Ich setze mich bekanntermassen sehr für IT-Sicherheit und Privatsphäre ein. Und genau deshalb finde ich die E-ID in ihrer jetzt geplanten Form eine ganz wichtige Zutat. Hier meine Gründe für ein Ja am 28. September. Zusammen mit Hintergründen, die Einblick in die E-ID und ihre Geschichte und Funktionsweise geben.
Ich bin für eine e-ID, weil wir gerade in der Zeit von zunehmender Cyberkriminalität, Phishing, Deepfakes und anderen KI-unterstützten Angriffen eine sichere Möglichkeit zum Aufbau einer (technischen) Vertrauensbeziehung benötigen.
«e-ID explained»-Serie
Füir DNIP.ch habe ich eine Miniserie mit Hintergrundinformationen zur e-ID geschrieben. Ihr findet die drei Artikel dazu hier:
- «Wieso und wie?»: Was sind die Entwicklungen zur elektronischen Identität?
- «Wie funktioniert sie?»: Die Technik der Schweizer e-ID
- «Jugendschutz und Anonymität»: Löst die Technik alle Probleme?
Wieso eine elektronische Identität?
Wir zeigen bei verschiedenen Gelegenheiten Ausweisdokumente:
- Einen Führerausweis bei Automiete oder wenn ein Polizist uns beim Schlangenlinienfahren ertappt.
- Einen SwissPass, wenn wir im Zug sitzen und zum halben Preis fahren wollen.
- Eine Studierendenlegi, wenn es für gewisse Produkte und Dienstleistungen entsprechende Rabatte gibt.
- Eine Identitätskarte oder Pass beim Grenzübertritt (wenn auch kaum mehr in Europa); beim Eröffnen eines Bankkontos; bei Behördengängen; beim Check-in am Hotel oder Flughafen; beim Einkauf von Alkohol und Tabak, wenn wir jung aussehen; beim Betreten von Clubs; beim Notar wegen Hauskauf oder Firmengründung; beim Abschluss bestimmter Verträge; …
- Uvam.
Konzentrieren wir uns vorerst auf ID und Pass.
Auch da haben wir schon eine lange Liste. Und während wir beim Grenzübertritt oder beim Betreten des Clubs zwangsweise vor Ort sind, initiieren wir viele andere Vorgänge inzwischen auch online. Zum Bestellen von Leumundszeugnis und Betreibungsregisterauszug bei Wohnungs- oder Stellensuche wollen die wenigsten sich ein paar Stunden Zeit nehmen, um zur entsprechenden Behörde zu gehen; ganz besonders nicht Personen, die nicht am Wohnort oder in der Kantonshauptstadt arbeiten.
ID-Kopie als Option?
Auch wenn vielleicht einige Ämter mit dem Faxen einer ID-Kopie glücklich sind, das ist keine zukunftsfähige Lösung (und war es wahrscheinlich auch noch nie).
Doch die elektronische Übermittlung einer ID-Kopie kommt mit gravierenden Nachteilen, sowohl für die Person, die den Ausweis vorzeigt, als auch für die überprüfende Stelle:
1. Anonymität
Wenn eine jung aussehende Person am Laden um die Ecke eine Flasche Bier kaufe, wird die Kassierin wohl die ID sehen wollen. An die meisten dieser IDs wird sie sich ein paar Stunden oder Tage später nicht mehr erinnern; und sicher nicht an die Details.
Das gibt also eine gewisse Anonymität. Diese Anonymität fällt aber weg, wenn ich eine ID-Kopie via Fax oder Mail oder App an einen Datenverarbeiter schicke. Dieser kann, will oder muss diese Kopie längere Zeit aufbewahren und kann sie speichern und auswerten.
2. Zuverlässigkeit
Ein zweites Problem mit ID-Kopien existiert für die kontrollierende Stelle: Wenn das Betreibungsamt meine ID-Kopie gefaxt (oder gemailt) erhält, woher weiss die Betreibungsbeamtin, dass auch wirklich ich meine ID gesendet habe? Und nicht einer der Dutzende anderer Dienste, welche von mir in den letzten Jahren alle schon eine ID-Kopie bekommen haben? Oder stammt sie von einer kriminellen Organisation, welche mich mit einem Phishing-Angriff übertölpelt hat und daher eine ID-Kopie von mir hat?
Bei all‘ diesen Verfahren ist eine direkte Zuordnung vom Ausweisdokument zur präsentierenden Person nicht möglich und Identitätsdiebstahl würde noch einfacher und detaillierter möglich.
Natürlich gibt es Ansätze, bei denen man beim Übermitteln der ID-Kopie noch ein kleines Video von sich drehen muss. Besonders bei Online-Banken und -Kreditkartenunternehmen ist das sehr beliebt. Doch auch diese Verfahren lassen sich austricksen, wie der Chaos Computer Club (CCC) vor ein paar Jahren an einem Beispiel gezeigt hat. Und mit Deepfakes dürfte das alles inzwischen noch viel einfacher und überzeugender geworden sein.
Das Vertrauensproblem
Das Problem sind die fehlenden Vertrauensbeziehungen im Handy-Video-Ansatz oben.
Erstens weiss die Nutzerin, was der Dienstleister mit ihren Bildern macht – und ob es überhaupt der gewünschte Dienstleister ist oder eine kriminelle Organisation, die gerade eine Phishing-Kampagne am Laufen hat und der man seine wertvollsten Identitätsdokumente auf dem Silbertablett überreicht.
Zweitens hat der Dienstleister keine Ahnung, ob die Person wirklich vor der Kamera sitzt oder nur ein Video eingespielt wird. Im CCC-Beispiel war das ein Video, bei dem Teile des Bildes ersetzt wurden, damit ID und Person zusammenpassten. Heute würde man möglicherweise (zusätzlich) zu Deepfakes greifen, also KI-generierten Fake-Videos.
Auch das Überprüfen der Sicherheitsmerkmale der Identitätskarte ist aus der Ferne kaum möglich: Kartenmaterial, Hologramm, Riffelungen und Mikrodrucke sind nicht oder kaum aus der Ferne zu identifizieren.
Die Idee hinter der E-ID ist es nun, diese Vertrauensbeziehung zu stärken und damit die beiden Probleme zu lösen.
Der Lösungsansatz
Wenn wir auf jedem Kommunikationsschritt eine Vertrauensbeziehung aufbauen können, sind die Probleme viel besser anzugehen. Dazu baue ich eine Vertrauensbeziehung zu meinem Telefon auf (Identifikation mit Fingerabdruck, Gesicht oder PIN) und der darin enthaltenen swiyu-Wallett-App auf. Diese wiederum bestätigt meine Identität gegenüber dem Online-Shop oder der Behörde.
Wie das genau funktioniert, habe ich in Teil 1 der DNIP-Serie auf abstraktem, motivierenden und in Teil 2 auf technischem Niveau beschrieben (aber auch das sollte gut und einfach verständlich sein).
Im technischen Teil erkläre ich beispielsweise, wie umgesetzt wird, dass ich nur einzelne Felder (Attribute) meiner E-ID vorzeigen kann und doch klar ist, dass es eine offizielle E-ID ist, die sogenannte «Selective Disclosure». Daneben ist auch beschrieben, wie verhindert wird, dass zwei separate Händler erkennen können, dass ich dieselbe Person bin («technische Identitäten» und «Batch Issuance»). Auch wenn die Fachwörter jetzt bedrohlich klingen, der Artikel ist es hoffentlich nicht.
Weiterführende Literatur
Zur E-ID 1.0 (vor 4−8 Jahren)
- Année Politique Suisse: Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz; BRG 18.049).
Medienspiegel aus der ersten E-ID-Abstimmung. - Digitale Gesellschaft: Elektronische Identifikation (E-ID).
Ein Dossier mit der Entwicklung des E-ID-Gesetzes zwischen 2017 und heute.
Zur E-ID 2.0 (jetzt)
- Bundesrat: Volksabstimmungen vom 28. September 2025: E-ID-Gesetz, 2025-08-11.
Die Informationen zur Abstimmung aus dem Abstimmungsbüchlein. - Reto Vogt: Bund speichert biometrische Daten zur e-ID bis zu 15 Jahre, DNIP, 2025-01-15.
Blick hinter die Kulissen der Abläufe. - DNIP Briefing #20: ID auf Knopfdruck, DNIP, 2025-04-08.
Das Problem der Fälschung von Plastik-IDs für die Identifikation per Handy. - Adrienne Fichter: Wie wirkt sich die EU-Digitalpolitik auf die Schweiz aus? Ein paar ausgewählte Baustellen, DNIP, 2025-03-20.
Elektronische Identitäten sind auch international nützlich. - Patrick Seemann: Was erwartet uns 2025: das Wichtigste zu Chatkontrolle, e-wasauchimmer und Cybersecurity, DNIP, 2025-02-10.
Jahresanfangsprognosen zur E-ID. - Reto Vogt: Vogt am Freitag: Zwischentöne, DNIP, 2025-05-09.
Wieso man gegen e-Voting und Überwachung sein kann und trotzdem für eine E-ID. - Reto Vogt: Vogt am Freitag: Gespenster, DNIP, 2025-08-15.
Ein Faktencheck der Argumente der E-ID-Gegner:innen. - Zeidgenosse (Pseudonym): E-ID-Gesetz | Volksabstimmung, 28. September 2025, 2025-08-11.
Youtube-Video mit Betrachtung der Argumente der Befürworter und Gegner.
Zu Identifikationspflichten
- Adrienne Fichter: Die Schweiz führt eines der internetfeindlichsten Gesetze Europas ein – und niemanden interessierts, DNIP, 2023-01-05.
Kritik am Jugendschutzgesetz und der mangelnden Internet-Kompatibilität. - Patrick Seemann und Marcel Waldvogel: Jugendschutzgesetz in den Medien, ein kleiner Faktencheck, DNIP, 2023-01-16.
Analyse des Gesetzes und seiner Abhängigkeiten; Aufzeigen der de-facto-Ausweispflicht. - Patrick Seemann: Verordnung zum Jugendschutzgesetz- Ausweispflicht? Ausweispflicht!, DNIP, 2023-06-21.
Laut gültigem Gesetz wird eine Alterskontrolle zum Jugendschutz nötig sein. Wir können aber noch mitbestimmen, wie viel wir preisgeben wollen. - DNIP Briefing #37: Türsteher, DNIP, 2025-08-12.
Die Probleme bei der Einführung von Jugendschutzgesetzen und Alterskontrollen im Internet, wenn keine E-ID verfügbar ist. - Patrick Seemann: Ganz anonym im Internet war gestern …, DNIP, 2025-07-31.
Überblick über den Stand von Jugendschutzgesetzen in der Schweiz und den erweiterten Nachbarländern.
Zu Identifikationsproblemen
- Erdgeist (Pseudonym): Chaos Computer Club hackt Video-Ident, CCC, 2022-08-10.
Die fehlerfreie technische Umsetzung von Video-Identifikation am Handy ist alles andere als einfach. - Marcel Waldvogel: Elektronischer Impfnachweis: Heureka! Heureka?, DNIP, 2021-03-12.
Wieso Identifikation nicht einfach ist. Und ein paar Lösungsansätze. - Cory Doctorow: „Privacy preserving age verification“ is bullshit, Pluralistic, 2025-08-14.
Kritik an der Altersverifikation im Allgemeinen, der Altersverifikation über Gesichtserkennung und Verhaltensanalyse im Besonderen; sowie das Aufzeigen, dass Altersverifikation als Selbstzweck nicht funktioniert in einem Land, das es nicht einmal schafft, eine nationale Identitätskarte herauszugeben. - Steven M. Bellovin: Privacy-Preserving Age Verification—and Its Limitations (PDF), datiert auf 2025-10 (das Datum des Workshops, an dem es präsentiert werden soll).
Aktuelles zu IT-Sicherheit und Privatsphäre
- Ransomware-sicheres Backup
Cyberangriffe können verheerend sein. Doch ein letztes Sicherheitsnetz ist nicht so schwierig zu bauen. Hier die Hintergründe, was es beim Aufbau eines Ransomware-resilienten Backupprozesses zu beachten gilt. - Löst die e-ID die Probleme von Jugendschutz und Privatsphäre?
Heute gehen wir der Frage nach, ob eine e-ID unsere gesellschaftlichen Probleme im Internet lösen kann. Und wie wir zu einer besseren Lösung kommen. - 📻 E-ID: Kollidiert Altersverifikation mit dem Recht auf Anonymität?
Die e-ID ist aktuell auch im rund um Altersverifikation in Diskussion. In einem Interview mit Radio SRF versuchte ich, einige Punkte zu klären. - Ja zur E-ID
Ich setze mich bekanntermassen sehr für IT-Sicherheit und Privatsphäre ein. Und genau deshalb finde ich die E-ID in ihrer jetzt geplanten Form eine ganz wichtige Zutat. Hier meine Gründe für ein Ja am 28. September. Zusammen… Ja zur E-ID weiterlesen - CH-Journi-Starterpack fürs Fediverse
Im gestrigen Artikel rund ums Fediverse – das offene, föderierte soziale Netzwerk – hatte ich euch ein Starterpack versprochen. Hier ist es und bringt euch deutschsprachige Journalistinnen, Journalisten und Medien aus der Schweiz und für… CH-Journi-Starterpack fürs Fediverse weiterlesen - Föderalismus auch bei sozialen Netzen
Föderalismus liegt uns im Blut. Unsere gesamte Gesellschaft ist föderal aufgebaut. Aber – wieso lassen wir uns dann bei sogenannten «sozialen», also gesellschaftlichen, Netzen auf zentralistische Player mit absoluter Macht ein? In den digitalen gesellschaftlichen… Föderalismus auch bei sozialen Netzen weiterlesen - Unterschreiben gegen mehr Überwachung
Der Bundesrat will auf dem Verordnungsweg den Überwachungsstaat massiv ausbauen und die Schweizer IT-Wirtschaft im Vergleich zu ausländischen Anbieter schlechter stellen. Deine Unterschrift unter der Petition hilft! - Sichere VoIP-Telefone: Nein, danke‽
Zumindest war dies das erste, was ich dachte, als ich hörte, dass der weltgrösste Hersteller von Schreibtischtelefonen mit Internetanbindung, Yealink, es jedem Telefon ermöglicht, sich als beliebiges anderes Yealink-Telefon auszugeben. Und somit als dieses Telefonate… Sichere VoIP-Telefone: Nein, danke‽ weiterlesen - Diceware: Sicher & deutsch
Diceware ist, laut Wikipedia, «eine einfache Methode, sichere und leicht erinnerbare Passwörter und Passphrasen mithilfe eines Würfels zu erzeugen». Auf der Suche nach einem deutschsprachigen Diceware-Generator habe ich keinen gefunden, der nur im Browser läuft,… Diceware: Sicher & deutsch weiterlesen - Nextcloud: Automatischer Upload auf Android verstehen
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft. - VÜPF: Staatliche Überwachungsfantasien im Realitätscheck
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen - Phishing-Trend Schweizerdeutsch
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen - Persönliche Daten für Facebook-KI
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen - In den Klauen der Cloud
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt. - Können KI-Systeme Artikel klauen?
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen - Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt. - Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz
Hatte mich nach wahrscheinlich mehr als einem Jahr mal wieder bei Facebook eingeloggt. Das erste, was mir entgegenkam: Offensichtlicher Spam, der mittels falscher Botschaften auf Klicks abzielte. Aber beim Versuch, einen wahrheitsgemässen Bericht über ein… Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz weiterlesen - Was verraten KI-Chatbots?
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen - Sicherheit versteckt sich gerne
Wieso sieht man einer Firma nicht von aussen an, wie gut ihre IT-Sicherheit ist? Einige Überlegungen aus Erfahrung. - Chatkontrolle: Schöner als Fiktion
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist. - Chatkontrolle, die Schweiz und unsere Freiheit
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz? - Cloudspeicher sind nicht (immer) für die Ewigkeit
Wieder streicht ein Cloudspeicher seine Segel. Was wir daraus lernen sollten. - IT sind nicht nur Kosten
Oft wird die ganze IT-Abteilung aus Sicht der Geschäftsführung nur als Kostenfaktor angesehen. Wer das so sieht, macht es sich zu einfach. - CrowdStrike, die Dritte
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen - Unnützes Wissen zu CrowdStrike
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen - Marcel pendelt zwischem Spam und Scam
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen. - Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen - «CrowdStrike»: Ausfälle verstehen und vermeiden
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen - Auch du, mein Sohn Firefox
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten. - «Voting Village»-Transkript
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
Schreibe einen Kommentar