Die Befürworter*innen der privatisierten E-ID, über die wir am 7. März abstimmen, versprechen das „Ende des Chaos mit unzähligen Logins“. Damit beginnen sie ihren Abstimmungkampf voller Faktenverdrehungen.
Mit der E-ID soll ich mich überall anmelden können und mir nicht mehr dutzende Passwörter merken. Schön wärs, ist aber nicht so. Denn selbst wenn diese Schweizerische E-ID kommt, wird das Facebook, Google und so ziemlich alle Unternehmen und Organisationen ausserhalb der Schweiz nicht interessieren. Auch bei Wordpressseiten, die in der Schweiz angeboten werden, ändert sich mit der Swiss E-ID kaum etwas.
Aber, wer vor lauter Passwörtern nicht mehr zu recht kommt kann schon heute auf eine bessere Lösung zählen: Passwortmanger.
Ein Passwortmanager speichert hunderte oder tausende von Passwörtern und schützt diese mit einem Masterpasswort. Man muss sich also nur noch ein einziges Passwort merken! Und hat damit beliebig viele, lange und zufällig generierte Passwörter. Passwortmanager machen das Leben mit Passwörtern nicht nur bequemer, sondern auch sicherer.
Und dank so einem Passwortmanager können wir jetzt auch mal schauen, wie viel die Swiss ID im besten Fall bringen würde. Ich habe insgesamt 445 Logins in meinem Passwortmanager gespeichert, davon kommen bloss 95 überhaupt erst für eine Schweizer E-ID in Frage. Die anderen sind entweder ausländische Anbieter oder Instanzen von Open Source Software. Selbst wenn alle Schweizer Dienste künftig auf die E-ID setzen müsste ich mir noch mehr als 300 Passwörter auswendig merken. Von wegen: „Schluss mit Passwortchaos.“
Die E-ID löst das Passwortchoas nicht und sie bringt noch viele Probleme, auch was die Sicherheit unserer persönlichen Daten angeblangt. Desto weniger Parteien bei diesen sicherheitsrelevanten Themen dabei sind, desto kleiner ist die Angriffsfläche. Wenn ich mich mit einem Passwort anmelde sind dabei zwei Parteien involviert: ich und der Dienst bei dem ich mich anmelde. Bei der E-ID sind es dann plötzlich drei, weil ja der private E-ID Provider auch noch über die Schultern schaut.
Sicherheitsrisiken ausschliessen können die privaten E-ID Anbieter nicht, das könnte eine staatliche Lösung auch nicht. Noch riskanter wird das, weil mit der Zentralisierung auch der Wert steigt. Wenn ich verschiedene Passwörter für meine Dienste verwende und einer davon wird gehakt, sind alle anderen Zugänge noch sicher. Wird die E-ID gehakt, sind alle damit verbundenen Dienste in Gefahr.
Dabei geht es nicht nur um die Gefahr von Hakerangriffen von aussen.
Wer einem privaten Anbieter oder einem Staat traut, muss auch allen Angestellten und allen Zufliefern und deren Angestellten trauen. Damit legt man mit einer zentralisierten E-ID sehr viel Vertrauen in sehr viele Hände, die man unmöglich alle überprüfen kann.
Eine ideale E-ID ist also möglichst nahe bei der normalen ID, die ja auch nicht bei meiner Bank oder meiner Versicherung und auch nicht beim Staat liegt, sondern bei mir im Portemonnaie. Wenn ich mich irgendwo mit meiner ID ausweise merkt das deshalb auch weder der Staat noch meine Krankenkasse. Und das sollte bei einer digitalen ID nicht anders sein!
Eine solche Lösung könnte z. B. auf einem der seit Jahrzehnten eingesetzten Public-Key Verfahren basieren. Dabei werden digitale Signaturen erzeugt und signiert. Solche Verfahren kommen seit Jahren in den verschiedensten Orten zum Einsatz und haben sich technisch bewährt. Sie sind zum Beispiel auch dafür verantwortlich, das Webseiten per TLS verschlüsselt und authentifiziert werden. Ein weiteres Beispiels eines solchen Verfahrens ist PGP, das zur Verschlüsselung und Signatur von E-Mail verwendet werden kann.
Zussamengefasst: Die E-ID löst kein Passwortchaos, ist ein zusätzliches Sicherheitsrisiko und es gibt bessere Alternativen. Deshalb ein Nein zum digitalen Pass aus privaten Händen am 7. März!
Weitere Argumente gegen die private E-ID gibt es auf der Website des Komitees. Dort gibt es auch diverse Möglichkeiten, sich gegen das Gesetz zu engagieren.
PS: Passwortmanager
Hier ein paar Passwortmanager, die tatsächlich abhilfe gegen das Passwortchaos verschaffen:
Dafür braucht man auch kein E-ID Gesetz, damit kann man gleich los legen 😉. Und alle dieser Passwortmanager sind Open Source.