EFK kritisiert E-ID und empfiehlt Verschiebung des Starts

(Source: Planetz / stock.adobe.com)

(Source: Planetz / stock.adobe.com)

Die Eidgenössische Finanzkontrolle (EFK) zeichnet ein besorgniserregendes Bild vom Zustand des Projekts zur Einführung der E-ID. Die Prüfinstanz warnt in einem neuen Bericht (PDF) vor einem zentralen Risiko: Unter dem wachsenden Zeitdruck könnte das Projektteam die abschliessende und entscheidende Test- und Stabilisierungsphase im Sommer 2026 opfern, um offene Entwicklungsarbeiten abzuschliessen. 

Die EFK pocht darauf, dass Fehlerfreiheit und Stabilität Vorrang vor dem Zeitplan haben müssen. Deswegen spricht sie sich dafür aus, den für das dritte Quartal 2026 vorgesehenen Starttermin zu verschieben, anstatt ein unfertiges Produkt zu lancieren.

Kritische Sicherheitsfunktionen fehlen noch

Besonders alarmiert zeigt sich die EFK über den Stand der technischen Sicherheit. So hat das Projektteam die Konzeption für eine durchgehende Ende-zu-Ende-Verschlüsselung der eigentlichen User-Daten noch nicht abgeschlossen. Diese Funktion soll sicherstellen, dass nur die beteiligten Parteien einer Transaktion die Daten lesen können. Die EFK zeigt sich "überrascht", dass diese fundamentale Sicherheitsmassnahme nicht von Anfang an integraler Bestandteil des Konzepts war, sondern erst nachträglich integriert werden muss.

Zusätzlich kritisiert der Bericht die Zugriffssicherheit für Organisationen wie kantonale Strassenverkehrsämter, die künftig etwa den digitalen Lernfahrausweis (eLFA) über dieselbe Infrastruktur ausstellen. Deren technischer Zugriff auf das System schützt aktuell nur eine simple Kombination aus Benutzername und Passwort, was die EFK als "technisch unsicher und nicht mehr zeitgemäss" einstuft.

System zur Vertrauensbildung bleibt ungenutzt

Einen weiteren zentralen Kritikpunkt ortet die EFK in der Funktionsweise des sogenannten Vertrauensregisters. Das System sieht vor, dass Unternehmen und Behörden, die E-ID-Daten abfragen, ihre legitimen Abfragezwecke vom Bund prüfen lassen können. Erfolgreich geprüfte Stellen könnten in der E-ID-App "Swiyu" als besonders vertrauenswürdig gekennzeichnet werden. 

Das Projektteam plant jedoch, auf diese Funktion bei der E-ID zu verzichten. Die Begründung: Man wolle keine Teilnehmenden bevorzugen. Die EFK hält dies für ein ungenutztes Potenzial, da genau eine solche Kennzeichnung das Vertrauen der User in die Transaktionen stärken würde.

Für IT-Verantwortliche und Entwicklungsteams, die auf das E-ID-Ökosystem aufbauen wollen, legt der Bericht weitere operative Mängel offen. Die EFK empfiehlt dem Bund dringend, eine lückenlose Software-Stückliste (Software Bill of Materials, SBOM) zu führen und bereitzustellen. Ein solches Inventar aller verwendeten Komponenten und Lizenzen ist für das Risikomanagement von Unternehmen, die eigene Anwendungen an die E-ID anbinden, unerlässlich. Auch diese wichtige Massnahme ist bislang nicht umgesetzt.

Internationale Anerkennung bleibt unsicher

Die Prüfung beleuchtet auch die unsichere internationale Zukunft der Schweizer Lösung. Die EFK stellt fest, dass die Schweizer E-ID gemäss aktueller Analyse nur das Sicherheitsniveau "substanziell" erreicht. Die EU hingegen strebt für ihre Systeme das höchste Niveau "hoch" an. Dieser Unterschied könnte die gegenseitige Anerkennung erschweren und rührt daher, dass der Bund keine Kontrolle über die Sicherheit der privat genutzten Mobiltelefone hat. Offizielle politische Gespräche zur Anerkennung kann die Schweiz ohnehin erst nach Inkrafttreten des E-ID-Gesetzes aufnehmen.

Die verantwortlichen Bundesämter für Justiz (BJ) und Informatik (BIT) weisen die Kritik in ihren Stellungnahmen zurück. Die aufgezeigten Punkte seien keine Mängel, sondern planmässig offene Aufgaben in einem agilen Entwicklungsprozess. Das BIT wirft der Finanzkontrolle eine "inadäquate Darstellung der Risikosituation" vor und argumentiert, die bemängelten Aspekte würden im Projektverlauf noch adressiert. Für die EFK bleibt die Kernaussage jedoch bestehen: Für das Vertrauen der Schweizer Bevölkerung in die staatliche E-ID wird es keine zweite Chance geben.
 

Auch ein beträchtlicher Teil der Schweizer Bevölkerung hat übrigens noch Vorbehalte gegenüber der E-ID: 45 Prozent sorgen sich um den Datenschutz und die Sicherheit bei einem Verlust des eigenen Endgerätes, wie aus dem jüngsten "Visa Payment Monitor" hervorgeht - mehr dazu lesen Sie hier.