Konzept fأ¼r schweizerische staatlich anerkannte eID Systeme staatlich anerkannte eID-Systeme Auftraggeber

  • View
    0

  • Download
    0

Embed Size (px)

Text of Konzept fأ¼r schweizerische staatlich anerkannte eID Systeme staatlich anerkannte eID-Systeme...

  • Eidgenössisches Justiz- und Polizeidepartement EJPD

    Bundesamt für Polizei fedpol

    Fachbereich Weiterentwicklung Ausweise

    Konzept CH eID v095 - Informelle Konsultation.docx

    Konzept für schweizerische staatlich anerkannte eID-Systeme

    Auftraggeber fedpol

    Projektleiter Markus Waldner

    Autoren Lorenz Müller, Markus Waldner

    Klassifizierung öffentlich

    Status informelle Konsultation

    Änderungsverzeichnis

    Datum Version Änderung Autor

    01.02.2015 0.1 Struktur und Inhalt basierend auf Dis-

    kussionsgrundlage eID Konzept Bund

    L. Müller

    10.02.2015 0.2 Entwurf L. Müller, M. Waldner

    30.03.2015 0.6 Präzisierung und Straffung der Termi-

    nologie; Rechtsetzungskapitel

    L. Müller, M. Waldner,

    Urs Paul Holenstein,

    Daniel Stettler

    14.04.2015 0.9 Version für die Ämterkonsultation L. Müller, M. Waldner,

    R. Vanek

    13.05.2015 0.95 Version für informelle Konsultation L. Müller, M. Waldner,

    K. Good

    Alle Formulierungen gelten gleichermassen für beide Geschlechter.

  • Konzept CH eID v095 - Informelle Konsultation.docx 2 von 81

    Abstract

    Der Bundesrat hat das EJPD beauftragt, ein Konzept und einen Entwurf für die rechtliche Ausgestal-

    tung des künftigen elektronischen staatlichen Identifikationsmittels (elD) auszuarbeiten, das zu-

    sammen mit der neuen Identitätskarte (IDK) angeboten wird und EU-kompatibel ist. Die EU geht

    davon aus, dass ihre Mitgliedstaaten im Sinne der hoheitlichen Verantwortung nur für ihre eigenen

    Bürger staatlich anerkannte eID ausstellen, diese eID aber gegenseitig anerkennen können (Notifi-

    kation). Auch das vorliegende Konzept orientiert sich an diesem Modell und hat zum Ziel, die Abläu-

    fe für den Bezug und den Einsatz der staatlichen schweizerischen eID sowie den technischen Lö-

    sungsansatz festzulegen. In einem weiteren Schritt soll dann in der zweiten Jahreshälfte 2015 der

    zugehörige Rechtsetzungsentwurf erarbeitet und im Frühjahr 2016 in die Vernehmlassung gegeben

    werden.

    Im Rahmen der Analyse bestehender (staatlicher) eID-Systeme wurden die Benutzerfreundlichkeit

    der eID und die Attraktivität der damit nutzbaren Angebote als wichtigste Erfolgsfaktoren identifiziert.

    Der erste Erfolgsfaktor führt unmittelbar zur Schlüsselfrage, ob es dem Staat gelingen kann, mit

    vertretbarem Aufwand eine langfristig attraktive eigene eID (realisiert als physisches Token, z.B. in

    Form eines Chips auf der Identitätskarte) herauszugeben oder ob dies aufgrund der raschen tech-

    nologischen und sozioökonomischen Entwicklung besser dem freien Markt zu überlassen ist. Wich-

    tig ist dabei die Erkenntnis, dass eine eID hauptsächlich für die Online-Authentifizierung gebraucht

    wird und dass genau dieser Prozess rasche Entwicklungszyklen durchläuft. Eine vom Staat abge-

    gebene eID käme dabei bald ins Hintertreffen. Die Erfüllung des zweiten wichtigen Erfolgsfaktors

    liegt in der Verantwortung der übrigen Protagonisten des eID-Ökosystems und ist meist ein langjäh-

    riger Prozess. Ausdrücklich soll hier der im Rahmen des Vorhabens Identitätsverbund Schweiz

    (IDV-Schweiz) geplante nationale und internationale Föderierungsdienst für eID-Systeme erwähnt

    werden, welcher voraussichtlich eine zentrale Rolle für den Erfolg des schweizerischen eID-

    Ökosystems einnehmen wird und zudem die Schnittstelle zu den eID-Systemen der EU bieten soll.

    Gestützt auf die in der Analyse gewonnen Erkenntnisse wird gemäss vorliegendem Konzept auf die

    Herausgabe einer eigenen staatlichen eID verzichtet. Dafür können sich heutige und zukünftige eID-

    Systeme staatlich anerkennen lassen (z.B. SuisseID, Mobile ID usw.), wenn diese die noch zu

    schaffenden gesetzlichen Bedingungen erfüllen. Darin eingeschlossen sind behördliche eID-

    Systeme, wie sie z.B. im Rahmen des Vorhabens IAM-Bund vorgesehen sind. Ziel ist es, dass jede

    Person für alltägliche Transaktionen ihre gewohnte eID einsetzen kann, ohne dabei zwingend und

    fortwährend auf staatliche eID-Infrastrukturen zurückgreifen zu müssen. Separat zu prüfen bleibt, ob

    für besonders heikle Transaktionen, z.B. im Bereich Vote électronique, zusätzlich ein eigenes und

    besonders sicheres Endgerät notwendig ist.

    Die Lösung sieht vor, dass Personen die Identitätsattribute ihrer eID mit Hilfe eines neu durch den

    Bund zu schaffenden ID-Kontos staatlich beglaubigen können. Für die freiwillige Eröffnung des ID-

    Kontos ist in jedem Fall eine persönliche Vorsprache notwendig, damit die Identität der Person zwei-

    felsfrei abgeklärt werden kann. Die Vorsprache erfolgt im selben organisatorischen Rahmen wie die

    Beantragung eines Passes oder einer IDK. Die Nutzung des ID-Kontos wird immer eine 2-Faktor-

    Authentifizierung erfordern. Bei der Eröffnung des ID-Kontos erhält der Antragsteller von der staatli-

    chen Registrierungsstelle die Mittel für eine solche Authentifizierung in Form einer Kombination von

    Benutzernamen/PIN sowie eines jeweils per SMS übermittelten Einmalpasswortes auf ein persönli-

    ches Mobiltelefon. Später registriert der Kontoinhaber dann eine auf dem Markt beschaffte staatlich

    anerkannte eID für den Zugang zum Konto. Mit diesem Verfahren kann die Registrierung und Be-

    glaubigung einer eID zeitlich sehr flexibel, auch später, erfolgen.

    Unter Abwägung der Benutzerakzeptanz, der Risiken und der Kosten sowie der Resultate der

    durchgeführten Ämterkonsultation ist das Projekt zum Schluss gekommen, dass der geschilderte

    Lösungsvorschlag die vielschichtigen Anforderungen an eine staatliche eID am besten zu erfüllen

    vermag. Im Rahmen der informellen Konsultation soll dies nun validiert werden.

    Eine eID dient zum Nachweis der eigenen Identität

    in der virtuellen Welt, vergleichbar mit

    Identitätskarte oder Pass in der physischen Welt.

  • Konzept CH eID v095 - Informelle Konsultation.docx 3 von 81

    Inhaltsverzeichnis

    1 Einführung ........................................................................................................................ 6

    1.1 Zweck des Dokuments ....................................................................................... 6

    1.2 Struktur des Dokuments..................................................................................... 6

    1.3 Zusammenfassung ............................................................................................ 6

    1.4 Begriffe und Abkürzungen ................................................................................ 13

    2 Ausgangslage ................................................................................................................. 18

    2.1 Anlass und Auftrag........................................................................................... 18

    2.2 Internationales Umfeld (EU) ............................................................................. 18

    2.3 Nationales elektronisches Identitätsökosystem ................................................ 19

    2.4 Bisherige Erkenntnisse .................................................................................... 20

    3 Grundsatzentscheid ........................................................................................................ 23

    4 Ziele ............................................................................................................................... 24

    4.1 Strategie .......................................................................................................... 24

    4.2 Nutzen ............................................................................................................. 25 4.2.1 Bevölkerung .....................................................................................................................25 4.2.2 Privatwirtschaft ................................................................................................................26 4.2.3 Behörden .........................................................................................................................27

    4.3 eID-System ...................................................................................................... 27

    4.4 eID-Ökosystem ................................................................................................ 29

    5 Anforderungen ................................................................................................................ 29

    5.1 eID-Systeme – staatlicher Beitrag .................................................................... 29

    5.2 eID-System –Beitrag der Dienstleister ............................................................. 30

    5.3 eID-Ökosystem ................................................................................................ 32

    5.4 Sicherheit und Datenschutz ............................................................................. 32

    6 Lösungskonzept ............................................................................................................. 34

    6.1 Übersicht ......................................................................................................... 34

    6.2 Architektur ...................................

Recommended

View more >