Yves Flückiger 10.02.2021
Teil 1: Der E-ID Markt, den es nicht geben kann
«Wir bauen heute die digitale Infrastruktur der Schweiz. Das ist vergleichbar mit dem Gleisbau für die Eisenbahn.» Das Zitat stammt von Markus Naef, Chef der SwissSign Group AG, im Magazin der Zürcher Kantonalbank.
Nun war die Eisenbahn in der Schweiz nicht immer eine Erfolgsgeschichte. Ein erbitterter Konkurrenzkampf zwischen Privatbahngesellschaften sowie Konkurse führte ab 1901 zu einer Verstaatlichung: Es ist die Geburtsstunde der Schweizerischen Bundesbahnen. In einem Markt könnte das auch der E-ID blühen.
De facto Monopol auf zwei Seiten
Nun wird bezweifelt, ob sich ein solcher Markt in der Schweiz überhaupt entwickeln kann. Das liegt allein schon am kleinen Marktvolumen. Daher geistert wohl immer wieder das unsinnige Bild vom Bürger, der sich gleich mehrere E-ID zulegt. Ein Markt kann sich aber auch nicht entwickeln, wenn ein Anbieter bereits vor dem Start dominiert.
Das Konsortium SwissSign Group AG bezweckt, möglichst viele grosse Schweizer Firmen als künftige Kunden an Bord zu haben. Im Gespräch mit dem Magazin der SIX Group AG, einem bedeutenden Finanzdienstleister, unterstreicht Markus Naef zudem die Bedeutung, als offizieller Lieferant auf die Liste der Schweizerischen Informatikkonferenz (SIK) zu gelangen. Damit erhält ein Anbieter über einen einzigen SIK-Vertrag potentiell Zugang zu allen Kantonen und Gemeinden. Das erreichte Naef im Oktober 2019. Inzwischen bezahlen bereits neun Kantonen Gebühren an die SwissSign, obschon die SwissID noch gar keine E-ID im Sinne des Gesetzes ist.
Damit erhält die SwissSign Group AG sowohl in der Privatwirtschaft wie auch bei den kantonalen Behörden ein de facto Monopol. Im Interview beschreibt Naef seine SwissID denn auch als eine «nationale Lösung», während etwa die Schaffhauser E-ID eine «rein regionale E-ID» sei. Sekundiert wird er von Ständerat Ruedi Noser, der in derselben Ausgabe gleich das Editorial schreiben darf: Ein Lobgesang auf das E-ID Gesetz, mit Verweis auf eine fünfzehnjährige Debatte.
Unklare Vergabepraxis
In der SIK kennt man die Lösung des Kantons Schaffhausen schon lange. Trotzdem entschied sich auch der zweitgrösste Kanton bereits vor der SIK-Vereinbarung für SwissSign: Der Kanton Bern vergab ihr 2018 einen Auftrag über 2.6 Mio Franken «freihändig». Das heisst, ohne die sonst verlangte, öffentliche Ausschreibung. Begründet wurde dies mit einer «Marktanalyse», welche die SwissSign als einzig möglichen Anbieter ergeben habe. Die Anforderungen lesen sich aber, als hätten sie ohne Weiteres auch von den Schweizer Firmen Procivis oder Elca erfüllt werden können, welche ebenfalls E-ID Lösungen anbieten.
Gefordert war zum Beispiel, der Anbieter müsse «die bereits absehbaren Anforderungen der geplanten E-ID Gesetzgebung erfüllen». Der Vergabeentscheid wird unter anderem damit begründet, dass SwissSign schon über eine «breite Kundenbasis im Kanton Bern» verfüge. Dieses Argument ist aber irrelevant, da gemäss E-ID Gesetz die verschiedenen E-ID Systeme «interoperabel» sein müssen: Egal wer der Herausgeber der E-ID ist, sie muss bei allen Anbietern funktionieren. So stellt sich die Frage, was dem Kanton Bern versprochen wurde – und zu welchem Preis.
Im März 2020 fragte ich beim Kanton Bern nach, online über das Service Desk. Erst wurde meine Anfrage unbeantwortet geschlossen. Auf mein Nachhaken wollte mich der zuständige Abteilungsleiter ins Amt für Informatik einladen, um «diese und evtl. noch weitere Fragen in einem persönlichen Gespräch zu beantworten.» Doch Ende Mai war plötzlich Funkstille. Eingeführt wurde die SwissID beim Kanton Bern dann im Juli 2020, ganze zwei Jahre nach der Vergabe. Im Dezember folgte St. Gallen. Mitten im Referendum gegen das Gesetz.
Ohne den Bund herrscht freie Bahn
Seither meldet SwissSign regelmässig neue Erfolgszahlen und schreibt auch mal ein Gewinnspiel aus, um Neuregistrierungen zu erlangen. Möglichst viele Registrierungen bei der SwissSign sollen vor der Abstimmung Fakten schaffen.
Und der viel zitierte Markt? Ausgerechnet die «regionale Lösung» Schaffhausens rettete Bundesrätin Karin Keller-Sutter die Medienkonferenz zur Abstimmung: Man habe nun den gewünschten Markt, meldet sie erleichtert, und erst noch mit staatlicher Beteiligung. Nationalrätin Edith Graf-Litscher unterstreicht: «Schweizer Qualität statt Wildwuchs!» Man fragt sich, was sie damit sagen will.
Der einzige Mitbewerber auf Augenhöhe wäre aber der Bund gewesen. Er könnte durch Vertrauen punkten. Der wurde aber durch das E-ID Gesetz zurückgestutzt: Der Bund dürfte nur dann ein eigenes E-ID System betreiben, wenn die Privaten straucheln. Als Alternative könnte er sich an einer gescheiterten Firma beteiligen, um das nationale E-ID System zu retten. Das wäre der wahrscheinlichere Fall und wir erinnern uns: an die Eisenbahn, an die Swissair und die UBS (die auch Teil des SwissSign-Konsortiums ist.)
Unterstützung aus Bundesbern
Gerade der Bund ist aber mitverantwortlich an der Dominanz von SwissSign. Das Staatssekretariat für Wirtschaft SECO verkaufte der Firma 2017 für rund 240'000 Franken die Markenrechte «SuisseID» bzw. «SwissID». Eine starke Marke, die vor zehn Jahren für die Schweizer E-ID aller Anbieter stand, ging so an einen einzelnen Anbieter. Der Preis entsprach gemäss SECO «den Gestehungskosten des Bundes für die Einführung und Bekanntmachung der Marke SuisseID.» Doch das ist untertrieben: Der Bund subventionierte 2010 die Verbreitung der Marke SuisseID allein mit 17 Mio. Franken. Profitiert hatte damals auch die SwissSign AG, durch eine staatlich vergünstigte Erstabgabe von E-IDs.
Unterstützung gab es aber auch direkt vom Bundesrat. Doris Leuthard, damals noch Vorsteherin des UVEK, liess sich 2018 zum Auftritt in einem Werbeclip der SwissSign gewinnen. Solche Exklusivwerbung von höchster Stelle wäre auch für Mitbewerber interessant gewesen. Dazu kam es offensichtlich nicht.
Auch am Schweizer Digitaltag treten regelmässig Bundesräte auf. Und SwissSign durfte dort ihr Produkt auf der grossen Bühne am Zürcher HB bewerben. Exklusivität scheint Programm zu sein. Und das hilft mit, dass sich kein wirklicher Markt bilden kann.
Der Bürger trägt die Gesamtkosten
Doch dieser Markt kostet den Bürger Geld, selbst dann, wenn er gar nicht stattfindet: durch ein neues Gesetz, zusätzliche Verordnungen, eine Aufsichtskommission mit eigenem Sekretariat, Abrechnungssysteme zwischen den Anbietern oder durch zusätzliche, technische Schnittstellen zwischen den Anbietern und zum fedpol. Der Steuerzahler finanziert zudem Bundessubventionen: Das sind bei der alten SuisseID ein zweistelliger Millionenbetrag an private Anbieter und bei der neuen E-ID erneut ein unbekannter Betrag zur Ermässigung oder zum Erlass der Gebühren, welche private Anbieter dem Bund zu entrichten hätten.
Weitere Gelder fliessen in Form einer Beteiligung der Post und der SBB an die private SwissSign Group AG, ohne direkten Einfluss des Bundes. Und als Bürger und Konsument tragen wir die Gebühren, welche ein Kanton oder ein privater Dienstleister an seinen Vertrags-IdP entrichtet: indirekt, über Steuerbeträge und Produktpreise.
Die E-ID ist für den Bürger nicht gratis. Er trägt die Gesamtkosten eines komplizierten Konstrukts. Es bestünde also selbst ein finanzieller Anreiz, auf diesen Markt mit monopolistischen Zügen zu verzichten.
Teil 2: Das Stigma vom Bund, der es nicht kann
Trotzdem soll ein imaginärer Markt all das richten, was der Bund angeblich nicht könne. Die Argumente sind zahlreich und gleichen in der Summe einer digitalen Bankrotterklärung des Bundes. Doch die dicke Brille des Marktes trübt den Blick für das Wesentliche.
Verbreitung allein durch Masse
Eines der Hauptargumente für den Einbezug privater Anbieter ist, nur diese könnten für die Verbreitung der E-ID sorgen. Doch Verbreitung wird in erster Linie durch eine genügend grosse Anzahl entsprechender Angebote geschaffen. Nur gibt es wenige Angebote, welche eine Ausweispflicht und damit eine E-ID voraussetzten. Daher werden künstliche Angebote entworfen: Etwa indem die E-ID als «sicheres Log-in» eingesetzt werden soll, wo es die E-ID gar nicht bräuchte. Oder als «universelles Log-in» anstelle eines Passwortmanagers. Das lässt sich SwissSign Geld kosten und meldet im Februar 2021 bereits 1.7 Mio. registrierte SwissID. Ob diese auch genutzt werden und wieviele davon geprüfte Identitäten sind, darüber gibt es keine Zahlen. Klar ist: Eine unsinnige Verwendung der E-ID generiert mehr Daten und erhöht das Missbrauchspotential.
Dass Verbreitung gerade durch den Staat durchaus smarter geht, zeigen andere Länder Europas. Österreich will seine dritte Generation E-ID ganz einfach mit dem Pass abgeben. Und Belgien verknüpft die E-ID bereits in der zweiten Generation mit dem Personalausweis. Diesen nennt das Land nur noch «eID».
Vor dieser Verknüpfung zwischen klassischer Identitätskarte (IDK) und E-ID fürchtete man sich in Bern in Bezug auf die «fortschreitende Innovation». Doch die Innovation fand gerade im Kopf nicht statt: weil man sich unter einer IDK offensichtlich nur eine Plastikkarte vorstellen konnte. Deutschland geht nun den radikalen Weg: Es will den Personalausweis ganz digitalisieren und auf dem Mobilephone anbieten – als Kern eines künftigen Ökosystems rund um die E-ID. Eine Verbreitung erfolgte so weitgehend automatisch – «der Markt» wird überflüssig.
Die Zeit schafft Alternativen
Es ist bekannt, dass bereits der neue Schweizer Pass (E-Pass) eine E-ID darstellt. Hinzu kommt, dass eine Identitätskarte mit Chip auch in der Schweiz ein Kandidat für eine E-ID wäre: Dann, wenn das Gesetz am 7. März 2021 vor dem Souverän scheitert. Verschiedene Titel von CH Media berichten im Februar 2021 von der Studie, welche das fedpol 2013 bei der Fachhochschule Bern in Auftrag gab, um die Machbarkeit zu untersuchen. Das Resultat war positiv. Trotzdem verschwanden Studie und Prototyp in der Schublade; die Autoren mussten eine dreijährige Geheimhaltungsvereinbarung eingehen.
Das Bundesamt für Justiz fand damals trotz der Machbarkeit Gründe gegen eine Kombination aus Identitätskarte und E-ID. Dazu gehörten mögliche Probleme mit Treibern für die Kartenlesegeräte und die politische Wetterlage: Der biometrische Pass wurde 2009 in einer Abstimmung nur sehr knapp angenommen. Also fürchtete man sich vor einer erneuten Konfrontation mit dem Volk. Diese Sorge brauchte man bei den ausländischen Staatsangehörigen nicht zu haben: Bereits 2011 wurde in der Schweiz der kontaktlose, biometrischer Ausländerausweis eingeführt.
In den letzten sieben Jahren haben sich aber die Voraussetzungen grundlegend geändert. Treiberprobleme bestehen keine mehr: Der biometrische E-Pass etwa lässt sich mittels Smartphone und der App «ReadID» kontaktlos auslesen – dezentral, ohne IdP. Der E-Pass hat sich etabliert und mit dem biometrischen Ausländerausweis wären bereits etwa 25 % der Bevölkerung bereit für eine E-ID.
Gemäss Recherche der CH-Media könnte eine neue Identitätskarte schon 2023 kommen – auch mit Chip. Bleibt der Chip lediglich eine wählbare Option, wäre dazu nicht mal eine Änderung des Ausweisgesetzes AwG nötig. Das ist insofern pikant, als dass auch eine E-ID basierend auf dem neuen, umstrittenen Gesetz nicht vor 2023 zu erwarten ist.
Doch auch bezüglich der Angebote arbeitete die Zeit für die E-ID. Bund, Kantone und Gemeinden sind inzwischen verpflichtet, die Digitalisierung zu fördern. Damit werden automatisch mehr Angebote entstehen. Aber statt dass die Behörden auf ein einfaches System setzen können, müssen sie sich mit einem Marktanbieter auseinandersetzen, ohne Mehrwert. Denn welcher «Innovation» bedarf es schon, um sich an einem Onlineschalter auszuweisen? Es bräuchte keine Sorge um «fortschreitende Innovation».
Innovation als leerer Begriff
Der «Innovation» sind in regulierten Systemen sowieso Grenzen gesetzt. Der Zertifizierungs-Zyklus beträgt bei der E-ID drei bis vier Jahre. Innerhalb dieser Zeitspanne kann ein Anbieter sein System nicht wesentlich verändern. Er hat auch wenig Interesse, sein Produkt zu erneuern, solange er damit Geld verdient. Denn das zieht nur aufwändige Prozesse nach. Einmal getätigte Investitionen werden gerade in der Privatwirtschaft ausgelutscht. «Innovation» ist denn auch oft nur eine Marketingfloskel – während der Bund die Möglichkeit verliert, sich selbstständig dem Stand der Technik anzupassen.
Gerühmt wird, das E-ID Gesetz sei technologieneutral, obschon es gar nicht so viele Optionen gibt: Im Wesentlichen sind das Smartphone, Smartcard oder eine Kombination aus beiden. Wünschenswert wäre hingegen, dass das Gesetz in Bezug auf den Datenschutz fortschrittliche Systeme einfordert. Stattdessen sieht es eine Architektur vor, die allein auf den Markt ausgerichtet ist. So werden zwischen Bürger und Dienstleister ein IdP geschaltet, unnötige Daten erhoben und Datensätze in Kopien herumgereicht. Fortschrittliche Systeme hingegen sind transparent, datensparsam und dezentral.
Estland zum Beispiel setzt bei der E-ID auf Open Source. Transparenz hat auch die Schweiz jüngst vor einem Debakel bewahrt: Die eVoting-Lösung der Post (Mitglied und Dienstleister der SwissSign Group) wurde von der Community durchleuchtet und als unzulänglich befunden. Datensparsam und dezentral hingegen ist die Swiss Covid App, welche ausgerechnet der Bund lancierte – in Rekordzeit.
Man sollte es also besser wissen. Trotzdem hält man an veralteten Konzepten fest und verhindert Innovation dort, wo sie stattfinden sollte – der Begriff «Innovation» verkommt im Parlament zunehmend zur leeren Phrase.
Aus der Erfahrung nichts gelernt
Mit der SuisseID (nicht zu verwechseln mit der SwissID) wird Ende 2021 die erste Generation Schweizer E-ID nach zehn Jahren weitgehend unbemerkt vom Markt genommen. Man kann die SuisseID als Flop bezeichnen oder als einen wichtigen Erfahrungsschritt. Die SwissSign AG, Swisscom, Quovadis und das Bundesamt für Informatik und Telekommunikation (BIT) gaben je eine eigene SuisseID heraus, die interoperabel war. Der Bund durfte allerdings seine E-ID nicht an Private abgeben.
Den Einbezug privater Firmen als IdP gab es also schon damals. Das aktuelle E-ID Gesetz bedient sich somit aus der Mottenkiste, nur diesmal ganz unter Ausschluss des Bundes. Dass sich die SuisseID nicht durchsetzen konnte, lag an der umständlichen Handhabung und am Preis. So verlangte etwa die SwissSign für die günstigste «SuisseID Personal» stolze 147.– im ersten Jahr.
Trotzdem hält sich seither das Narrativ, es sei der Bund gewesen, der mit der SuisseID scheiterte. Viel Häme kommt dabei von ICTSwitzerland, der Dachorganisation «für digitale Wirtschaft». Franz Grüter von der SVP und Vize-Präsident von ICTSwitzerland wiederholt das Märchen bei jeder Gelegenheit. Und Marcel Dobler, Präsident von ICTSwitzerland, FDP-Nationalrat und Mitgründer des Onlineshops digitec spricht auch mal vom «lahmen Staat».
Der Bund kann das, was er muss
Doch der Bund hat keinen Webshop zu betreiben, sondern die digitale Infrastruktur der Eidgenossenschaft. Und die Zahlen dazu sind eindrücklich: Das Bundesamt für Informatik und Telekommunikation BIT betreibt Hunderte Fachapplikationen, rund 30'000 Arbeitsplätze, 7'000 Serversysteme und verwaltet etwa 10 Petabyte (PB = 1024 TB) Storage. Weiter betreibt es das CH-Log-in, eIAM (zentrales Zugriffs- und Berechtigungssystem) und ist einer der vier «Trust Service Providers» nach ZertES (digitale Unterschrift). Das ist technisch vergleichbar mit einer E-ID. Die könnten das also schon.
Die Schweizer E-ID müsste der Bund auch nicht selbst programmieren. Denn während das E-ID Gesetz Kaltes aufwärmt, hat sich in Europa ein regelrechter Markt an E-ID Systemen entwickelt. Auch in der Schweiz gibt es fertige Lösungen zu kaufen. Der Bund müsste nur das fortschrittlichste System beschaffen und betreiben. Diesen Weg wählte unser Nachbar Liechtenstein und führte seine rein staatliche E-ID innert Jahresfrist ein, im April 2020, mit einem bescheidenen Budget von 700'000 Franken.
Experten sind sich einig: Der Kern einer E-ID ist nicht «rocket-science». Anspruchsvoll hingegen sind die technische Konzeption und Integration sowie die Architektur. Und da steht die Schweiz nicht gut da. Es ist noch nicht mal klar, wie der Schweizer Lösungsweg in den Verbund der europäischen E-ID (eIDAS Verordnung) integriert werden soll. Das wäre eigentlich geplant. Ungeklärt sind zum Beispiel Fragen zur Haftung des Staates bei Systemen, welche Private in eigener Verantwortung betreiben (und jederzeit wieder vom Netz nehmen können.)
Eine Partnerschaft, die keine ist
Trotz all dem bleiben einige Politiker Gefangene der eigenen Paradigmen. Wie zum Beispiel Christa Markwalder und Ruedi Noser. Sie beschwören bei der E-ID das Modell der Private Public Partnership (PPP): Bund und Private, jeder, was er am Besten könne (was für ihren Parteikollegen Dobler übersetzt hiesse, dass der Bund nichts könne.)
Doch wie vieles zu digitalen Themen in der Politik scheint auch das mit der «Partnership» nur nachgeredet. Bei der alten SuisseID konnte man noch von einer PPP sprechen, da alle Partner in einem Trägerverein organisiert waren. Bei der jetzigen Lösung hingegen fehlen wichtige Voraussetzungen wie Risiko- und Kostenverteilung, gegebenenfalls mit einer gemeinsamen Organisation von Bund und Privaten. Bund und Bürger tragen das volle Risiko. Der private Anbieter ist weitgehend von einer Haftung entbunden und geht keine weitere Verpflichtung ein. Es handelt sich also um eine reine Privatisierung, finanziert durch Bund und Bürger.
Fazit
Der Vergleich von Markus Naef mit dem Bau der Eisenbahn lässt sich auch anders denken. Ein E-ID Gesetz legt die Schienen für die digitale Transformation der Eidgenossenschaft. Sind sie einmal verlegt, lassen sie keinen einfachen Richtungswechsel mehr zu. Und das E-ID Gesetz hält nicht, was es verspricht.
Erstens, weil Bundesrat und Parlamentsmehrheit in längst überholten Ansätzen verharren und für die kleine Schweiz den Traum vom E-ID Markt träumen. – Gleichzeitig aber die Entstehung eines Monopolisten fördern, auf den das Gesetz zugeschnitten scheint. Zweitens werden für den Einbezug privater Anbieter Argumente hervorgebracht, welche überholt sind oder auf einem falschen Begriffsverständnis beruhen. Der Bund wird dabei systematisch als unfähig erklärt und der Möglichkeit beraubt, digital selbstständig und handlungsfähig zu bleiben.
Als Bürger möchte ich Ständerat Ruedi Noser fragen: Wieso lasst ihr den Bund durch eine «15-jährige Debatte» zur E-ID digital verkümmern, statt ihm einfach die Mittel zu geben, das zu tun, was man von im verlangt: Digitale Transformation. Das widerspricht jeder unternehmerischer Logik.
Gerade der Bund wäre in der Lage, einen schlanken E-ID-Basisdienst zu schaffen: basierend auf bestehendem Gesetz und der Identitätskarte. Durch den Einbezug privater Anbieter hingegen wird das Kernsystem unnötig aufgeblasen, verkompliziert und verteuert.
Der Bund bezeichnet die E-ID auf seiner Webseite zu eGovernment als ein «strategisches Projekt.» Kein Unternehmer würde dazu jemals die Zügel aus der Hand geben. Das darf auch der Bund nicht tun: Denn wir verdienen einen digitalen Ausweis mit dem Bürger im Fokus.