Post SuisseID – elektronischer Identitätsausweis der Schweizer Post

[Trigami-Review]

Seit vielen Jahren wird immer wieder der Ruf nach mehr Sicherheit und vor allem Rechtsverbindlichkeit im Internet laut. So existieren zwar viele kundenfreundliche Ansätze von Gemeinden und Institutionen, doch an einigen Stellen heisst es auch heute noch mangels rechtsgültiger Unterschrift «Formulare ausdrucken, händisch unterschreiben und einsenden». Seit einigen Jahren existieren auch Versuche, die digitale Unterschrift zu lancieren, doch bislang scheiterte es stets an der Umsetzung.

Die Schweizer Post versucht es nun aufs neue mit ihrem Produkt «SuisseID».  Ich hatte die Gelegenheit, den Service zu testen.

Zentraler Dreh- und Angelpunkt bei der digitalen Unterschrift ist die eindeutige, behördlich anerkannte Identifizierung des Anwenders durch die sogenannte Zertifizierung. Denn nur wenn die Identität hinter einer digitalen Unterschrift (dem sogenannten Zertifikat) eindeutig und bestätigt ist, hat die Unterzeichnung auch eine Aussagekraft.

Bei SuisseID benötigt man drei Schritte, bis man Dokumente digital signieren kann. Das kurze Video zeigt sie im Schnelldurchlauf:

[youtube]http://www.youtube.com/watch?v=ZWOeDoMmPJI[/youtube]

Schritt 1) Antragsformular und bestellen

Auf der SuisseID-Website erfährt der interessierte Anwender mehr über die genaue Funktionsweise und den Bestellvorgang. Leider dürfte die Website für den wenig informierten Interessenten viele Fragen offen lassen. Selbst mir ist bis zuletzt nicht genau klar, wo die Unterschiede der verschiedenen Varianten (USB-Reader, SwissStick (ebenfalls USB) oder Kreditkartenformat) liegen, geschweige denn, wofür man sich entscheiden soll. Beim SwissStick (mancherorts wird er SwissSign-Stick genant) befinden sich auf dem Stick noch zusätzliche Anwendungen wie z.B. eine mobile Version von Firefox, welche das sichere Surfen auf fremden Rechnern ermöglicht, ohne dort Spuren zu hinterlassen.
Schön wäre es in jedem Fall, wenn die (wahrscheinlich zahlreich vorhandenen) Unterschiede zwischen USB-Reader und SwissStick in einer übersichtlichen Tabelle aufgelistet wären… denn der Preisunterschied beträgt doch satte 199 Franken.

Nicht nur bei der Produktbeschreibung, sondern auch sonst dreht sich der Kunde ab und an etwas im Kreise. So wird beispielsweise auf der Seite «3 Schritte zum Erwerb» erklärt:

1. Gehen Sie zuerst auf unsere Webseite www.post.ch/suisseid. Hier wählen Sie die für Sie passende Post SuisseID, füllen das Antragsformular aus und bezahlen online.

Für mich war es irgendwie seltsam, denn wenn man den Link anklickt, landet man wieder auf der SuisseID-Startseite… da kommt man doch eben grad her. Besser wäre es da sicher, wenn man stattdessen direkt zum Antragsformular gewiesen würde.

Hat man das gewünschte Produkt ausgewählt, erfährt man den Kaufpreis – und gleichzeitig auch, dass der Kauf einer SuisseID von der Schweizerischen Eidgenossenschaft mit einem CashBack-Angebot in der Höhe von Fr. 65.– subventioniert wird. Auf der zweiten Seite wählt man dann die Gültigkeitsdauer (1 oder 3 Jahre), nach der Angabe von der Anschrift wird man nach der gewünschten Zahlungsart gefragt. Derzeit stehen Postcard, Kreditkarte oder Rechnung (mit 8 Franken Zuschlag) zur Auswahl.

Im günstigsten Fall bezahlt man schlussendlich 38 Franken für eine SuisseID auf dem USB-Reader mit einer Laufzeit von einem Jahr. Bei drei Jahren ist man ab 98 Franken dabei. Aber Achtung: Zuerst bezahlt man mehr und muss dann auf dem CashBack-Portal des Bundes die Rückerstattung der 65 Franken Subvention beantragen. (Schade…schon wieder eine unnötige Hürde, die Zeit und Ausdauer frisst.)

Bei der Eingabe der persönlichen Daten muss man übrigens den amtlich registrierten Vornamen verwenden, genau so wie er im Ausweis steht, also auch mit zweiten Vornamen wenn vorhanden. Sonst wird man beim nächsten Schritt die Poststelle erfolglos verlassen müssen und erneut von vorne beginnen.

Schritt 2) Beglaubigung der Identität

Hat man den Schritt 1 abgeschlossen, erhält man das vorausgefüllte Antragsformular als PDF-Dokument. Dieses hat man auszudrucken und die nächste Postfiliale aufzusuchen. Gegen Vorlage eines amtlichen Ausweises (ID-Karte oder Pass) wird eine «Gelbe Identifikation» ausgestellt. Konkret heisst das, der Postmitarbeiter fertigt eine Kopie des Ausweises an, stempelt diesen und bezeugt damit und mit seiner Unterschrift die Echtheit und meine Identität.

Nun folgte die nächste Absurdität: Das Antragsformular musste ich zusammen mit der gestempelten Ausweiskopie an die Schweizer Post in die SuisseID-Abteilung in Luzern senden. Mein Gegenüber reagierte erstaunt darüber, als ich meinte, sie solle das doch bitte gleich dorthin weitersenden, schliesslich sei es ja derselbe Betrieb. Offenbar erwartet die Post, dass ich nun mit den beglaubigen Zetteln wieder nach Hause gehe, sie dort in ein Couvert eintüte, adressiere und sie nun frankiert zum nächsten Briefkasten trage. Ein meiner Meinung nach unnötiger Leerlauf, denn schliesslich befinde ich mich ja grad eben am Postschalter. Naja, immerhin zückte die freundliche Dame von der Post nach etwas Überzeugungsarbeit doch noch ein gelbes Couvert hervor, welches ich dann zum Einsenden verwenden durfte.

Ich bin gespannt, inwiefern sich das Prozedere mit der Zeit noch besser einspielt. Jede vermiedene Hürde ist förderlich für das Projekt der digitalen Signatur. Es wäre doch sicher keine Sache, dass die Postmitarbeiter von sich aus die Weiterreichung der Formulare an ihre SuisseID-Abteilung anbieten würden…

Schritt 3) SwissSign-Stick aktivieren

Nur wenige Tage später hatte ich dann Besuch vom Postboten. Zuerst kam ein Aktivierungscode, den ich dann später benötigen würde. Am nächsten Tag traf dann der SwissSign-Stick ein.

Steckt man dieses Stick an den USB-Port, öffnet sich beim ersten Mal ein Aktivierungsdialog. Dort erfasst man den zuvor zugesandten Aktivierungscode. Danach ist der Stick aktiviert und kann eingesetzt werden… ach ja, er läuft natürlich sowohl auf Windows-PCs als auch auf Mac-Rechnern.

… und da wäre ich beim Thema: Wofür?

Auf der SuisseID-Website werden einige mögliche Anwendungen aufgezeigt. E-Government (Behörliche Dienstleistungen, Steueramt, MWST-Abrechnung), Single Login bei buch.ch oder bei der webbasierten Buchhaltungslösung von Abacus. Vieles ist angedeutet, konkret ist weniges. Man erkennt aber, dass alle Parteien sehr bemüht sind, das Projekt mit dem nötigen Schwung zu versehen. Doch noch stehen wir ganz am Anfang.

Ich kann zwar schon jetzt ein PDF-Dokument digital signieren und damit «fälschungssicher» machen oder bei buch.ch statt mich mit meinem klassischen Username/Passwort-Login anzumelden einfach den Stick einstecken und mein PIN eintippen. Doch der grosse Nutzen muss wohl noch bewiesen werden. Immerhin: Meine digitale Unterschrift ist jetzt 3 Jahre lang gültig und ich bin gespannt, wann ich sie das erste Mal wirklich einsetzen kann. In Aussicht gestellt wird zum Beispiel die elektronische Einreichung der Steuererklärung. Es dauert ja nicht mehr lange bis 2011 :-)

Ideen für die Zukunft?

Bewegt man sich im Netz sammeln sich unzählige Logins und Passwörter. Will man sich vor den grössten Gefahren schützen, verwendet man an jedem Ort ein eigenes Passwort. In einer Broschüre zu SuisseID wird in Aussicht gestellt, dass mit der digitalen Signatur dieses Problem vereinfacht wird. Doch machen wir uns nichts vor, es wird Jahre dauern bis nur ein kleiner Teil aller Websites diese Art der Identifizierung unterstützen… und zahlreiche kleiner oder ausländische Websites werden dies wahrscheinlich gar nie unterstützen. Daher ist dann trotzdem irgendwann ist die gedankliche Auffassungsgabe erschöpft und es müssen Passwortlisten oder Passwortmanager wie z.B. 1Password oder AI Roboform her. Doch das wiederum ist eine potentielle Gefahr. Schön wäre es, wenn wenigstens diese Tools die digitale Signatur unterstützen würden und so die Passwörtersammlungen damit geschützt würden. Auch als Alternativ zur Anmeldung am Rechner könnte ich mir diesen Stick gut vorstellen.

SuisseID verfolgt übrigens hohe Anforderungen an die Sicherheit. So soll ein Kryptochip das Klonen, Kopieren und Verändern der Daten auf den Stick wirkungsvoll verhindern.

Mehr Infos auf der SuisseID-Website… und wenn Du gleich so ein Ding bestellen möchtest, dann gehts hier lang!