auch nur ein bisschen von innen kennt, weiss, dass diese beim besten Willen nie wirklich sicher sein können, je komplexer, desto wahrscheinlicher gibt es Lücken.

Die einzige Strategie, diese Risiken zu minimieren, ist strikte Datensparsamkeit (keine Daten entstehen lassen, die es für den eigentlichen Zweck nicht braucht) und Reduktion der Komplexität. Leider ist die geplante E-ID in beiden Punkten das Gegenteil: zentrale Datenhaltung und, wie der Artikel ausführt, zusätzliche Komplexität und Datenaustausch wegen der Interoperabilität.

Eine E-ID basierend auf einer Smartcard käme dem Ziel einer sicheren elektronischen Identität viel näher. Wenn die Identität in der Karte steckt, und nicht zentral gelagert werden muss, ist auch die Interoperabilität einfacher zu lösen.

Deshalb - die vorliegende E-ID ist m.E. einfach keine gute Systemarchitektur für das zu lösende Problem. Ich möchte eine E-ID, aber eine besser konzipierte!

58
/
0

Die Verordnung welche Theme wie Datensparsamkeit definiert, wird erst nach der Abstimmung publiziert. Dann wird man ein gutes Jahr haben um sich für die technisch beste, machbare Lösung zu entscheiden.
Das E-ID Gesetz verbaut da nichts und lässt sich alle Optionen offen im vollen Bewusstsein dass die technische Lösung keine einmalige Sache ist, sondern ein permanenter Wettlauf im Kontext neuster technischer Möglichkeiten, Bedrohungslagen, etc.

2
/
3

Der Datenschutz kommt uns allen zugute, unabhängig vom Hintergrund. Hättest Du wirklich Interesse daran, deine Steuerdaten, dein Abstimmverhalten, die Liste deiner letzten Sexpartnern und deren Einschätzung deiner diesbezüglichen Fähigkeiten etc. usw. offen zugänglich und diskutiert zu haben? Oder bist Du effektiv daran interessiert, von der Polizei verhört zu werden weil Du zwei Tage vor einem Mord im Baucenter ein Werkzeug gekauft hast welches der Tatwaffe ähnelt? Und sind Dinge wie die Fichenaffäre schon zu lange her um noch im Bewusstsein zu sein?

Kommt dazu dass ich schlussendlich freiwillig bei Facebook, Twitter etc meine Daten und Ansichten preisgebe. Diese Freiwilligkeit ist bei einer eID nicht gegeben, da bin ich zur Nutzung gezwungen wenn ich nicht signifikante Nachteile in Kauf nehmen will. Da kann und muss man erhöhte Anforderungen an den Datenschutz stellen.

51
/
1

Das scheint mir der entscheidende Punkt zu sein: Die Freiwilligkeit, die auch das Aussteigen bei schlechten Erfahrungen ermöglicht. Die Post - offenbar Mitglied der Swiss ID Gruppe - erlaubt schon heute bei ihren online-Dienstleistungen wie z.B. "Post zurückbehalten während den Ferien" nur noch das Einloggen mit Swiss ID. Von Freiwilligkeit keine Spur, es bleibt nur das physische Vorbeigehen am Postschalter (sofern es diesen noch gibt).

36
/
1

Ich habe mit keinem Wort gesagt, dass man den Datenschutz abschaffen soll. Oder finden Sie es sinnvoll, wenn Pädophile sich weiterhin für Tätigkeiten mit Kindern bewerben können und Schulbehörden, die diese Person genau wegen Missbrauchs von Kindern entlassen haben dies aber der nächsten Schulbehörde nicht weitersagen dürfen? Das kann es doch nicht sein.
Aber das hat zugegebenermassen nichts mit der E-ID zu tun, die ja freiwillig ist! Wer sie nicht benutzen will, soll doch weiter mit Seiten von Passwörtern im Netz herumkutschieren. Ich sehe das Problem nach wie vor nicht.

1
/
32

Wir sind uns aber schon bewusst dass wir damit schon sehr weit vom eigentlichen Thema weg sind. Mindestens für das E-ID Gesetz ist der Datenschutz mit dem Datenschutzgesetz geregelt. Wenn wir auch dieses wieder in Frage stellen, kommen wir nirgends hin.

2
/
3

Wir alle geben im Internet bereits heute derart viele Daten preis, dass das ganze doch keine Rolle spielt.

Es spielt eben umso mehr eine Rolle. Je später wir versuchen, die Datenhoheit über unsere Daten zurückzuerlangen, desto schwieriger wird es. Wer aufgibt, akzeptiert einen totalen Überwachungsstaat (nur sind es dann gewinnorientierte Unternehmen und nicht der Staat).

46
/
0

Vom Staat erwarte ich, dass er seinen Pflichten, seine Bewohner zu schützen, nachkommt. Von Facebook kann ich nichts Besseres erwarten, als dass sie mich (datentechnisch) ausweiden um auch noch das kleinste Bisschen Profit aus meinen Überresten rauszupressen. Das ist ein Unterschied!

46
/
0

Man darf nicht nur erwarten. Man sollte sich auch einlesen wie der Staat das GENAU macht. Das Ziel ist größtmögliche Sicherheit für alle, und die ist im permanenten Wettbewerb um die technisch beste Lösung weit eher gegeben als ein Bundesmonopol, welches bei jeder Verbesserung wieder parlamentarische Hürden durchlaufen muss.

2
/
6

Lieber Herr C. Der Fehler liegt bei den zwei ersten Worten des zweiten Satzes: "Wir alle...". Eben nicht.

20
/
0
Bruno Bucher
Suuri Läberli gefällig?
·

Mit dem Zeigfinger auf den sinomarxistischen Überwachungsstaat zeigen und dann so argumentieren...

4
/
0

???????? Bitte Klartext, danke!

3
/
2

Bei der E-ID geht es nicht primär um Datenschutz sondern um die Garantie gegenüber ihrem Dienstleister dass sie tatsächlich der sind, den sie vorgeben zu sein. Es geht um Identitätsschutz. Das sind zwei verschiedene Dinge, auch wenn sie miteinander sehr eng verflochten sind.
Wenn jemand ihre Bank hackt, spielt es keine Rolle womit sie sich bei ihr anmelden.
Hingegen spielt es eine Rolle wenn jemand ihr Google oder eMail Konto hackt und sich damit Zugang zu ihrer Bank verschafft um ihr Konto leer zu räumen.
Die E-ID zu hacken wird erstens weit schwieriger sein und zweitens würde man - im Gegensatz zu FB und Co. - schnell merken dass dieselbe E-ID von verschiedenen Personen verwendet wird.

1
/
3
Bruno Bucher
Suuri Läberli gefällig?
·

Genau wegen solcher Recherchen habe ich auch dieses Jahr die Republik wieder unterstützt. Danke!

43
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Das freut mich sehr, merci!

7
/
0

Diese Recherchen kann man auch als Privater machen. Noch besser - man verfolgt die parlamentarischen Debatten auf https://www.parlament.ch/de/ratsbet…uria-vista.
Würde ich auch gerne Frau Fiechter empfehlen.
Damit müsste sie nicht nur auf Grund eines gedrafteten Vorschlags wilde Spekulationen anstellen, sondern sähe die Dinge im praktischen Zusammenhang und den Grössenordnungen in der die Realität der zeitnah UMSETZBAREN spielt.

2
/
8

Man überlege gut: SwissSign, ein Konsortium von Banken, Versicherungen, Swisscom, SBB und Post. Die meisten dieser Firmen sind schon heute "Datensauger" und bilden als Gemeinschaft nichts anderes als ein Monopol.
Es ist einfach: Wer in Zukunft auf die unabdingbaren Dienstleistungen dieser Unternehmen angewiesen sein wird, wird schon erfahren, wie er sich anzumelden hat. Eine leise Vorahnung hat man heute schon beim Umgang mit den drei ehemaligen Staatsbetrieben. Dann sind wir nicht mehr sehr weit von den chinesischen Zuständen entfernt;…..und dies alles mit dem Segen einer Regierung, die die Interessen des Volkes (Konsumenten) erst an zweiter Stelle berücksichtigt!

28
/
0

Die Grossen Anbieter (Banken, Versicherungen, Krankenkassen, Post, SBB, etc.) setzen heute auf die durch die SwissSign Group in Zusammenarbeit mit dem Bund herausgegebene SwissID und werden das auch in Zukunft tun. Immerhin reden wir hier von bereits 1.7 Mio Nutzern.
Mit einem JA zum E-ID Gesetzt bestände nun die Chance die SwissSign weiter unten der Führung und der Kontrolle des Bundes zu halten. Bei einem Nein wäre das offen: wohl verstanden, wir reden nicht vom Status Quo wo die Swisssign dem Bund untersteht, sondern davon, dass dieser Status Quo bei einem Nein neu verhandelt werden müsste und im schlimmsten Fall die SwissSign mit ihren 1.7 Mio Registrierten der Bundeskontrolle entschlüpft und damit befreit von Gesetz und Bund mit den Daten machen könnte was sie will. Zudem könnte sie sich bei einem NEIN einem ausländischen Konzern zum Verkauf anbieten.
Die SwissID wird sich als deFacto Standard so oder so durchsetzen, weil die Leistungsträger nicht am Bund, sondern an Sicherheit interessiert sind - und zwar lieber gestern als morgen. Wenn der Bund dem Steuerzahler parallel zur SwissSign eine millionenteure Eigentwicklung zumutet, die der Bürger in seinem ganzen Leben keine 10 mal für eine Bundesinteraktion verwenden wird, wäre das etwas, was ich sofort mit einem Referendum bekämpfen würde.

3
/
4

Sicherheit? selig ist wer's glaubt!
Wo steckt das tolle e-Voting Projekt der Post?
Die SwissSign Group besitzt eine derartige Lobbymacht, da dreht sich alles einzig und alleine um (wie es G.,K. so schön sag) den Honigtopf.
Und Sie schreiben ja selbst weiter unten "Die lukrativen Honigtöpfe sind Facebook, Google, E-Mail- und Internetprovider". Aha…und wer ist den Swisscom?

3
/
1
ichfürchte...
·
· editiert

Liebe Republik, toll, dass Ihr hartnäckig dran bleibt! Ich fände es spannend, wenn Ihr mal einen Blick über die Grenze nach Österreich werfen könntet, dort scheint das Modell, welches in der Schweiz zur Abstimmung steht, längst umgesetzt zu sein. Ich haben den verlinkten Artikel im technischen Detail nicht verstanden und jetzt frage ich mich: hat man in Österreich bessere Mechanismen für den Datenschutz gefunden oder letzeren halt über Bord geworfen (so, wie wir es vermutlich an der nächsten Abstimmung tun werden)?

13
/
0

Das System in Österreich hat, wie im verlinkten Artikel gut beschrieben ist, diverse datenschutzmässige Schwächen.

Interessant finde ich allerdings den Umgang mit der Bürgernummer

Eine "Stammzahl" genannte Identifikationsnummer des Bürgers wird ausschließlich in der Bürgerkarte gespeichert und bleibt geheim. Identifiziert er sich gegenüber einer Behörde, wird aus der Stammzahl ein "bereichsspezifisches Personenkennzeichen" (bPK) abgeleitet, aus dem sich die Stammzahl nicht zurückerrechnen lässt.

Davon könnte sich die Bundesverwaltung, die ja darauf hinarbeitet, die AHV-Nummer als generelle Bürgeridentifikation zu etablieren, noch ein Stückchen abschneiden. Da das Buzzword "Datenschutz by Design" ja schon Eingang in den Wortschatz gefunden hat, könnte man hier gleich noch den Tatbeweis dazu erbringen (die Hoffnung stirbt zuletzt).

24
/
0

Und wie kommen die Daten von der BürgerKarte (Chip?) aufs Handy oder den PC? Ich muss gestehen, ich kenne das Oesi-System nicht. Just curious.

0
/
1
Adrienne Fichter
Redakteurin @ Republik
·

Guten Tag. Österreich hat eine staatliche eID, die Handy-Signaturm davor Bürgerkarte. Das Gegenteil also von dem, was die Schweiz anstrebt. Es ist eine breit akzeptierte Lösung, in der der Staat viel investiert hatte. Ich werde das Thema im nächsten Text noch genauer ausführen.

18
/
0
ichfürchte...
·

Danke, freue mich!

1
/
0
· editiert

«Die dabei anfallenden Nutzungs­daten unterstehen den strikten Vorgaben des E-ID-Gesetzes.»

Services, die die Benutzenden tatsächlich respektieren stellen zunächst einmal sicher, dass sie selbst keinen Zugang zu den Nutzungsdaten haben und dass sie selbst nicht in der Lage sind, Identitäten zu fälschen. Es ist gar nicht wichtig, was diese "strikten Vorgaben" sind, man wird hier von Beginn an hintergangen.

23
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Dem stimme ich 100% zu.

8
/
0

Ich habe Dutzende verschiedene Logins, alle mit verschiedenen Passworten, weil ich genau das im Artikel beschriebene Zusammenhängen meiner verschiedenen Aktivitäten nicht will. Dank dem Artikel weiss ich, dass ich so weitermachen werde und gewiss keine SwissID will. (Allerdings machte mich schon misstrauisch, dass die ID ein Projekt von BR KKS ist.)

So weit so gut. Gestern teilte mir aber Frau Google mit, dass mein Einmalkonto bei GMX gehackt worden sei. (Ich hatte das Konto vor Längerem für eine anonyme Anmeldung erstellt.) Nun frage ich mich, woher Frau Google weiss, dass ich ein GMX-Konto habe. Es ist halt doch so, dass auch Paranoide verfolgt werden.

25
/
2
Simplicissimus
·

Mit Verlaub, das Ding ist doch ein riesiger Honigtopf und ich sehe schon die fleissigen Hackerbienchen darum herum summen. Kommt noch dazu, dass es sich bei einem hohen Austauschaufkommen der Anbieter untereinander dann im Erfolgsfall auch so richtig lohnt. Obendrein ohne verbindliche Verpflichtung alternative Authentifizierungsmethoden anzubieten, Überwachungskapitalismus at its best!

22
/
0

Die lukrativen Honigtöpfe sind Facebook, Google, E-Mail- und Internetprovider. Im Vergleich zum IdP haben diese viel mehr verwertbare Daten. Außerdem basieren die Geschäftsmodelle dieser TechCorps auf Daten. Das Geschäftsmodell der IdP beruht auf dem Verkauf von Sicherheit(stechnologie).
Der Denkfehler liegt dort, wo man man einen staatlich kontrollierten IdP mit Facebook und Co. gleichzusetzen beginnt. Da hat man wirklich noch nicht viel verstanden.
Bei einem Hacker ist davon auszugehen, dass er oder sie das Geschäftsmodell der IdPs verstanden hat, und deshalb auch versteht, dass bei den IdPs im Vergleich zu den Transaktionsdaten einer Bank, Versicherung, etc. bez. der Daten nichts zu holen ist, was vermarktbar wäre.
Klar, gibt es noch x-andere Gründe einen IdP zu hacken - wohl aber kaum um mit gehackten IdP-Daten Geld zu verdienen.

4
/
3
Informatiker
·

Mir gehts ähnlich wie Herr C.: warum der Tamtam?
Was im Artikel beschrieben wird, ist der ganz alltägliche Mechanismus der "federated Authentication" mit dem ein Identitätsprovider von einem anderen Identitätsprovider um Identifikation und mehr oder weniger Profildaten zu einer sich anmeldenden Person fragen kann - und wenn beide Identitätsprovider die Hausaufgaben gemacht haben, bekommt der Fragende auch eine Antwort.
Dies funktioniert schon viele Jahre im Netz der Fachhochschulen und in praktisch allen privaten Firmennetzen wie bei Amazon oder im Intenet Shop der SBB wird auch automatisiert als SSO (Single Sign-On, nur ein einziges Login für zig Systeme - oder Ländergesellschaften) eingesetzt.
Neu ist eine derartige Funktion im behördlichen Umfeld ja auch nicht, die einzige Novität ist dass man sich damit rechtlich bindend identifizieren können soll. Umd zwar, ohne vorgängig AGBs zu akzeptieren.
Weil ich guten Einblick in die Mechanismen und verwendeten Protokolle habe, bin ich sogar geneigt, der E-Id zuzutrauen, dass sie hält was sie verspricht, gleichzeitig renne auch ich ständig den neuesten Updates nach, um täglich neu entdeckte Angriffsvektoren auf meine Software oder dem darunter liegenden Betriebssystem, also Löcher in der Schutzmauer, wieder zu stopfen.
Mit der E-Id handelt sich jeder Anbieter ein Heer von Hackern ein, die es auf ein sehr lohnendes Ziel abgesehen haben: unsere digitale Identität. Es ist wohl nur eine Frage der Zeit bis einem Angreifer der Coup gelingt.
Das ist es, was mich lange zögern lassen wird, mir eine E-Id anzutun.

14
/
7

Ja genau, das ist der alltägliche Vorgang im Internet, und auch dort weigere ich mich, Google, Microsoft, Facebook oder Apple als Login-Provider zu verwenden, weil es sich um private Anbieter mit privater Agenda handelt, die erstens nichts darüber zu wissen brauchen, auf welchen Websites ich mich sonst tummle, und zweitens will ich mich nicht von so einem kommerziellen Anbieter abhängig machen. Bei einem staatlichen Provider ohne kommerzielle Interessen könnte ich mich dagegen auf eine Abhängigkeit einlassen.

24
/
2

Soll der Staat dann auch gleich DNS liefern? Dort liegt das Wissen über Ihr Treiben, aber da haben Sie hoffentlich nicht den Default Ihres ISP gelassen, oder? Die E-ID bringt im Unterschied zu heute eine staatliche Kontrolle der Anbieter. Und sonst können dann die Verweigerinnen schauen wielange es geht, bis sie zum Mitmachen nett aber sicher aufgefordert werden von der Post, den Telcos, den Banken.

2
/
10

Lieber Herr Moser,
Das sehe ich genau so wie Sie. Auch ich hätte gerne eine 100% Bundeslösung.
Leider kann ich ihnen, da der Sache als der Bund Lösungsanbieter selber nahestehend, versichern, dass die parlamentarischen Prozesse mit grosser Wahrscheinlichkeit keine Lösung vor 2025 zulassen werden. Wenn Sie wollen, kann ich das auch noch etwas ausführen.
Zudem ist ein (Bundes-)Monopol schlecht aufgestellt, wenn es darum geht agil und innovativ auf technologische Entwicklungen und neue Bedrohungslagen agieren zu können. Nur ein offener Wettbewerb außerhalb der parlamentarischen Prozesse kann immer die aktuell beste, machbare Lösung garantieren und zudem auch Startups und neuen Mitbewerben einen Platz bei der Verhandlung um das jeweilige Optimum gewährleisten.

3
/
6
Adrienne Fichter
Redakteurin @ Republik
·

Guten Tag Herr P., ich antworte kurz und knapp mit einer Aussage von Florian Forster, dem IT-Security-Experten und Spezialisten für Digitale Identitäten, der mich in dieser Recherche unterstützt hat.

Federation Authority als Konzept ist im Kontext von Firmen und Organisationen, die sich einen "Trust Kontext" teilen, eine gute Sache.

Aber für eine ist das Konzept eher E-ID ungeeignet, da weder datensparsam noch end-to-end vernünftig überprüfbar.

https://twitter.com/ffo_sesp/status…7397084163

7
/
0
Informatiker
·

Danke für Ihre Antwort Frau Fischer. Und verspätet auch danke für die gründliche Recherche. Habe schnell gemerkt, dass die Diskussion hier zwar am Rande auch technisch, vor Allem aber politisch ist.
Politisch kann ich nichts anderes als Ihnen zustimmen: ist das nun wirklich die richtige Lösung? Spielt uns der Föderalismus hier einen Streich?
Für meinen Teil kann ich nur sagen, dass ich einem Bundes-IdP, der ausschliesslich vom Bund betrieben würde, mehr vertrauen würde, mit meiner Anmeldung würde ich nach wie vor zögern.

3
/
0

Die mangelnde Vorschrift zur Datensparsamkeit erlaubt es einem Provider, innerhalb der 6 Monate alle möglichen Datenaggregationen durchzuführen. Wenn die 6 Monate um sind kann niemand verlangen, dass die aggregierten Daten gelöscht werden, da sie ja keinen Bezug mehr zum Benutzer haben.

Selbst bei einem Datensatz, der ein einzelnes Ereignis beschreibt, und bei dem der Bezug zum Nutzer ursprünglich vorhanden war, muss man nur die Referenz zum Nutzer löschen und man kann argumentieren, dass die Daten ja jetzt anonymisiert, also quasi „gelöscht“, seien. Hat man vorgängig Merkmale aus dem Nutzer-Datensatz wie z.B. Geschlecht, Alterskategorie, usw. übertragen, dann kann man den Ereignis-Datensatz sehr gut auch in Zukunft für weitere Auswertungen verwenden.

Wenn ich ein besonders skrupelloser Provider bin möchte ich vielleicht, dass auch nach dem Anonymisieren der Ereignis-Datensatz weiterhin eindeutig einer anonymen Identität zugeordnet bleibt, so dass ich maximal detaillierte Profile erstellen kann. Ich muss dazu lediglich ein eindeutiges Merkmal hinzufügen, das mit einer One-way-Funktion in dem Moment erzeugt wird, in dem der Benutzer die Identifikation durchführt und dem Provider dadurch die Erlaubnis für den Zugang zu den ID-Daten gibt. Z.B. ein Hash über den entschlüsselten Private Key, oder irgend sowas. Der Hash ist nicht rückverfolgbar, aber trotzdem eindeutig. Das Problem wäre natürlich, dass Ereignis-Datensätze, die noch verknüpft sind, ebenfalls den gleichen Hash hätten, wodurch die indirekte Verknüpfbarkeit trotzdem gewährleistet wäre. Der Hash müsste also anders sein bei verknüpften und unverknüpften Ereignis-Datensätzen. Ich bin ziemlich sicher, dass sich auch dafür eine Lösung finden wird, z.B. indem man im Moment des Anonymisierens eine zweite Hash-Funktion anwendet, die nicht mehr den entschlüsselten Private Key und damit auch nicht mehr die Zustimmung des Benutzers benötigt.

Alles nur so Gedankenspiele eines misstrauischen Bürgers.

23
/
2

Vielen Dank für die tollen Informationen zum E-ID-Gesetz. Ich sehe eine Differnez zwischen der Aussage im früheren Republik-Artikel (28.1.21), wo steht, dass die EU-Länder eine EU-Kompabilität erreichen müssen und der Aussage unten (Anonym 1), dass Österreich das Gleiche macht, wie die Schweizer Regierung es nun anstrebt. Was stimmt jetzt da?
Mich würde zudem interessieren, wie es in Schweden läuft, wo ja die «Personnumer» seit längerer Zeit schon eingeführt worden ist (https://skatteverket.se/privat/folk…18c29.html). Für mich ist absolut klar, dass es eine staatliche Lösung braucht, auch wenn das jetzt Geld und Zeit kostet. Ich möchte als Staatsbürger in eine möglichst sichere digitale Zukunft reisen, sie bringt noch Überraschungen genug...

15
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Vielen Dank fürs Feedback! Zu Österreich: Das Land hat eine staatliche eID, die Handy-Signaturm davor Bürgerkarte. Das Gegenteil also von dem, was die Schweiz anstrebt. Es ist eine breit akzeptierte Lösung, in der der Staat viel investiert hatte. Ich werde das Thema im nächsten Text noch genauer ausführen.

Zu Schweden: Hier herrscht ein etwas anderes Datenschutzverständnis, die Gesellschaft ist schon seit Lamgem ziemlich durchdigitalisiert und ja leider ist die eindeutige Personennummer der akzeptierte Standard (überall in Skandinavien, mit allen Vor- und Nachteilen). Ich weiss von Dänemark dass es eine ZwangseID gibt wie in Estland. Sprich: Ohne eID kommt man nicht weit in der Kommunikation mit Behörden. Ob das in Schweden auch der Fall ist, müsste ich noch herausfinden.

3
/
0

Vielleicht müsste man auch erwähnen, dass die Dänen und Esten laut Umfragen sehr happy sind mit der "ZwangsID" und stolz auf ihre durchgängigen, medienbruchfreien 24h Onlineservices sind, die wir, bei einem NEIN, in der Schweiz ohne national verbindliche E-ID für die nächsten 5 Jahre nicht mal in Angriff nehmen können. Das schwächt den Wirtschafts- und Innovationsstandort Schweiz genauso wie die Sicherheit des Schweizer Onlien-Bürgers und die Motivation von Behörden sich überhaupt mal mit durchgehenden Prozessen und der Zukunft zu beschäftigen.

2
/
6

Die Schweden haben ein ganz anderes Staatsverstaendnis. Sie sind eine andere Gesellschaft. Waehrend hier der Staat gefuehlt alles falsch macht und viel zu teuer ist, wird in Schweden fuer den Steuersatz von bis 65% gefühlt einiges geboten.

2
/
1

Um Skeptiker bezüglich E-ID zu beruhigen, hat Frau Keller-Sutter in verschiedenen Interviews betont: 'Die E-ID ist freiwillig, man muss keine haben, um künftig im Internet etwas zu bestellen. Onlinehändler müssen die Möglichkeit bieten, dass man ohne E-ID etwas bestellen kann. '
Für das Bestellen eines Fotobuches oder so wird das wohl stimmen. Aber das wäre eine sehr eingeschränkte Freiwilligkeit.
Die echte Freiwilligkeit wird schon im Vorfeld ausgehebelt: Auf post.ch wird man heute zur SwissID gedrängt, TrustId ist bei einer Krankenkasse schon bald zwingend für den Login (SwissSign Group, Herausgeber der SwissID und TrustId als Herausgeber der gleichnamigen ID sind Aspiranten, um als IdP für die E-ID zu fungieren).
Heisst: Wer heute (gezwungenermassen) solche IDs verwendet, findet sich dann bei Annahme des Gesetzes als Benutzer der E-ID wieder.
Was vorher immerhin datenmässig noch etwas separiert war (Annahme: SwissSign und TrustId verkaufen sich gegenseitig keine Daten und keine der beiden Firmen übernimmt die andere...), ist dann halt plötzlich zusammengeführt ('Interoperabilität' unter den IdP).
Wenn man das Gesetz annimmt, dann muss man sich von der Idee einer echten Freiwilligkeit bezüglich Verwendung der E-ID verabschieden (ausser man ist bereit, auf wichtige Services zu verzichten, z.B. ein Paket umzuleiten, eine Police auszudrucken, usw.). Wie man diesen Umstand wertet, ist jedem Einzelnen überlassen.
Echter Wettbewerb würde echte Freiwilligkeit ohne Einschränkungen bedeuten, was wiederum bedeuten würde, dass jeder Online Anbieter - um mit dabei zu sein - dann zwei Logins anbieten müsste: Einen via E-ID und einen davon separaten, eigenen Login... und das wird ja nun sicher nicht passieren, jedenfalls nicht flächendeckend.
Ich finde es deshalb etwas unfair, die Freiwilligkeit als Argument für die Annahme des E-ID Gesetzes zu gebrauchen.

14
/
1

Danke, Adrenne Fichter. Das ist für mich eine sehr gute Republik-Recherche.

10
/
0

Interessant. Dann braucht's also nur einen Schritt von mir zu meinem Glück als Datensammler. Als lokale Bibliothek eine eigene, mit der Beschriebenen, kompatible E-Id herausgeben, und die Daten absaugen. Und dann bekomme ich regelmässig welche Daten ? Wir werden sehen.
Interessant ist auch der andere Fall. Der moderne Benutzer möchte nicht seine elektronischen Spuren minimieren, sondern maximieren. Jeder Haendler, resp Webseitenbetreiber, darf dann also diese E=Id abfragen wenn er das Beduerftnis hat seinen Kunden zu identifizieren. Und die Datensammler zeichnen das alles auf. Ja, dann macht mal.

4
/
1

Nein, so wie ich das verstanden habe, erhält "lediglich" der E-ID-Dienstleister, welchen Sie für die Abwicklung des Identifikationsvorganges beauftragt haben, diese Datenflut. Sie als Bibliothekar haben nur sie Gewissheit, dass es sich bei der angemeldeten Person um Lena NachnamenVergessen handelt.

8
/
0

Die Anforderungen an IdPs sind im Gesetz festgelegt und relativ hoch, die lokale Bibliothek wird diese kaum erfüllen können. Sie wird eher einen Vertrag mit einem der IdPs abschliessen, alle Logins über diesen abwickeln und dabei diesem, wie im Artikel mit Lena Fischer beschrieben) Zugriff auf alle Logins gewähren (auch auf die welche über die eID eines anderen IdP laufen).

8
/
0

Ich bin mir nicht sicher wie hoch die Anforderungen sind. Irgendwelche Politiker koennen das gar nicht beurteilen. Wenn zuerst mal Schweizer, Schweiz, .. und dann nichts mehr kommt zweifle ich. Spaetestens als Drittes haette ich eine Offenlegung der Konzepte erwartet. Sonst wird wieder geheimes Drittwissen, wie beim e-voting der Post eingebaut, welches leider sehr geheim ist und auch bleiben muss. Bisher kam ernuechterd wenig Nebel aus der Richtung der Implementation. Eher im Sinne von .. wir sind's, wir koennen's, glaubt uns.

3
/
0

Das Bewerbungsverfahren als IdP ist sehr aufwendig und verlangt z.B. den Nachweis dass sie über die diesbezügliche Expertise und Erfahrung verfügen. Ausserdem kostet Sie der jährliche Bundesaudit eine runde Million.
Aber das ist noch Peanuts im Vergleich zum Markeetingbudget welches sie haben müssten, um überhaupt mal Bürger von der Ueberlegenheit ihrer Lösung zu überzeugen.
Und nein, als IdP ohne Kunden dürften sie weder vom Bund noch von ihren IdP Kollegen jemals Daten erhalten - denn am Anfang jeglicher E-ID relevanter Transaktion steht der Bürger. Ohne Bürger nichts los.
Also so ganz locker vom Hocker werden sie nicht IdP :-)

1
/
3

Das geht dann so.. wir sind die Post. Wir haben keinen Einzigen der etwas in dieser Richtung kann. Unsere Erfahrung basiert auf dem E-Voting wo wir uns mangels eigener Expertise von irgendwelchen Spaniern einen Muell andrehen liessen. Das ist ja beruhigend.

2
/
1

"Lena Fischer wird auf der E-Government-Website des Kantons Jura eine einheitliche E-ID-Maske antreffen. Sie wird dort aufgefordert, ihren Benutzer­namen (zum Beispiel Lena.Fischer@juraID) einzugeben. Obwohl sie beim Anbieter aus Schaffhausen registriert ist, übernimmt Swiss Sign ab diesem Zeitpunkt das Zepter. Der Daten­austausch mit Schaffhausen beginnt."

Das ist jetzt IMHO etwas sehr schwammig formuliert und sollte ein Bisschen technisch exakter formuliert werden, damit das auch nachvollziehbar ist. Eine Grafik würde auch helfen, die Mechanismen transparent zu machen.

4
/
1
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Grüezi Herr R. Ich muss die Dinge so formulieren, dass sie allgemein verständlich sind:-)

Gerne technisch:

SwissSign (der eID-Herausgeber für Jura) erfährt folgendes durch den Austausch mit dem Kanton Schaffhausen (der eID-Herausgeber von Lena Fischer):

  • ClientID (Die ID vom RP, also eGovernment Jura)

  • RedirectURI (Die URL wohin die Userin nach dem Anmelden gesendet wird... also im Fall von Jura Bildungsantragssite)

  • Login_hint (username)

8
/
1

Danke für die Ergänzung. Ihr/Dein Twitter Feed hat auch noch Klärung gebracht.

2
/
0

Liebe Adrienne
Die RedirectURI sollte natürlich nicht auf eine URI verweisen die Rückschlüsse über die Transaktion zulässt, sondern auf eine generische URI von der der Authentication-Prozess ausgegangen ist. Damit erhält ein IdP nie mehr als die URI dieser generischen Routing/Authentication-Seite die wiederum nur sagt um welche ClientID es sich handelt.
Wie Du im Artikel geschrieben hast, wäre eine URI die Rückschlüsse auf die Transaktion enthielte eine Fehlkonfiguration auf Seiten des Anbieters.
Jeder IdP könnte das erkennen und den Anbieter darauf hinweisen.
Ober er das das tut, ist dann natürlich offen, denn gem. Gesetz - soweit ich das überblicken kann - ist er dazu nicht verpflichtet.

2
/
2

Irgendwie ist auch noch nicht klar, worüber der Wettbewerb denn laufen soll. Also abgesehen davon, dass Wettbewerb automatisch gut sein muss, und für das Beste zum günstigsten Preis sorgt. Da der Konsument sich die E-ID aussucht, muss der Konsument umworben werden. Sollte ich diese Umwerbung jetzt schon vermissen ? Eine Einladung zum alljaehrlichen Grillfest ? Nach 100 Login's gibt's ein Tshirt ? Gratismeilen ?
Allenfalls gibt's auch eine Crowd gesourcete Alternativ ID, welche mir verspricht, die Daten nicht zu verwenden.

6
/
0

Bei der E-ID geht es primär und auschliesslich um Sicherheit. Das gilt auch für das Geschäftsmodell der IdPs, da ihnen bei einem JA nicht nur die Kommerzialisierung der Daten verboten wird, sondern diese zudem vom Bund jährlich geauditet werden (kostet den IdP rund eine Million pro Jahr).
Was dem IdP bleibt ist für Sicherheit zu sorgen.
Dafür erhält er von den Leistungsanbietern einen Teil der mit der E-ID vermiedenen Millionenverluste durch Identitätsbetrug.
Der Wettbewerb findet damit nicht nur über den Bürger statt, sondern viel mehr noch über die Leistungsanbieter welche den IdP wählen werden der ihnen die beste Sicherheit garantiert.
Damit ist jeder IdP angehalten, die momentan immer sicherste Lösung in guter Qualität und nachvollziehbarem Preis anzubieten. Er ist damit im Wettbewerb mit der Konkurrenz gezwungen, sich permanent und global nach den besten Lösungsansätzen umzusehen. Ausserdem haben so auch weiterhin Startups eine gute Chance mitzumischen, wenn sie eine Bank davon überzeugen können, dass diese mit der Startup-lösung sicherer fährt als mit der SwissSign.
Bei einem Bundesmonopol wäre dieser Forschungs- und Innovationsdruck nicht gegeben.
Außerdem wäre bei einem Bundesmonopol nicht geklärt, wer den Bund diesbezüglich beaufsichtigen soll und wie lange es dauern würde, bis Innovationen (= Veränderung umgesetzt werden, wenn diese immer wieder durch parlamentarische Prozesse verzögert würden.
Sicherheit ist eine Frage die permanent in Echtzeit umgesetzt werden muss.
Ein Bundesmonopol ist dazu nicht in er Lage. Und DAS ist nicht eine Frage der Technik, sondern der bundes-internen Organisationsstruktur.
Ein sich gegenseitig konkurrenzierender Verbund von IdPs hat im Hinblick auf real existierende Praxis die weit besseren Karten, uns auch zukünftig immer die Sicherheit zu schenken, die wir brauchen - als Bürger, als Wirtschaftsstandort und Vorbild für andere Nationen.

2
/
4

Und was für Konsequenzen hat das allenfalls für Auslandschweizer? Für fast 10% der schweiz. Bevölkerung.

4
/
0

Eine eID kann allen Schweizer:innen ausgestellt werden welche eine physische ID oder einen Pass haben, unabhängig vom Wohnort (und allen in CH lebenden Ausländer:innen). Wie das in der Praxis für die höheren Sicherheitsstufen dann funktionieren soll wird sich zeigen...

6
/
0

muchas gracias

2
/
0

Der Grund warum die Parlamente sich für einen Wettbewerb entschieden, sind nicht Daten sondern Sicherheit.
Frau Fiechter meint den Wettbewerb um Daten. Gerade diesen unterbinden wir mit einem JA zum E-ID-Gesetz, welches die Kommerzialisierung dieser Daten nicht nur auf dem Papier verbietet, sondern auch den Bund autorisierte, IdPs bei Verstössen sofort aus dem Verkehr zu nehmen.
Was bleibt ist ein Wettbewerb um grösstmögliche Sicherheit - nicht nur für den Bürger, sondern auch für die Leistungsanbieter die momentan jährlich Millionen durch Identitätsschwindel verlieren.
Diese Leistungserbringer werden den IdP wählen, der ihnen die grösste Sicherheit bietet und bezahlen ihn auch dafür. Aus Sicht des Leistungsanbieters ist es eher egal wer diese Leistung erbringt: Bund, Kanton, Stadt, Private, Startup - egal. Was zählt ist die sicherste Lösung.
Und diese Sicherheit ist keine einmalige Sache, sondern ein permanenter Wettstreit zwischen technologischen Neuerungen, Hackerskills und anderen Bedrohungslagen für deren Komplexität und Geschwindigkeit ein Monopol immer schlechter aufgestellt wäre als ein offener Wettbewerb bei welchem sich die global besten Experten um die jeweils bestmöglich zu bietende Sicherheit batteln.
Während es bei Daten um Reichweite geht bei der die SwissSiG. K.um mehr zuschlagen wäre, geht es beim Sicherheitswettbewerb um technischen Lösungen bei der auch ein Startup mit der durchbrechenden Idee einer SwissSign, aber nicht einem Bundesmonopol, den Schneid abkaufen könnte.
Im Wesentlichen geht es hier um die Grundzüge der neuen Trust-Economy und nicht um die alten, datenbasierten Geschäftsmodelle von Facebook und Co und damit um das alte, stereotype Denken von Medien und Bürgern die immer noch in alten Mustern denken.

5
/
6

Sie uebertreiben etwas. Mit einem gesicheren Login gewinnt ein Leistungserbringer wenig. Eine Bonitaet ist deswegen noch nicht abgeklaert. Wenn man als Anbieter auf der sicheren Seite stehen will kassiert man per Kreditkarte. Dann muss man schon nicht mehr mahnen und dem Geld nachrennen. Die Kreditkartenherausgeber haben mittlerweile mit 2 Faktor Authentifizierung die Sicherheit der Person.

0
/
2

Gestohlen aktuelle Kreditkartendaten kauft man sich im Darknet im Multi-Pack.
Außerdem wird es einen Grund haben, warum die in der SwissSignGroup zusammengefassen Anbieter den ganzen Zirkus sponsern - meinen sie nicht?
Lats but not least gibt es Dienste die eine Identitätsprüfung erfordern, ohne dass eine Kreditkarte hinterlegt ist - z.B. Behördengänge oder wenn mich mein Kunde für den Zugriff auf sein Netzwerk autorisieren muss, etc. etc.
Nicht alles Online ist Kommerz und die Welt da draussen ist ganz schön komplex und ev. noch etwas vielfältiger als sie im Moment grad überblicken :-)

5
/
2

Auch wenn ich die Details der estnischen Lösung leider nicht kenne, so kommt mir die Schweiz im Vergleich als Drittweltland vor. Lieber schwarz-weiss Faxe herumschicken und das Ruder der Wirtschaft (Grossunternehmen) in die Hand geben. Ein Armutszeugnis.

1
/
0

Es ist nicht ganz so schlimm, aber in unseren föderalen und direkt-demokratischen Strukturen einfach ein bitzeli komplizierter als in Ländern die das Referendum nicht kennen.
Nach dem gescheiterten SuisseID-Millionen-Fail des Bundes zu Lasten des Steuerzahlers, hat man sich - notabene unter Einbezug ALLER Parteien und Stakeholder - bereits vor Jahren zum kooperativen Vorgehensmodell entschlossen: Diese Form der Kooperation ist weltweit einmalig. Diese Einmaligkeit ist aber nicht der Innovation geschuldet, sondern entstammt dem Erfordernis unserer föderativen und direkt-demokratischen Prozesse und dem Wunsch, das gute Einvernehmen von Bund und Wirtschaft auch im Vorgehensmodell entsprechend abzubilden.
All dies war ein langer, basis-demokratischer, von allen Parteien mitgetragener und im Endeffekt sehr mühsamer Prozess, in dem viel Wissen, Erfahrung, Schweiz, Vernunft und das Gespür für das mehrheitsfähig Machbare eingeflossen ist.
Aus diesem Prozess ist die SwissSign-Group (übrigens früher im Besitz der Post und ein entsprechend staatsnaher Betrieb) entstanden, welche parallel zur parlamentarischen Langsamkeit die SwissID erfolgreich entwickeln und mit gut 2 Mio Registrierten gut im Markt verankern konnte.
DAS ist eine Leistung auf die wir alle stolz sein können.
Leider wird diese ganze Vorarbeit von Referendum weder respektiert noch bietet auch nur einer der Gegner eine konkreten Vorschlag wie es bei einem Nein weitergehen wird, wie die Alternative Lösung aussehen und wer genau sie umsetzen soll. Man killt einfach mal locker jahrelange basisdemokratische Arbeit, die man, ginge es wirklich um die Sache schon vor Jahren hätte stoppen können.
Noch trauriger als der Umstand dass das Referendum viel zu spät gute Arbeit torpediert, ist, dass die Gegner auf der Klaviatur von Ängsten und Veränderungsphobien reiten, ohne an etwas real Existierendes anzudocken. Die Argumentation der Gegner basiert mehrheitlich auf Hörensagen, Äpfel/Birnenvergleichen und Halbwahrheiten, Verwechslungen, falschen Annahmen, bis hin zum Teil sinnfreien Interpretationen von dem was im WorstCase auch noch möglich wäre.
Das ist weder lösungsorientiert noch basisdemokratisch, föderativ oder schweizerisch sondern ein Akt der Selbstprofilierung von Leuten, die hoffen durch das unreflektierte Reingrätschen vor der Ziellinie bei einem "Zurück auf Feld 1 " zu Wählerstimmen oder gar selber zum Handkuss zu kommen - egal was das den Innovations- und Wirtschaftsstandort Schweiz kosten wird!

5
/
3
Simplicissimus
·

Sind wir schon soweit, dass Basisdemokratisch „ ALLE Parteien und Stakeholder“ bedeutet? Basisdemokratisch heißt für mich immer noch „Einbeziehung des Bürgers“ (denn sie sind die Basis des Staates) was im vorliegenden Fall ja gerade eben passiert!

2
/
2

Die NZZ schildert sachlich was die E-ID ist.
Es wäre schön, wenn einiG. K.mmentarschreiber hier (Da es die Republik versäumt die Basics zu erklären), sich mindestens auf dieser Detaillierungsstufe einlesen würden, bevor sie sich eine abschließende Meinung und entsprechende Kommentare zutrauen.
https://www.nzz.ch/amp/technologie/…ld.1600702.
Darin wird auch aufgezeigt dass ein Bürger mit einer E-ID von A, der sich bei einem Anbieter einloggt der den E-ID Service von B bezieht, zwischen A und B KEINE Personen-Daten ausgetauscht werden, sondern die Anfrage von B an A zur Abklärung zurückgegeben wird. B vertraut A ohne dass A die Personendaten an B übermitteln muss.
Die wilde Spekulation von Frau Fiechter dass sämtliche IdPs über identische Datensätze verfügen müssen, ist reine Vermutung, die sich weder durch die von Frau Fiechter veröffentlichten Dokumente noch durch common sense belegen lässt.
Ausserdem glaube ich nicht, dass die NZZ mit ihrem Artikel so falsch liegen könnte ohne dass interveniert worden wäre.
Fakt ist auch, dass die Verordnung, welche die diesbezüglichen Details regelt bei einem JA erst NACH der Abstimmung veröffentlicht wird und noch über Monate hinweg verhandelt werden dürfte bei dem sich alle einbringen können.
Bei einem NEIN wird noch lange nicht über die Implementierung verhandelt, weil man sich in weiteren Monaten und Jahren zuerst wieder mal über Grundsätzliches einigen muss.
Bei einem JA hätten wir 2023 eine E-ID. Bei einem Nein - keine Ahnung. Das Ausland lacht sich ob direkter Demokratie und Föderalismus in Fäustchen. Wir mögen ja die beste Armee der Welt haben :-) aber die beste Online-Nation haben wir bei dem aktuellen Stand der gemeinen, durch Halbwahrheiten und Falschinterpretationen hochgepushten Veränderungsängsten, Fortschritts-Verweigerungen und Aus- und Anschluss-befürchtungen definitiv noch lange nicht.

6
/
10

Jeder Internetuser hat einen Vertrag mit seinem Internetanbieter. Dieser Internetanbieter hat und hatte von Anbeginn an immer ALLE Daten und auch im Fall einer E-ID - egal ob vom Bund oder dem Privaten - immer mehr als ein IdP jemals haben wird. Diese Internetanbieter sind immer Private.
Dass wir jetzt einen solchen Wirbel um vom Bund kontrollierte IdPs machen, aber die (zum Teil ausländischen) Internetanbieter in der Diskussion völlig aussen vor lassen - ist nicht nur ABSURD, sondern zeigt auch deutlich, dass es hier nicht um Sicherheit und Datenschutz gehen kann, sondern um das Durchboxen anderer privater Interessen, Partei-profilierung und Klickraten.
Mit Logik hat ein Nein jedenfalls nichts zu tun, sondern mit Zukunftsangst und Vogelstrauss-politik angesichts der unaufhaltsamen, globalen Veränderungen bei der die öffentliche Schweiz jetzt schon weit im Abseits steht.

4
/
10

Eine andere Frage, ist die der Kosten. Private Anbieter werden eher nicht aufspringen wenn der Service etwas kostet. Praktisch ueberall muss man sich anmelden um etwas zu sehen. Sei das nun die Preisliste, die Lieferbarkeit, die Liste letzten Rechnungen, die letzte Bestellung, den Lieferstatus, usw. Soll jetzt der Seitenbetreiber das Login auslagern und dafuer bezahlen ? ? Abgesehen vom Staat, wo der exakte Nachweis noetig ist, eher nicht. Also ich wuerd's nicht. Soll der Benutzer das Passwort doch aufschreiben, resp sich auf sein email ein Login, resp Passwort reset senden lassen. Oder sich eine SMS senden lassen.
Ich sehe dieser E-ID daher entspannt entgegen.

2
/
10

Die Banken, Versicherer, Retailer welche sich im SwissSign-Konsortium zusammengetan haben mach ja gerade das: Anstatt dass jeder für sich selber einen sicheren Identitätsnachweis implementiert, erledigen sie diese Aufgabe unter staatlicher Führung gemeinsam. Sie haben das Login so quasi outgesourced.
Mit der SwissID und später ev. der E-ID verhindern sie Millionenverluste durch Identitätsbetrug. Auch sie alle haben begriffen, dass die Sicherheits-thematik für einen allein zu gross ist und haben deshalb ihre Expertise in diesem Konsortium zusammengefasst. Das ist und war bisher sehr erfolgreich (auch wenn ich glaube, dass 3 Mio User zu hoch gegriffen ist).
Der Bund und der Bürger sollten aus diesem Erfolgsmodell lernen und nicht nochmals - auch wenn es jetzt schon ein paar Jahre zurückliegt - den Millionen-SuisseId-Fail wiederholen.

1
/
1