Datenschutz-Forum Markus Naef - CEO 4. September 2019 - Datenschutz-Forum ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz-Forum
Markus Naef
CEO
markus.naef@swisssign.com
4. September 2019
20.06.2019 Seite 1
Weltweit sehen Experten hohe Wertschöpfung für die Wirtschaft dank digitaler Identität.
Vorteile einer digitalen Identität
▪ Gemäss einer von Hyperion unterstützten Studie des „Digital ID & Authentication Council of Canada (DIACC)“
beträgt das Potential einer «verifizierten digitalen Identität» für die kanadische Wirtschaft 1% des
Bruttoinlandproduktes (ca. 15 Mia. CAD). Auf die Schweiz umgerechnet wären dies rund 7 Milliarden CHF (BIP
BIP Potenzial
2017 = 678.9 Mia. CHF).
▪ Eine Studie von McKinsey zeigt, dass eine sichere elektronische Identität bei entwickelten Ländern wie der Schweiz
sogar Einsparungen von 2-4% des BIP bedeuten kann (CHF 13.6 – 27.2 Mia.)
Reduktion ▪ Die Kosten zur Wiederherstellung von Passwörtern betragen laut einer Studie von Centrify (2014) rund 420 US$ pro
Password Jahr und Mitarbeiter.
Recovery ▪ 30-40% aller Call Center Aktivitäten beziehen sich auf Password Recovery (HDI Support). Ein normaler Nutzer
Aufwand
vergisst im Durchschnitt 11-mal sein Passwort – pro Jahr.
▪ Folgen einer fehlenden digitaler Identität sind u.a. Prozessineffizienz und unbefriedigende User Experience, da
Prozess-
Prozesse nicht medienbruchfrei abgebildet werden können und geringere Conversion-Rate aufgrund hoher
effizienz
Abbruchraten.
Seite 2
Lancierung von vielen E-ID Diensten in Europa – CH weit abgeschlagen im E-Government.
Übersicht europäischer Initiativen für elektronische Identitäten
(biennial 2016+2017 averages) – eGovernment Benchmark 2018 European Commission
▪ In Europa sind derzeit diverse E-ID-Initiativen zu beobachten.
▪ Die Schweiz steht mit ihren Digitalisierungsbestrebungen im
▪ Es ist die Absicht des Bundes, eine Interoperabilität zwischen
europäischen Vergleich noch am Anfang.
den europäischen und den CH-Lösungen aufzubauen. Dazu
bedarf es ▪ Die Schweiz liegt laut «The Global Innovation Index 2017» im
internationalen Vergleich bei E-Government nur auf Rang 64
▪ des BGEID.
von 127. Auch im Vergleich zur EU hinkt die Schweiz hinterher.
▪ eines entsprechenden bilateralen Abkommens.
Seite 3
Gesetzliche / wirtschaftliche / persönliche Interessen aller Parteien sind zu berücksichtigen.
Anspruchsgruppen der elektronischen Identität
Erlässt die gesetzlichen
Rahmenbedingungen für den
Einsatz einer digitalen Identität und
den erforderlichen Datenschutz
Gesetzgeber
Suchen für sie nutzenstiftende
Anwendungsmöglichkeiten einer
digitalen Identität zur Vereinfachung
Suchen grosses bestehendes und
bestehender und Erfüllung neuer Identity
Provider neues Kundenpotenzial für ihre
Bedürfnisse – unter Online-
Identitäts- (IdP) digitalisierten Prozesse unter
Berücksichtigung ihrer individuellen dienst-
inhaber Einhaltung der für sie relevanten
Schutzbedürfnisse der Identität anbieter
(IDO) gesetzlichen Bestimmungen
(RP)
Seite 4
CH setzt auf PPP Modell – Anwendungsmöglichkeiten entscheiden mit über den Erfolg
Politische und gesetzliche Entwicklung in der Schweiz (1/2)
Rechtliche Grundlagen und sinnvolle Arbeitsteilung zwischen Staat und Wirtschaft zwingend notwendig, …
▪ Public Private Partnership (PPP) Ansätze zeigen gemessen an der E-ID Durchdringung den
grössten Erfolg. Beispiele sind Dänemark (Penetration 83%), Schweden (76%), Norwegen
(69%) und Niederlande (70%).
▪ Rein staatliche Lösungen wie in Deutschland (3%) und UK (5%) brachten nicht den
gewünschten Erfolg. Ausnahme ist Estland, das jedoch andere Voraussetzungen hat (z.B. keine
föderale Struktur).
▪ Das Bundesgesetz für die elektronischen Identifizierungsdienste (BGEID) geht deshalb
richtigerweise ebenfalls von einer Aufgabenteilung zwischen Staat und Privat aus, d.h. der
Staat ist der Herausgeber der E-ID (Art.6 BGEID) und die Privaten sorgen für deren
Einsatzmöglichkeiten.
Seite 5
Bedroht Referendum den Willen des Parlaments zu einer raschen Einführung der E-ID?
Politische und gesetzliche Entwicklung in der Schweiz (2/2)
Gesetzgebungsprozess verläuft zufriedenstellend…,
▪ Das BGEID wurde in der Frühjahrssession 2019 vom Nationalrat mit deutlicher Mehrheit angenommen.
Der Ständerat tat es dem Nationalrat gleich und hat das BGEID ebenfalls mit grosser Mehrheit
angenommen. Das BGEID lässt mehrere Anbieter (IdP) zu; einige IdPs sind in den Startlöchern.
▪ Die Schlussabstimmung findet voraussichtlich in der Herbstsession 2019 statt. Die Arbeiten betreffend den
Verordnungen wurden initiiert.
▪ Gemäss Aussage BJ kann man frühestens mit einem Inkrafttreten im Q1/2021 rechnen.
▪ Gemäss dem eGovernment Benchmark 2018 ist eine verbreitete E-ID der wichtigste Indikator für eine
erfolgreiche Digitalisierung. Ein verzögertes Inkrafttreten des BGEID hätte negative Auswirkungen auf der
individuellen und volkswirtschaftlichen Ebene.
Seite 6
Missverständnisse im Zusammenhang mit der E-ID / SwissID.
Diskussion wird nicht mit Fakten geführt (1/2).
«Die E-ID wird von Privaten herausgegeben.» «Die Daten werden von Privaten gesammelt,
• Die Daten werden vom Staat herausgegeben – und damit auch die ausgewertet und monetarisiert.»
E-ID.
• Der Datenschutz steht auch bei der E-ID an erster Stelle / BGEID
• Karin Keller-Sutter: «Die E-ID ist im Kern also nichts anderes als ein geht über DSG hinaus
gesetzlich geregelter Datensatz. Diese Daten werden vom Staat
herausgegeben - und damit letztlich auch die E-ID. Die Privaten geben • Laut dem Gesetz dürfen die Daten von den IdP nicht länger als 6
einzig das Zugangsmittel heraus». Monate gehalten werden.
• Lancierung der E-ID eben nicht dem Markt überlassen, sondern der • Zudem gilt für die Aufbewahrung der Daten die getrennte Haltung
Staat übernimmt eine zentrale und wichtige Rolle (Herausgabe von Transaktions- und Identifikationsdaten, sodass keine
der E-ID, Anerkennung der Anbieter, strenge Kontrolle, Rückschlüsse (also Persönlichkeitsprofile) erstellt werden können
Rahmenbedingungen, vgl. hierzu Art. 6 BGEID (vgl. hierzu Art. 9 BGEID «Datenbearbeitung und –haltung»).
«Ausstellungsprozess», Art. 13 BGEID «Anerkennung», Art. 19 BGEID
«Aufsichtsmassnahmen und Entzug der Anerkennung»). • SwissSign Group ist eine unabhängige, eigenständige
juristische Person – die Aktionäre haben lediglich die
• Zertifizierte private Unternehmen machen die E-ID im digitalen Umfeld Finanzierung übernommen. Sie haben niemals Zugriff auf die
nutzbar und sind für den Aufbau der technischen Infrastruktur Daten die bei SwissSign Group entsprechend den gesetzlichen
sowie des Ökosystems (2-seitiger Markt) zuständig. Nur der Staat Vorlagen gehalten werden (vgl. Art. 15 lit. j BGEID sowie Art. 16
entscheidet, ob jemand eine E-ID beziehen kann oder nicht. «Datenweitergabe»). Das Konsortium leistet einen grossen Beitrag
zur Digitalisierung der Schweiz.
Seite 7
Missverständnisse im Zusammenhang mit der EID / SwissID.
Diskussion wird nicht mit Fakten geführt (2/2).
«Die E-ID ist ein digitaler Pass.» «Anonyme Nutzung im Internet wird nicht
mehr möglich sein.»
• Die E-ID berechtigt nicht zum Reisen oder zum Grenzübertritt.
• Nicht bei jeder Nutzung der SwissID werden E-ID Daten geteilt –
• Die E-ID bietet die Möglichkeit, sich im Internet bei Online-Transaktionen Grundsatz der Datensparsamkeit.
sicher auszuweisen. Dadurch können mehr Online-Transaktionen
erschlossen werden, als es mit selbstdeklarierten Identitäten möglich ist. • Es besteht auch die Möglichkeit mehrere SwissIDs anzulegen und
weiterhin selbstdeklarierte Logins zu nutzen.
• Der Bund plant also keinesfalls einen Systemwechsel, wie es von der
Allianz gegen private E-ID behauptet wird. • Nicht der Identity Provider sondern die Relying Party entscheidet,
welche Daten für den Online-Prozess benötigt werden.
Staat ist Herausgeber der E-ID und nimmt eine tragende Rolle ein.
Referendum würde die Digitalisierung der Schweiz um 4-6 Jahre verzögern. Volkswirtschaftliche Vorteile einer digitalen Identität
könnten nicht realisiert werden.
Seite 8
RÜCKBLICK
Seite 9
Wir sind seit 18 Jahren im Vertrauensgeschäft tätig.
Firmenchronik
2001 2005 2006 2013 2016 2017 2018
Start-Up für 100% Anerkannte FINMA-Zulassung EU-konforme Mai 17 Februar 18
zertifikats-basierte Tochterunter- Zertifizierungs- für Outsourcing Zertifizierungs- Gemeinschafts- Gründung SwSG
IT-Sicherheit und nehmen der stelle gemäss von Bankdiensten stelle gemäss unternehmen
Datenschutz Schweizerischen Bundesgesetz eIDAS-Verordnung 50-50% von
Post ZertES Post und SBB
Oktober 17
Start SwissID, der
digitalen Identität
der Schweiz
November 17
Signing
Memorandum of
Understanding
SwSG
Lösungen im Umgang mit Vertrauen sind seit der Firmengründung 2001 das Kern-Geschäft des Unternehmens und daher stark in
der DNA der SwissSign verankert.
Mit der Gründung des Konsortiums der SwissSign Group wurden die Weichen für eine erfolgreiche Zukunft als führender
Identitätsanbieter der Schweiz gestellt.
Seite 10Aufbau eines zweiseitigen Marktes.
SwissID-Nutzer Hoch verifiziert Einfach verifiziert oder selbstdeklariert
«Kritische Masse»
2017 2018 2019 2020 2021
50
Onlinedienstanbieter
03.09.2019 Seite 11Login mit SwissID wird zum Standard.
Innerhalb von 14 Monaten 930’000 SwissID NutzerInnen –
gegen 2022 werden es 4’000’000 sein.
Behörden & ÖV Medien & Andere Finanzindustrie Demnächst verfügbar
03.09.2019 Seite 12EINBLICK
Seite 13Identitäts- und erweiterte Attribute werden ganz klar unterschieden.
Attribute Sharing: Informationen freigeben
Identitätsattribute (zukünftig auch E-ID konform)
▪ Vorname(n)
▪ Nachname ▪ Identitätsattribute sind untrennbar mit der Person verbunden
Identitäts- ▪ Geburtsdatum ▪ Umfang und Qualität der mit der SwissID verbundenen Identitätsdaten hängen von
Attribute * ▪ Geschlecht der Güte des vom IDO gewählten Registrationsprozesses ab
▪ Diese reichen von selbstdeklarierten, ungeprüften Angaben zu Namen und
▪ Geburtsort / Heimatort
Vornamen für einfache Geschäftsfälle bis zu amtlich verifiziertem Geburtsdatum für
▪ Nationalität Finanzdienstleistungen mit GwG Konformitätszwang
Mobil-
nummer
Erweiterte Attribute
Korrespondenz-
E-Mail
adresse
▪ Erweiterte Attribute ergänzen die Identitätsattribute um zusätzliche Informationen zu
einer natürlichen Person und ermöglichen und vereinfachen weitere Prozesse für
IDO und RP
Aus- Identitäts- Bonitäts-
bildung rating
▪ Sie werden je nach Wahl und erst nach expliziter Zustimmung des IDO von
attribute
SwissSign Group oder einem Drittanbieter (Attributprovider) dem Ökosystem
hinzugefügt und unterhalten
Firmen- Führer-
▪ Der IDO behält wie bei den Identitätsattributen die Kontrolle, welche Attribute er
zugehörigkeit ausweis welcher RP in welchem Kontext zur Verfügung stellt
Fahrzeug-
ausweis * Mit Inkrafttreten des BGEID wird zusätzlich das Gesichtsbild und die E-ID Reg-Nummer zur Verfügung gestellt
Seite 14Zukünftiges E-ID System ist Teilmenge des SwissID Ökosystem.
Design des Ökosystems «elektronische Identität»
IDO RP
Digitale Geschäftsbeziehung
SwissID
RA Single IdP
E-ID basierte
B2B Services
Identitätsdaten-
bereitstellung
(ab BGEID)
Register des Bundes Attribute Provider Service Provider
Seite 15Lisa möchte …
• sich sicher und einfach einloggen.
• Sicherheit und Transparenz.
• Datenhoheit und Kontrolle.
• ihre Daten in der Schweiz behalten.
• digital unterschreiben.
• sicher auf das EPD zugreifen.
03.09.2019 Seite 16Die SwissID stellt die Funktionalitäten rund um die digitale Identität modular bereit.
Kernprodukte der SwissID
Zugang zu Mehrwertdiensten
z.B. digitale Signatur,
elektr. Patientendossier
Der modulare Produktaufbau Informationen freigeben
erlaubt eine bedürfnisgerechte von selbstdeklariert bis hoch verifiziert
Abdeckung der spezifischen
Kundenbedürfnisse seitens IDO
Einfaches und sicheres Einloggen
und RP
Einfach / Sicher / Praktisch
Bereitstellung von Identitäten
selbstdeklariert oder verifiziert
Seite 17Was ist eigentlich eine digitale Identität?
Kombination aus 4 Faktoren
Verifizierte Attribute Inhaber-Dashbord
Einmaliger Set an zuordenbaren Eigenkontrolle durch Zugang zur
Attributen (Personeninformation, Überprüfung der Angaben und Consent
biometrische Informationen) Management
bestätigt durch eine offizielle Quelle
01001100
0110
11110001
------- Digitale
------- Identität =axc12/sl4ss
60722d//crvv
124397frv.t3
Das Mittel zur Bestätigung der Einzigartige, eindeutig
Identität eines Inhabers. Besteht zuordenbaren Nummer zur
aus einem oder mehreren technischen Identifikation des
Faktoren (Wissen, Haben, Sein) Identitätsinhabers
Authentificator Eindeutiger Identifikator
Seite 18SwissID ist bereit für E-ID.
Kombination aus QoR und QoA bestimmt den LoT.
Quality of Registration (QoR)
Quality of Authentication
n/a
Level 3 E-ID hoch Klassifiziert die Qualität der Authentifikation des
LoT 3 Identitätsbesitzers (IDO) bezüglich genutzter
Authentifikationsmittel
E-ID substantiell E-ID substantiell
Level 2
Quality of Registration
LoT 2 LoT 2+
Klassifiziert die Qualität des Identifikationsprozesses
n/a bezüglich physischer Anwesenheit des IDO und der
E-ID niedrig E-ID niedrig
Level 1 Validierung der Identitätsdokumente
LoT 1
Level of Trust
Level 0 Klassifiziert den Level of Trust (LoT) bezüglich der
LoT 0 LoT 0+ Quality of Kombination von QoA und QoR.
Authentication
1FA 2FA 2FA+ 2FA (QoA)
(zert. Hardware)
Seite 19Abgestufte Authentifizierungsmöglichkeiten decken breite Bedürfnispalette ab.
Authentifizierung: Einfaches und sicheres Einloggen
1FA, via Passwort Von schnell und einfach … 2FA, via Passwort & SwissID App
Schnelle und einfache Passwortlösung für den
unkomplizierten Zugriff für unkritische
Anwendungsfälle
… bis ganz sicher und trotzdem bequem!
Sichere und trotzdem bequeme 2FA für
sensitive Anwendungsfälle und RPs / IDOs mit
individuellen Schutzbedürfnissen.
Seite 20Beispiel: Einfach und sicher eine Altersverifikation im Onlineshop durchführen.
Attribute Sharing: Informationen freigeben
▪ Mit wenigen Clicks gibt der IDO nur die
für den Geschäftsfall relevanten
Attribute frei, ohne seine gesamte
Identität preisgeben zu müssen.
▪ Der RP erhöht die Rechtsicherheit
seines Onlinekanals ohne aufwändige
Identifikationsprozesse mit hohem
Abbruchsrisiko.
Seite 21Richtige Identität / LoT ist Basis für (zukünftig) weitere Applikationen.
Geschäftsanwendungen
▪ Basierend auf einer verifizierten Identität können weitere Dienstleistungen angeboten werden, z.B. bereits heute der medienbruchfreie,
verzugsfreie und rechtsgültige Abschluss eines Vertrags mit der qualifizierten elektronischen Signatur (QES) gemäss ZertES.
▪ Die Vereinheitlichung der heutigen unterschiedlichen Sicherheitsanforderungen (GwG, ZertES) durch die Einführung der E-ID bietet neue
Chancen und erweiterte Anwendungsfelder z.B. die Einbindung von Payment Services, elektronisches Patientendossier (EPD).
Qualifizierte elektronische Signatur (QES) Elektronisches Patientendossier (EPD)
Seite 22Kontrolle der Daten liegt jederzeit bei Lisa.
User Self Management
Lisa Muster
Seite 23Lisa nutzt SwissID App
als digitales Sackmesser
20.06.2019SwissID App – das digitale Sackmesser.
Mobile First
• Mit 2FA kann der Nutzer optional eine zusätzliche
Sicherheitsstufe hinzufügen.
• Mit Identity check kann der Nutzer seiner SwissID eine
verifizierte Identität hinzufügen. Alles ganz einfach
online.
Seite 25Online Präsenz erlaubt einfaches Onboarding für einfach verifizierte Identitäten.
IDO Onboarding
Mittels SwissID App kann der zukünftige oder bestehende SwissID Inhaber einfach und schnell 24/7 eine verifizierte Identität
erstellen. Und dies für über 190 verschiedene Nationalitäten.
Seite 26Alle Parteien und Beteiligten sind sich einig.
Die Schweiz braucht eine E-ID.
Auch die Allianz gegen eine private E-ID sagt: «Es ist wichtig und richtig,
dass der Bevölkerung baldmöglichst eine digitale Identifikation zur
Verfügung steht.»
Der gegenwärtige Vorschlag des Bundesrates erlaubt es eine staatliche
E-ID mit Unterstützung der Privatwirtschaft schnell und erfolgreich
einzuführen.
Seite 39Wir ermöglichen jedermann,
seinen digitalen Alltag sicher und
einfach zu gestalten.
Seite 40Danke!
Sie können auch lesen
