Daniela Deck
Mit Erleichterung hat Annett Laube das deutliche Nein zur eID-Vorlage am 7. März zur Kenntnis genommen. Die Leiterin des Instituts für Data Applications and Security der Berner Fachhochschule in Biel sieht darin die Bestätigung, dass die Zeit reif ist für eine dezentrale, vom Staat verantwortete elektronische Identität. Mithilfe der Forschungsgruppe «Identity and Access Management» (IAM) im Departement Technik und Informatik möchte sie das Wissen aus zehnjähriger Forschungsarbeit zur Entwicklung einer mehrheitsfähigen eID einbringen.
Privatsphäre bleibt zentral
«Mit unserer Forschung versuchen wir, die neusten Erkenntnisse in die Praxis umzusetzen und so allen einen einfachen und sicheren Zugang in die digitale Welt zu ermöglichen. Ein Schwerpunkt sind dabei die Sicherheit und der Schutz der Privatsphäre, der von vielen privaten Anbietern nicht so stark priorisiert wird», sagt Laube. Bachelor- und Masterarbeiten von Studierenden entstehen teilweise aus der Forschungsgruppe heraus, an der sich neben vier Dozierenden zwei bis vier wissenschaftliche Mitarbeitende beteiligen. Teilweise würden Forschungspartner von aussen mit Aufgaben an die Gruppe herantreten.
Annett Laube möchte zur Entwicklung einer sicheren Lösung die Kraft nutzen, die in der Bevölkerung bei der Volksabstimmung zum Referendum gebündelt wurde. Damit sollen alle künftig die Kontrolle über die Daten behalten, die sie im Internet preisgeben.
Doch was gehört eigentlich zur digitalen Identität? Das ist ein Datensatz, der von Laptops, Smartphones, Servern und so weiter verwendet wird, und eine Person respektive Organisation in elektronischer Form repräsentiert. Im engeren Sinn spricht man von digitaler Identität, wenn ein Login (fachsprachlich Authentisierung) daran geknüpft ist. Man findet sie überall, wo Computer im Einsatz sind. Darunter fällt die Adressliste eines Kindergartens in Form einer Excel-Tabelle ebenso wie die Zugangscodes beim e-Banking.
Daraus folgt, dass, wer sich im Internet bewegt, an unzähligen Stellen unterschiedliche Datensätze von sich selbst deponiert. Teilweise geschieht das, ohne dass wir es merken und ohne dass wir Nutzen davon haben, also etwa einen Einkauf in einem Webshop tätigen.
Das Internet vergisst nie
Laube sagt: «Vielen Leuten ist nicht klar, wie fahrlässig sie mit ihren persönlichen Daten umgehen.» Die Professorin ist überzeugt: «Wir sind jetzt in der Phase, in der der grösste Schaden entsteht.» Einerseits gebe es technologisch noch nicht wirklich ausgereifte Lösungen zum Schutz, andererseits fehlten wirksame gesetzliche Regelungen.
Perfid: Einmal eingegeben, bleiben die Daten für immer gespeichert. Denn das Internet vergisst nie. Das gilt nicht nur dann, wenn wir ein neues Login für einen Dienst anlegen, den wir nützen wollen, sondern mit jedem Klick auf einer Website.
Die Lösungsansätze der Informatik zur Rückeroberung unserer Daten im Internet stecken noch in den Kinderschuhen. Möglicherweise werden, nach Einschätzung von Annett Laube, bis zu zehn Jahre vergehen, bis eine befriedigende und anwenderfreundliche Lösung vorliegt. Stichworte dazu sind Datensparsamkeit, SecurityByDesign und PrivacyByDesign.
Bereits heute gibt es hingegen Methoden, die digitalen Spuren wenigstens zu minimieren. Dazu gehören VPN-Zugänge, die Verwendung von Prepaid-Kreditkarten und Privatzugänge in den Browsern. Dass diese Sicherheitsvorkehrungen ein Nischendasein fristen, erklärt Laube mit dem Zusatzaufwand, den sie verursachen, und dem mangelnden Wissen in der Gesellschaft.
Grosse Hoffnung setzt sie auf die Entwicklung einer dezentralen elektronischen Identität. Darunter versteht man eine Identität, die lokal auf bestimmten Geräten gespeichert ist, etwa auf dem eigenen Smartphone. Diese Identität kann vom Staat bestätigt werden und beglaubigte Attribute wie Name, Geburtsdatum und Ähnliches enthalten. Jede und jeder kann dann selbst entscheiden, wem diese Informationen weitergeleitet werden. Heute technologisch bereits möglich, wäre die situative Beglaubigung durch den Staat für einzelne Informationen, etwa die Volljährigkeit zum Einkauf im Spirituosenshop. Dazu müsste theoretisch, so Annett Laube, noch nicht einmal der Name mit der Angabe «über 18» gekoppelt sein. Als QR-Code auf dem Smartphone könnten solche Identitäten auch in der realen Welt gute Dienste leisten.
Im Gegensatz zur dezentralen ist eine zentral verwaltete eID auf einem Server abgelegt, der vom Staat oder von privater Seite betrieben wird.
Staat in der Pflicht
Die beste technologische Entwicklung bleibt zahnlos, wenn sie nicht von sinnvollen gesetzlichen Rahmenbedingungen begleitet ist. Es braucht Regelungen, die dem Bürger, der Bürgerin helfen, die Grundrechte in der digitalen Welt durchzusetzen. Dabei geht die Informatikprofessorin davon aus, dass kein neues Gesetz nötig ist für die eID. Alles Nötige lasse sich auf dem Verordnungsweg regeln. Um das Übel an der Wurzel zu packen und der intransparenten Datenhortung der grossen Internetfirmen den Riegel zu schieben, erzeuge der Effort einzelner Staaten nicht genügend Druck. Hier brauche es den Willen von Staatengemeinschaften wie etwa der EU, um etwas zu bewirken.
Nicht nur gesetzgeberisch sieht Annett Laube den Staat in der Pflicht, sondern auch bei der Aufklärung über die Gefahren im Internet. Bisher sei es allen selbst überlassen, sich den Weg ins und im Internet zu suchen. Doch besonders Rentnerinnen und Rentner seien da überfordert. Sie argumentiert: «Es braucht kurze und einprägsame Anleitungen und Filme zum Selbstschutz beim Surfen, im Fernsehen und auf digitalen Kanälen, wie etwa Youtube.
Angesichts dieses Mankos sieht Laube mehr Gefahren für die persönliche Datenhoheit durch Fehler, die beim Surfen passieren, als durch Hacker, die mit krimineller Energie gezielt Daten stehlen.
Dieser Artikel ist eine Co-Produktion des Departementes Technik und Informatik der Berner Fachhochschule BFH und des "Bieler Tagblatt".
