Seiten

7. November 2010

Die Post SuisseID - erste Erfahrungen

[Trigami-Review]
Das Thema Sicherheit im Internet und vor allem bei digitalen Prozessen im elektronischen Handel, dem eCommerce, ist ein Thema seit Beginn des Web 1991.

Und es hat wohl mit unserer Kultur zu tun, dass Sicherheitsbedenken bei allen neuen Anwendungen gern zuvorderst genannt werden und ein entsprechendes Gewicht darauf gelegt wird.

Bereits in dem 1995 erschienenen Buch von Beat Schmid et al.:  Electronic Mall: Banking und Shopping in globalen Netzen, das Arbeiten zum Aufbau einer elektronischen Marktplattform enthält, widmet sich ein Kapitel der Sicherheitsarchitektur (S. 279ff.). Bereits hier werden Lösungsvorschläge aufgezeigt, welche - auch damals schon bekannte - Konzepte der digitalen Identifikation, digitaler Zertifikate oder rechtsgültiger digitaler Signaturen verwenden.
1997 war ich selbst Co-Autor eines Beitrages zur digitalen Signatur. 

Ich habe in zahlreichen Lehrveranstaltungen in den vergangenen Jahren immer wieder die Themen digitale Zertifikate und Identitäten sowie digitale Signaturen vor allem im Zusammenhang mit vertrauensbildenden Diensten für elektronische Märkte behandelt. Die Diskussion dieser Themen gehört immer mit zu den ganz schwierigen, denn so klar die Forderung nach Vertrauen und Sicherheit ist, so schwierig nachzuvollziehen sind die entsprechenden grundlegenden Mechanismen und Konzepte, die z.B. mit den Stichworten RSA, PKI, etc. beschrieben werden. Und eine digitale Signatur ist nun einmal etwas anderes als eine Unterschrift.

Zur Einführung einer entsprechenden flächendeckenden Infrastruktur, die Privatpersonen wir Unternehmen digitale Zertifikate als Basis der digitalen Signatur verfügbar macht, gab es schon mehrere. Ich erinnere hier z.B. an Swisskey.

Mit der SuisseID wird jetzt ein weiterer Versuch unternommen. Ich hatte die Gelegenheit, die Post Suisse ID einmal auszuprobieren und dokumentiere meine ersten Erfahrungen.

Beschaffung
Zunächst wählt man Online die gewünschte Post SuisseID aus und bestellt sie entsprechend im Online Shop der Post. Den Antrag erhält man dann per eMail, auf dem ausgedruckten Formular wird dann bei der Post die Identität des Antragstellers authentifiziert, der Antrag geht dann per Briefpost an die Post. Einige Tage später erhält man eine Bestätigung per eMail, per Mausklick wird die eMail Adresse, die mit der Suisse ID eingetragen ist, verifiziert. Anschliessend erhält man mit der Briefpost die Post SuisseID, in meinem Fall in Fom eines USB-Sticks mit der SuisseID, dem SwissStick, und nochmals einige Tage später dann den Brief mit den Sicherheitsinformationen wie der Initial-PIN. Damit braucht es also einen Gang zur Post, der Rest läuft dann per eMail bzw. Briefpost. Der Prozess (Video: 3 Schritte zur Post SuisseID) dauerte insgesamt 10 Tage und er ist durchaus so beschrieben, dass eigentlich nichts schief gehen kann.


Installation
Nach dem Einstecken des SwissSticks wird automatisch das Installationsmenü gestartet. Nach Eingabe der Initial-PIN wird man aufgefordert, eine eigene PIN, mindestens sechs- und höchstens zwölfstellig, zu definieren. Bei der Eingabe wird ein grüner Balken „PIN Qualität“ angezeigt, allerdings blieb mir verborgen, was dieser nun genau bedeutet. Denn egal ob man sechs oder zwölf Mal eine Null, ein Geburtsdatum oder eine zufällige Zahlenfolge als PIN eingibt, die „PIN Qualität“ erscheint immer gleich. Die Aussage ist also eher zweifelhaft, hier ist Verbesserungsbedarf vorhanden.


Kurze Zeit nach dem Klicken von „Ausführen“ ist das Zertifikat einsatzbereit. Soweit also das Setup, eigentlich ebenfalls ohne Probleme. Den gratis Support habe ich bisher nicht in Anspruch nehmen müssen.

Nutzung der Post SuisseID
Bei erneuten Einstecken des SwissSticks passierte erst einmal gar nichts. Ich musste die entsprechende .exe-Datei manuell über den Dateimanager öffnen, wohl eher ein Bug als ein Feature.
Anschliessend erscheint das folgende Programm-Menue:


Mit der SwissSigner Signatursoftware kann man nun pdf-Dokumente signieren und z.B. die Echtheit bestätigen.
Die Software erlaubt auch das Versenden des signierten Dokuments per eMail. Beim Versuch des Versendens mit normaler eMail erscheint allerdings eine Fehlermeldung, auch das Versenden via IncaMail schlug fehl.
Hier irritiert zusätzlich, dass die Software nach dem „Master-Passwort für SwissSign ID“ fragt – was nichts anderes ist als die PIN, aber das muss man erst einmal herausfinden. Dass man zum Signieren von pdf-Dokumenten eine eigene Software benötigt ist umständlich, da man nicht mit seiner gewohnten Arbeitsumgebung arbeiten kann.

Der Doppleklick auf IncaMail öffnet den SuisseID Internet Browser, allerdings mit dem Ergebnis „Error:404“. Auch der Registrierversuch via der direkten URL www.incamail.ch schlug mit „Error: 404“ fehl.

Die auf dem SwissStick installierte Software scheint also nicht ganz sauber implementiert zu sein.

Die dritte Menüoption unter Anwendungen „SuisseID Internet Browser“ startet ein „vorkonfigurierter Browser für Zertifikatslogin“ (Firefox) – mehr erfährt der Benutzer allerdings nicht. Es bleibt ihm selbst überlassen herauszufinden, wann er diesen Browser aufrufen muss. Mit dem Nachteil, dass dieser Browser so gar nichts von dem hat was der Benutzer von seinem herkömmlichen Browser gewohnt ist, selbst wenn er Firefox-Nutzer hat. Das ist gewöhnungsbedürftig. Bookmarks lassen sich nicht speichern, so dass die Adressen der SuisseID Anwendungen, die den Browser benötigen, immer manuell eingeben werden müssen.

Das habe ich dann mit der Registration für mein eKonto bei der stgaller Steuerverwaltung ausprobiert. Mit Hilfe der Post SuisseID geht das problemlos.
www.steuern.sg.ch
Weitere Anwendungen der SuisseID erreicht man über die Post SuisseID Seite oder die Homepage von SuisseID. Hier ist auffällig, dass auch in der Rubrik „Für Endkunden“ die meisten Anwendungen eher geschäftlicher Natur und für den Privatanwender uninteressant sind.
Es werden etwas mehr als 30 Anwendungen mit dem Status „operativ“ aufgelistet. Die verfügbaren Anwendungen sind zumindest für den privaten Anwender kaum Motivation genug, sich eine SuisseID zuzulegen. Keine der bisher verfügbaren Anwendungen zeigt – auf den ersten Blick gemäss den verfügbaren Informationen – einen so erheblichen Mehrwert, als dass sich die Anschaffung aufdrängen würde.

Warum sollte ich mich bei amazee.com mit der SuisseID anmelden, wenn es auch mit dem Facebook Login funktioniert? Und was ist der Mehrwert sich bei buch.ch mit der SuisseID anzumelden? Das Argument Altersprüfung leuchtet vielleicht noch ein, aber wenn ich keine altersbeschränkten Produkte kaufen möchte, wozu dann?

Anbieter und Kunden haben sich in den letzten Jahren mit den etablierten eCommerce Prozessen durchaus arrangiert, so dass zumindest aus Kundensicht bisher kaum der dringende Bedarf für eine SuisseID besteht.


Anders sieht es aus bei dem Zugang zu Anwendungen, die allgemein als sicherheitssensibel begriffen werden, z.B. in den Bereichen eGoverment und eBanking. Allerdings unterstützen die Banken die SuisseID bisher nicht.

Es gilt auch hier, dass der Mehrwert mit Nutzung der SuisseID markant höher sein muss als ohne, ansonsten wird er Privatkunde sich kaum von der Anschaffung überzeugen lassen.

Zur Sicherheit der PostSuisseID gibt es einige Informationen Online, die aber grösstenteils lediglich allgemeine Verhaltenshinweise enthalten. Selbstverständlich, so liesst man, entspricht die Post SuisseID dem Schweizerischen Signaturgesetzes (ZertES) bezüglich qualifizierten Zertifikaten.
Die Publikation technischer Details zur Sicherheit sind ein zweischneidiges Schwert, dem Fachkundigen mögen sie helfen, aber dem meist fachlich unkundigen Normalverbraucher aber möglicherweise sogar verunsichern.
Nicht die Sicherheit – die es bekanntermassen nicht 100%ig geben kann – muss das Thema sein, sondern das Vertrauen in das System bzw. Produkt. Leider wird allzu oft Sicherheit mit Vertrauen gleichgesetzt, ein Fehlschluss! Mit ihrer Marke steht Die Post sicherlich für Vertrauen in ein vertrauenswürdiges System, davon gehe ich als Konsument schlichtweg einmal – vielleicht naiver weise - aus. Und ich gehe davon aus, dass die Betreiber und Anbieter der SuisseID auf die ausgesprochene Kritik auch reagieren.

Mein erstes Fazit zur Post SuisseID
  • Zumindest für den privaten Anwender ist ein Mehrwert, der zur Anschaffung der SuisseID motiviert, bisher kaum zu erkennen.
  • Das Handling ist zu kompliziert: Will man die SuisseID in Form des SwissSticks nutzen, muss man die entsprechende URL manuell im geschützten Browser eingeben. Klickt man z.B. im gewohnten Browser bei buch.ch auf die Option "Anmeldung mit iher SuisseID", erhält man eine Fehlermeldung. Für den Nutzer gibt es aber diesbezüglich keinerlei Hinweise und Hilfestellung dazu!
  • Noch gibt es viel zu wenige Anwendungen, um den Privatkunden möglicherweise vom Kauf der SuisseID zu überzeugen.

Nicht verschwiegen werden sollen die grundsätzlichen Bedenken zum Einsatz der SuisseID wie sie z.B. bereits Ende April 2010 im Beitrag „Die SuisseID ist eine Katastrophe für das offene Netz in der Schweiz“ formuliert und heftig diskutiert wurden. Betrachtet man die weltweiten Aktivitäten zur Kontrolle und Zensur des Netzes und seiner Inhalte durch staatliche Gewalten und nicht zuletzt auch durch Firmen wie Apple sind diese Bedenken keinesfalls von der Hand zu weisen!

Kommentare:

Etienne Ruedin hat gesagt…

Ja, ja, die liebe Post… Im September 2012 unternahm sie wieder einmal einen Anlauf und versuchte sichere e-Mails an den Mann zu bringen. Die NZZ druckte fast täglich farbige Rieseninserate ab. Kostenpunkt ab 490 Franken pro Jahr. Ich habe mich an diese Anleitung [1] gehalten und innert 15 Minuten konnte ich meine e-Mails signieren und verschlüsseln.

Für die Identitätsprüfung habe ich im Netz des Vertrauens (web of trust) einen Ort ausgesucht, wo ich innert 15 Minuten über 100 Vertrauenspunkte bekam; gratis und lebenslänglich. [2] Haben Sie Ihren Studenten jeweils auch von der gemeinschftsbetriebenen freien CA aus Australien, CAcert [3] erzählt? Wenn Sie und noch zwei andere Dozenten 35 Punkte vergeben könnten, wäre die Pause nach der Vorlesung jeweils zur Assurance-Party ausgeartet…

[1] http://zuerich.cvp.ch/?id=11220
[2] https://secure.cacert.org/wot.php?id=12
[3] http://www.cacert.org

CAcert-Assurer hat gesagt…

Kürzlich meldete sich bei mir ein Herr, der mit seiner Bank verschlüsselt kommunizieren muss, um sich seine Identität für ein freies CAcert-Zertifikat bestätigen zu lassen. Er sagte mir, verschlüsselte e-Mails seien mit der Suisse-ID nicht möglich. Ein kurzer Blick in die FAQ von Suisse-ID bestätigt diesen Sachverhalt. Bei CAcert wird die Identität nicht von einem Postbeamten, dafür von ca. drei vertrauenswürdigen Mitbürgern (Web of Trust) ebenfalls anhand amtlicher Ausweise überprüft - kostenlos nota bene und neben der digitalen Signatur ist auch Verschlüsserlung möglich. Getragen werden die freien Zertifikate von einem gemeinnützigen Verein.