swiyu und Public Beta: Die E-ID wird konkret

Der erste Gesetzesentwurf zur E-ID wurde im März 2021 deutlich an der Urne abgelehnt. Hauptkritikpunkte waren der unzureichende Datenschutz und die Herausgabe der E-ID durch private Unternehmen statt durch den Staat. Drei Tage später reichten verschiedene Fraktionen gleichlautende Motionen für eine «vertrauenswürdige staatliche E-ID» ein. Im Verlauf des Jahres 2021 wurde unter der Führung des Eidgenössischen Justiz und Polizeidepartements (EJPD) und unter Einbezug von Wissenschaft, Wirtschaft, Zivilgesellschaft und Politik ein Zielbild für die E-ID ausgearbeitet, das als Grundlage für die Ausarbeitung eines zweiten Gesetzentwurfs diente, der vom Bundesrat im November 2023 zuhanden des Parlaments verabschiedet wurde. Am 20. Dezember 2024 hat das Schweizer Parlament in den Schlussabstimmungen der Wintersession dem neuen E-ID-Gesetz deutlich zugestimmt. Parallel zum Gesetzgebungsprozess arbeitet das E-ID-Projektteam seit 2022 an den technischen Grundlagen für die Bereitstellung der im Gesetz definierten Vertrauensinfrastruktur.

Das E-ID-Gesetz ist technologieneutral formuliert, setzt jedoch den Rahmen für ein Ökosystem auf Basis des «Self-Sovereign Identity»-Ansatzes (SSI). Daraus ergibt sich ein System mit vier zentralen Akteuren und den dazugehörigen technischen Komponenten (siehe Abbildung). Gemäss E-ID-Gesetz wird die künftige E-ID vom Bundesamt für Polizei (fedpol) ausgestellt – analog zur Identitätskarte und zum Pass. Damit ist gesetzlich verankert, dass der Staat als Herausgeber fungiert und diese Aufgabe nicht an private Anbieter delegiert werden darf. Voraussetzung zur Beantragung einer E-ID ist eine gültige Schweizer Identitätskarte, ein gültiger Pass oder ein von der Schweiz ausgestellter gültiger Ausländerausweis. Die Feststellung der Identität der beantragenden Person kann mit einem Online-Verfahren oder physisch in noch festzulegenden kantonalen Stellen erfolgen. Nach erfolgreicher Überprüfung des Antragsprozesses stellt das fedpol die E-ID als kryptographisch verifizierbaren, elektronischen Nachweis aus.

Um die E-ID und weitere verifizierbare Nachweise zu empfangen, zu speichern und vorzuweisen, stellt das Bundesamt für Informatik und Telekommunikation BIT die Mobile App «swiyu» für Android und iOS bereit. Sie ist bereits in den gängigen App Stores erhältlich. Durch das Speichern der E-ID in der swiyu-Wallet auf dem persönlichen Gerät der Inhaber ist keine zentrale Datenhaltung notwendig. Die Bindung an den Inhaber erfolgt durch das Generieren des kryptographischen Schlüsselmaterials im Secure Element des Smartphones während des Beantragungsprozesses. So kann der private Schlüssel des Inhabers nicht ohne weiteres kopiert werden, solange die Secure-Element-Komponenten keine Sicherheitslücken aufweisen. Sobald ein Anerkennungsprozess und die technischen Voraussetzungen etabliert sind, kann der Bundesrat die Ausstellung in Wallets von Drittanbietern erlauben. Wenn ein Inhaber die E-ID zur Identifizierung vorweist, braucht es beim Verifikator ein Gegenstück, um die Gültigkeit und den korrekten Aussteller zu überprüfen und sicherzustellen, dass die vorgezeigte E-ID nicht verändert wurde. Dies geschieht durch eine Signaturprüfung des Verifikators mit dem öffentlichen Signaturschlüssel des E-ID-Ausstellers. Für diesen Zweck registriert der Aussteller seinen öffentlichen Signaturschlüssel im Basisregister. Der Verifikator kann mit einer Abfrage den öffentlichen Signaturschlüssel aus dem Basisregister beziehen und die Signaturprüfung durchführen, ohne Datenspuren über den Gebrauch der E-ID beim Aussteller zu hinterlassen. Die Verbindung zwischen dem technischen Eintrag des Ausstellers im Basisregister und der echten Identität des Ausstellers der E-ID (fedpol) wird auf Antrag im Vertrauensregister eingetragen. Die Verifikatoren können diese Information bei der Überprüfung der E-ID aus dem Vertrauensregister abfragen. Sowohl das Basisregister wie auch das Vertrauensregister werden vom BIT zur Verfügung gestellt und betrieben.

Für das Austesten von Anwendungsfällen und der Integration in bestehende Systeme und Applikationen stellt der Bund seit Ende März 2025 die Testumgebung «Public Beta» zur Verfügung. Der als Teil der Public Beta zur Verfügung gestellte Beta Credential Service erlaubt das Ausstellen einer Beta-ID für Testzwecke. Eine umfangreiche Einführung und technische Dokumentation findet man auf der Dokumentationsseite des swiyu-Projekts. Durch die gesetzliche Verpflichtung, den Quellcode der Vertrauensinfrastruktur zu veröffentlichen, stehen Komponenten wie ein generischer Aussteller oder Verifikator zur Verfügung, mit denen das Erstellen von eigenen Anwendungsfällen erleichtert wird.
 

Der Kurztitel des Gesetztes lautet «E-ID-Gesetz », die offizielle Abkürzung «BGEID». Nur wenn man den langen Titel «Bundesgesetz über den elektronischen Identitätsnachweis und andere elektronische Nachweise» betrachtet, kann der langfristige Mehrwert dieses Gesetzes sichtbar werden. Die vom BIT zur Verfügung gestellte Vertrauensinfrastruktur standardisiert ein sich technologisch schnell weiterentwickelndes Umfeld und schafft dadurch ein stabiles Ökosystem. Die oben beschriebene Funktionsweise zur E-ID gilt analog auch für andere Aussteller von verifizierbaren Nachweisen. Es ist also nicht nur interessant, eine Identifikation oder Altersverifikation mit der E-ID durchzuführen, sondern auch eigene Anwendungsfälle umzusetzen. Die Spannbreite von möglichen Anwendungsfällen ist sehr gross. Ein Blick in das persönliche Portemonnaie zeigt, was alles als verifizierbarer Nachweis abgebildet werden könnte: Mitgliederausweise, Rabattkarten, Gutscheine, Brillenpass, Visitenkarte, Zutrittskarten, Bibliothekskarte und Versicherungsnachweise, um nur einige Beispiele zu nennen. Hervorzuheben ist der kombinierte Anwendungsfall, bei dem zuerst eine verlässliche Identifizierung einer Person mittels der E-ID durchgeführt wird und darauffolgend ein verifizierbarer Nachweis ausgestellt wird. So kann der Bezug eines Strafregister- oder Betreibungsregisterauszugs, einer Wohnsitzbestätigung oder eines Ausbildungsdiploms komplett digitalisiert und automatisiert werden. Die E-ID und das Ökosystem werden zum Erfolg, wenn möglichst schnell viele Anwendungsmöglichkeiten den Menschen in der Schweiz zur Verfügung stehen.

Gegen das neue E-ID-Gesetz wurde das Referendum ergriffen, das Volk hat auch beim zweiten Anlauf das letzte Wort. Gemäss Information aus dem Partizipationsmeeting vom April 2025 wird das Gesetz frühestens im dritten Quartal 2026 in Kraft treten. Trotzdem ist mit der Verfügbarkeit von Public Beta und auf Basis des vom Bundesrat kommunizierten Technologieentscheids der richtige Zeitpunkt gekommen, um sich mit dem Technologie-Stack der Vertrauensinfrastruktur auseinanderzusetzen und die Möglichkeiten des Ökosystems für eigene Anwendungsfälle auszutesten.