Swiss Cyber Storm 2022

Wie die E-ID zum Erfolg wird – und warum man darauf verzichten sollte

Uhr
von René Jaun und aob

An der diesjährigen Ausgabe der Swiss Cyber Storm hat sich vieles um elektronische Identitäten gedreht. Estland hat hier die Nase vorn. Die Referierenden erinnerten aber auch an die Gefahren elektronischer Datensammlungen und plädierten für Privacy by Design.

Programm-Chairman und Moderator Christian Folini eröffnet die Swiss Cyber Strom 2022 im Kursaal in Bern. (Source: 2022 Matthias Käser)
Programm-Chairman und Moderator Christian Folini eröffnet die Swiss Cyber Strom 2022 im Kursaal in Bern. (Source: 2022 Matthias Käser)

Am 25. Oktober ist die Swiss Cyber Storm 2022 über die Bühne gegangen. Rund 350 Cybersecurity-Interessierte folgten der Einladung in den Kursaal Bern, teilen die Veranstalter mit. Das Schwerpunktthema der diesjährigen Ausgabe lautete "Digital identities and how to secure them". Die Wahl sei nicht schwer gefallen, erklärte Programm-Chairman und Moderator Christian Folini zu Beginn der Veranstaltung. Nachdem das Stimmvolk letztes Jahr ein erstes E-ID-Gesetz abgelehnt hatte, startete die Bundesverwaltung unverzüglich mit einem nächsten Anlauf. "Es war klar, dass das Thema dieses Jahr heiss diskutiert werden dürfte", sagte Folini. Nicht antizipiert hatten die Veranstalter, dass zum Zeitpunkt der Konferenz die Vernehmlassung zum neuen Gesetz schon abgeschlossen sein würde - "Für die Schweiz ging es eher schnell", kommentierte der Moderator.

Daten schützen - digital und physisch

Als Vorbild in puncto E-ID wird oft Estland genannt. Das Land führte eine digitale Identität bereits Ende der 90er-Jahre ein, erklärte Joseph Carson, Chief Security Scientist & Advisory CISO beim PAM-Anbieter Delinea, der selber seit fast 20 Jahren in Estland lebt. Schon zuvor habe sich das Land, welches 1991 von den UdSSR unabhängig wurde, dafür entschieden, einen papierlosen Weg zu gehen.

Joseph Carson, Chief Security Scientist & Advisory CISO bei Delina, an der Swiss Cyber Storm. (Source: zVg)

Grossen Wert legte die Regierung dabei darauf, dass die Daten und "die Geschichte des Landes" nicht mehr unbemerkt geändert werden können. Dies gewährleistet ein System namens Timestamping - heute besser bekannt als Blockchain. Den Prüfcode (Hash) der gespeicherten Daten veröffentlicht das Land regelmässig in der Zeitung. Dies soll sicherstellen, dass jeder die Daten auf Manipulation hin prüfen könne. Heute könne jede Bürgerin und jeder Bürger Estlands nachsehen, wer auf die eigenen digitalen Daten zugreife. Diese Transparenz mache es auch möglich, illegale Machenschaften zu entdecken, erklärte Carson.

Nach einer Serie von Cyberangriffen durch "einen sehr lärmigen Nachbarn", wie Carson es ausdrückte, fokussierte sich Estland vermehrt auf den physischen Schutz der Daten. Dazu führte es das Konzept der Daten-Botschaften (Data Embassys) ein. Dabei werden Daten der estnischen Behörden auf Cloud-Servern auserhalb der Landesgrenzen gespeichert. Aktuell betreibt Estland einen solchen Standort in Luxemburg. Damit könne Estland auch im Falle einer physischen Invasion überleben, erklärte der Redner.

Christian Folini schreibt auf Anfrage, Carson habe ihn mit seiner Keynote sehr beeindruckt. "Er konnte deutlich machen, welche Möglichkeiten eine staatliche E-ID bietet, wenn sie nicht als Backdoor zu den Daten der Bürgerinnen und Bürger, sondern als Zutritt für staatliche Dienstleistung der Behörden dient. Das ganze Ökosystem ist so schlau auf die Bedürfnisse und den Datenschutz der Bürger hin gebaut. Ich empfand das als sehr inspirierend."

Plädoyer für Privacy by Design

Doch die Vorteile digitaler Datenportale blieben nicht ohne Widerspruch. Sven Fassbender, Test-Experte beim unlängst gestarteten Nationalen Testinstitut für Cybersicherheit (NTC) erinnerte an die Gefahren schlecht geschützter Plattformen. Beispielhaft erläuterte er die Sicherheitslücken des Impfregisters "Meinimpfungen" und des Organspenderegisters "Swisstransplant". In beiden Fällen konnten unbefugte Personen Gesundheitsdaten Dritter ansehen und manipulieren. Beide Plattformen stellten den Betrieb inzwischen ein. Die Daten von "Meinimpfungen" sind aktuell bei der Stammgemeinschaft eHealth Aargau. "Hoffentlich nur dort", merkte Fassbender an.

Sven Fassbender, Test-Experte beim NTC, an der Swiss Cyber Storm. (Source: zVg)

Einer der ersten Testaufträge des NTC war das Schweizer Covid-Zerfitikat. Dabei habe man mehr als 60 Sicherheitslücken entdeckt und geschlossen, darunter auch kritische. Auch Carmela Troncoso, Assistant Professor und Head des Spring Labs der EPFL, kam auf das Covid-Zertifikat zu sprechen. In ihrem Referat plädierte sie für den Privacy-by-Design-Ansatz, der mit dem Covid-Zertifikat vorbildlich umgesetzt worden sei. Laut dem Ansatz sollten für eine Anwendung jeweils nur die dafür wirklich notwendigen Daten gesammelt werden. Im Falle des Covid-Zertifikats zählte letztlich nur, ob jemand zur Gruppe der angesteckten oder der nicht angesteckten Personen gehörte. Eigentliche Identitäten spielten dagegen keine Rolle und wurden darum aus dem Konzept gestrichen.

Carmela Troncoso, Assistant Professor und Head des Spring Labs der EPFL, plädiert an der Swiss Cyber Storm für den Privacy-by-Design-Ansatz. (Source: zVg)

Entsprechend ermutigte Troncoso das Publikum, sich bei neuen Projekten stets zu überlegen, ob die Verknüpfung mit einer digitalen Identität wirklich für eine Anwendung nötig sei. Sei dies der Fall, sei es schwierig, ein System nach dem Prinzip Privacy by Design aufzubauen. Beim Ansatz gehe es zudem nicht primär darum, die Menge gesammelter Daten zu minimieren. Vielmehr limitiere man den Nutzen (Purpose) der gesammelten Daten. "Je mehr Zwecken ein System dient, umso schwieriger wird es, seine Nutzer zu schützen", fasste sie zusammen und fügte an: "Die beste Art, eine digitale Identität zu schützen ist, gar keine zu schaffen."

Der nächste Swiss Cyber Storm findet am 24. Oktober 2023 erneut im Berner Kursaal statt.

Webcode
DPF8_272409