Eine E-ID auf Basis SSI – welche regulatorischen Voraussetzungen müssen geschaffen werden?

Auf der Basis des Diskussionspapiers zum «Zielbild E-ID» und den Erkenntnissen aus der konferenziellen Diskussion vom 14. Oktober wurde ein Richtungsentscheid des Bundesrates bis Ende 2021 in Aussicht gestellt und am 17. Dezember publiziert. DIDAS begrüsst das darin enthaltene Bekenntnis zur Umsetzungsvariante SSI der E-ID sowie zum Ambitionsniveau 3 gemäss Zielbild E-ID.

In der Umsetzungsvariante SSI wird eine dezentrale Lösungsarchitektur verankert, die auf maximalen Schutz der Privatsphäre setzt. Im Ambitionsniveau 3 wird ein Einsatz der E-ID auch ausserhalb von eGovernment in weiteren Sektoren angestrebt, um damit maximalen Mehrwert für die Bevölkerung der Schweiz zu generieren. Dieses Ambitionsniveau geht also klar über die Schaffung der E-ID hinaus und bezweckt den Bau eines Ökosystems von (Domain-)Ökosystemen, in dem nebst der E-ID auch andere Nachweise sicher ausgetauscht werden können.

In einem solchen Umsetzungsszenario spielt die E-ID zwar eine wichtige Rolle, ist aber nur Teil des Puzzles. In diesem Blogpost möchten wir aus Sicht DIDAS darlegen, welche regulatorischen Voraussetzungen für eine Umsetzung geschaffen werden müssen.

Als erstes betrachten wir die folgenden Ebenen im SSI-Modell: «Holder», «Issuer&Verifier», sowie «Dezentrales Vertrauensnetzwerk»:

 

Holder: Zentral für den Erfolg eines SSI-basierten E-ID-Ökosystems ist der niederschwellige Zugang zu geeigneten Wallets. Wir gehen davon aus, dass sich hier ein Markt entwickeln wird. Für den Einsatz als Träger der E-ID dürften hierfür von staatlicher Seite Minimalanforderungen an die Wallets oder Zertifizierungsprozesse vorgegeben werden müssen.

Issuer&Verifier: In vielen Sektoren bestehen bereits operative oder fachliche Standards für den Austausch von Nachweisen. Teilweise beruhen diese auf regulatorischen Vorgaben, in vielen Fällen sind deren Träger jedoch Organisationen des Sektors. Diese bereits bestehenden Strukturen sollen unbedingt beibehalten werden und sind, sofern notwendig, so anzupassen oder zu erweitern, damit sich diese auf das gemeinsame Vertrauensnetzwerk abstützen können. Möglicherweise sind hierfür Anpassungen von Erlassen in den Regulatorien einzelner Sektoren notwendig. Darunter fällt insbesondere auch die Schaffung des Rahmens für die Einbettung ins übergreifende LEI-Framework, um damit die internationale Nutzung zu unterstützen. Dieser Punkt bezieht sich explizit nicht nur auf die E-ID oder den Sektor eGovernment (Ambitionsniveau 1, resp. 2), sondern auf das gesamte Ökosystem gemäss Ambitionsniveau 3.

Vertrauensnetzwerk: Das Vertrauensnetzwerk ist die gemeinsame Basis für den sicheren Austausch von Nachweisen zwischen allen Akteuren. Dies kann z.B. auf Basis einer Blockchain erfolgen, es sind aber auch andere Möglichkeiten denkbar. Hier besteht klarer Bedarf für die Klärung der Governance im Sinne einer staatlichen Aufsicht, sowie der technischen und betrieblichen Standards. Die Entwicklung dieser Standards, aber auch die Ausübung betrieblicher Aufgaben, wie z.B. der Betrieb von Nodes bei einer Umsetzung mit Blockchains, sind vorzugsweise in Zusammenarbeit mit Organisationen aus den verschiedenen Sektoren zu erbringen.

Da sich in diesem Ökosystem verschiedene Sektoren einbringen werden, möchten wir auf das Zusammenspiel dieser Sektoren näher eingehen:

 

Die E-ID, als ein wichtiges Puzzleteil des Ökosystems, verorten wir im Sektor «eGovernment». Dort werden unter anderem die Ausstellungsprozesse der E-ID und die Aufgabenteilung zwischen Bund und Kantonen geregelt werden müssen. Aber auch Aspekte der internationalen Interoperabilität sind angemessen zu berücksichtigen. In ähnlicher Manier werden im Bildungssektor die notwendigen Standards für Ausbildungstitel, oder Standards für Gesundheitsnachweise im Gesundheitssektor festgelegt werden. Allen Sektoren obliegt es zudem, dass deren Vertrauensanker im Vertrauensnetzwerk hinterlegt werden. Damit wird der gesicherte Austausch von Nachweisen über Sektorgrenzen hinweg unterstützt.

 

Zusammenfassend schlagen wir folgende drei Hauptmassnahmen vor:

1. Im Sinne einer «Sektorlösung eGovernment» soll der Bund zusammen mit den Kantonen die Ausgestaltung der Prozesse rund um die E-ID definieren. Damit erhalten die Einwohner der Schweiz die Möglichkeit ihre persönliche E-ID als «Verifiable Credential» in ihrem Wallet abzulegen und zu nutzen. Hierbei sind die internationalen Entwicklungen zu berücksichtigen. Anforderungen an Wallets, in welchen E-IDs gehalten werden können, sind zu definieren.
2. In den einzelnen Sektoren soll auf bestehenden Strukturen aufgebaut werden. Wo notwendig, sollen bestehende Regularien dahingehend angepasst werden, dass die Nutzung der E-ID und des Ökosystems für digitale Nachweise ermöglicht werden. Hierin enthalten ist zudem die Einbettung ins übergreifende LEI-Framework, um internationale Nutzung zu unterstützen.
3. Für das Vertrauensnetzwerk sind klare Rahmenbedingungen zur Governance, aber auch zu den technischen und betrieblichen Standards zu definieren. In die betriebliche Umsetzung des Vertrauensnetzwerks sollen jedoch Organisationen aus den Sektoren eingebunden werden und damit die Dezentralität des Vertrauensnetzwerks gestärkt werden.