Annemieke Stössel aus Oberkirch LU hat bei der Post ein Benutzerkonto. So kann sie übers Internet auf dem Portal der Post zum Beispiel einen Nachsendeauftrag erteilen oder jemandem eine Vollmacht zum Abholen ihrer Sendungen geben.
Kürzlich teilte ihr die Post per E-Mail mit, sie müsse sich innert zehn Tagen auf ihrem Benutzerkonto einloggen und ihr Konto mit der neuen SwissID verknüpfen, einer Art digitalen Identität. Stössel ärgert sich: «Die Post will mich zum Anlegen einer elektronischen Identifizierung zwingen.» Stössel möchte sich weiterhin mit dem bestehenden Login anmelden. Das passte der Post nicht. Sie teilte ihr mit, sie akzeptiere nur noch die Anmeldung per SwissID. Stössel will Postdienstleistungen nun boykottieren.
Bisher war die Anmeldung auf dem Post-Portal ganz einfach: Die Kunden gaben ihre E-Mail-Adresse an und wählten ein Passwort. Neu werden sie von der Post auf die Website von SwissID weitergeleitet und müssen sich dort anmelden. Zurzeit geschieht das weiterhin mit E-Mail-Adresse und Passwort. Um die Verbindung zusätzlich abzusichern, kann man sich auf Wunsch einen SMS-Code zuschicken lassen oder eine Streichliste mit Einmalcodes benutzen – ähnlich wie beim E-Banking. Ab Mitte Jahr soll es alternativ möglich sein, sich mit Fingerabdruck oder Gesichtserkennung am Smartphone oder Computer zu identifizieren.
Kunden fürchten Überwachung und Datenmissbrauch
Leserzuschriften an saldo zeigen: Der Unmut über die Neuerung der Post ist gross. Ihre Kunden befürchten Überwachung, Datenmissbrauch und mangelnde Sicherheit. Zudem kritisieren sie, dass die Post sie zum Wechsel zwingt. Die Post behauptet, die Reklamationen hielten sich in einem Umfang, «welcher bei einer solchen Umstellung erwartet werden muss». Sie hält an ihrem Vorhaben fest, obwohl auch der Eidgenössische Datenschützer Adrian Lobsiger eine Alternative zum Login via SwissID verlangt.
Die Idee hinter der SwissID: Internetnutzer sollen ihre Onlinegeschäfte sicher mit einem einzigen Login erledigen können. Zurzeit müssen die SwissID-Kunden dafür nur Namen, Logindaten und eine Telefonnummer hinterlegen. Sie sollen sich mit der SwissID in Zukunft aber auch rechtswirksam identifizieren können. Die Kunden müssen dafür ihre Identität nachweisen, indem sie persönlich bei einer autorisierten Stelle erscheinen (etwa bei der Post, einer Bank oder einer Telekomfirma) oder indem sie sich am Computer mit Hilfe von Video identifizieren lassen. Hat jemand diesen Prozess durchlaufen, kann er Angebote und Dienstleistungen im Internet nutzen, für die eine eindeutige Identifizierung verlangt wird.
Behörden, die SwissID benutzen, müssen zahlen
Zum Beispiel soll es dann möglich sein, per Internet Verträge abzuschliessen, ohne sie zu unterschreiben. Nur: Ein Gesetz, das solche Verträge als Ersatz für ein unterzeichnetes Dokument anerkennt, gibt es nicht. Der Bundesrat hat erst einen Entwurf für einen Erlass über elektronische Identifizierungsdienste angekündigt. Das heisst: Bis zum Inkrafttreten des Gesetzes werden Jahre vergehen.
Hinter der SwissID steht die private SwissSign Group AG. Sie will die digitale Identität trotz fehlendem Gesetz schon jetzt lancieren. Aktionäre sind neben der Post die SBB, Swisscom, Credit Suisse, Raiffeisen, Six Group, UBS, Zürcher Kantonalbank, Axa, Baloise, Helvetia, Mobiliar, Swiss Life, Vaudoise, Zürich, CSS und Swica. Mit einer umfassend einsetzbaren digitalen Identifizierung wollen sie Kosten sparen – und mit der Verwendung der SwissID auch Gewinn machen. Denn die Unternehmen und die Behörden, welche die SwissID nutzen, sollen dafür bezahlen.
Laut Markus Naef, Geschäftsführer der SwissSign Group, werden bis Ende dieses Jahres nebst der Post rund 20 weitere Unternehmen auf das SwissID-Login umsteigen. Voraussichtlich ab Anfang 2019 werden auch die SBB auf ihren Vertriebskanälen und beim Swisspass die neue Anmeldemöglichkeit anwenden. Mit dem Kanton Bern hat eine erste Behörde zugesagt, die SwissID einzusetzen. Die Bewohner des Kantons sollen damit etwa einen Betreibungsregisterauszug anfordern oder die Steuererklärung ohne extra Unterschrift einreichen können.
Die Digitale Gesellschaft Schweiz, die sich für den Schutz der Grund- und Menschenrechte im Internet einsetzt, kritisiert das «Vorpreschen» der Post und ihrer Geschäftspartner. Erik Schönenberger, Leiter der Organisation, ist überzeugt: «Kommerzielle Überlegungen anstatt die Interessen der Bürger werden beim Aufbau des neuen Identifizierungssystems im Vordergrund stehen, wenn die Ausgestaltung Privaten überlassen wird.» Identitätsnachweise und deren Verwaltung seien «eine Sache des Staates». Auch Links- und Mitteparteien fordern, dass die Erteilung eines «digitalen Passes» eine Aufgabe der öffentlichen Hand bleiben muss.
Markus Naef von SwissSign räumt ein, dass seine Firma Gewinne anstrebt. Schliesslich investiere man «einen hohen zweistelligen Millionenbetrag». Naef versichert aber, dass SwissSign die verwendeten Daten weder analysiert noch weiterverkauft.
Hacker könnten auf fremde Rechnung im Internet einkaufen
Und wie will SwissSign Hackerangriffe verhindern? Hacker könnten mit den erbeuteten Daten auf fremde Rechnung im Internet shoppen und auch amtliche Dokumente anfordern. Naef dazu: «Datensicherheit hat natürlich oberste Priorität.» Bei ihrem System seien die Daten an diversen Orten in der Schweiz gelagert. Und man arbeite eng mit Sicherheitsexperten zusammen.
Das Bundesamt für Justiz hält im Zusammenhang mit der elektronischen Identifizierung fest: «Bei der Nutzung des Internets werden immer Spuren hinterlassen. Und eine totale Garantie der Datensicherheit gibt es nicht.»
