Die Kontroverse um die E-ID

Am 7. März 2021 wird das Schweizer Stimmvolk über die Einführung des Bundesgesetzes über elektronische Identifizierungsdienste (E-ID-Gesetz) abstimmen. 

Dem neuen Gesetz nach soll der Bund nach wie vor die Identität von Personen prüfen und kontrollieren, die technische Umsetzung der E-ID will er hingegen Privatunternehmen, Kantonen und Gemeinden übertragen. Gemäss Referendumskomitee wollen aber über 80 % der Bevölkerung den digitalen Pass nicht von Firmen, sondern vom Staat beziehen. Zwei gegensätzliche Feststellungen drängen sich auf: 

1. So viel Vertrauen in den Staat erfreuen sich weltweit wenige Staaten. 

2. Gleichzeitig erfährt man fast täglich  von Hackerangriffen  auf Computersysteme von Privatunternehmen und Staaten und vom ungehinderten täglichen massiven Datensammeln von Privatpersonen im Internet. 

Gestützt auf diese Feststellungen fragt sich, weshalb der Bund bereit ist, das Vertrauen in die Institution aufs Spiel zu setzen? 

 

Die Bedrohungslage im Cyberspace 

Das Internet - oder präziser der Cyberspace - ist, wie jeder von Menschen bewohnte Raum, Gegenstand von Machtkonfrontation. Es ist das Produkt einer US-militärischen Erfindung. Für die US-Armee ging es darum, nach einem möglichen nuklearen Angriff weiterhin dezentral kommunizieren zu können.

 

Der Cyberspace ist somit nach Land, See, Luft und Weltraum der fünfte Bereich eines möglichen Krieges geworden. Die angewandten Methoden reichen von Propaganda und Desinformation bis hin zu Datendiebstahl, Denial-of-Service (d. h. zur Nichtverfügbarkeit), Sabotage von militärischer Ausrüstung, die eine Koordinierung der Verteidigungsmittel ermöglicht, und schliesslich zu Angriffen auf strategische Infrastrukturen wie Strom- und Wasserversorgung, Kommunikationszentren oder Verkehrsknoten. 

 

Wir wissen nicht viel über Waffen, die im Cyberspace eingesetzt werden können. Zurückverfolgen lassen sie sich schlecht. Das Paradoxe ist, dass Stärke hier als Schwäche ausgelegt werden kann. Tatsächlich sind es die Staaten, die sich am meisten auf diese Technologien verlassen und dadurch auch mächtiger werden, die am anfälligsten für einen solchen Angriff sind, weil er grössere Auswirkungen auf ihre Gesellschaft hat. Andererseits können die technologisch fortgeschrittenen Staaten selbst mehr Mittel für ihren Schutz ausgeben. Unklar bleibt, ob der „Stärkere“ obsiegt. 

 

Viele Staaten haben eine Cyber-Armee. Bei der Schweizer Armee ist die Führungsunstersützungsbasis der Armee FUB dafür zuständig. Sie koordiniert sich mit dem zivilen Nationalen Zentrum für Cybersicherheit NCSC, das dem Eidgenössischen Finanzdepartement unterstellt ist. Der Bundesrat plant für 2024 die FUB in ein Cyber-Kommando weiterzuentwickeln. Dafür wird der Milizbestand von heute 206 auf 575 Armeeangehörige mehr als verdoppelt. Zum Vergleich, die israelische Armee, mit einer Stärke von 170’000 Mann, verfügt über rund 5’000 Cyber-Soldaten. (1) Mit dem künftigen Cyber-Kommando kann der Bund vielleicht seine eigene Infrastruktur schützen, die Privatwirtschaft ist aber nach wie vor auf sich selbst angewiesen.

 

Lagebeurteilung des Nachrichtendienstes des Bundes NDB 

Der NDB hat 2020 fünf Hauptbedrohungen identifiziert: Dschihadistischer und ethno- nationalistischer Terrorismus, gewalttätiger Rechts- und Linksextremismus, Proliferation, verbotener Nachrichtendienst (Spionage) und Bedrohung kritischer Infrastrukturen. (2) In unserem Fall sind die zwei letzten Bedrohungen von Belang.

Konkret beobachtet der NDB einen deutlichen Anstieg von Cyberangriffen auf Schweizer Interessen im In- und Ausland. So werden laufend finanziell motivierte Angriffe Krimineller auf die internen Systeme einzelner Finanzinstitute registriert. Davon betroffen sind auch Betreiber kritischer Infrastrukturen. 

 

Die Cyberbedrohung, die die kritischen Infrastrukturen in der Schweiz derzeit hauptsächlich beschäftigt, ist die aus monetären Motiven eingesetzte Verschlüsselungssoftware. Damit werden Daten unleserlich gemacht, um vom Besitzer Geld zu erpressen. Zwar ist dabei Sabotage nicht das Ziel, wohl aber die Folge. Weltweit ist eine Zunahme der Angriffe mit Verschlüsselungssoftware zu beobachten. International werden nicht nur Unternehmen, sondern häufig Infrastruktur bei der öffentlichen Hand im Verwaltungs- und Gesundheitssektor angegriffen.

 

Laut NDB wird die Cyberbedrohung für die Schweiz und ihre kritischen Infrastrukturen fortbestehen. Der NDB hat aber keine konkreten Hinweise darauf, dass kritische Schweizer Infrastrukturen Ziel von Cybersabotage werden sollen. Es sei zudem zurzeit wenig wahrscheinlich, dass solche Infrastruktur ein direktes Opfer wird, weil Cybersabotage vor allem gegnerischen Staaten in Konfliktsituationen zur gegenseitigen Abschreckung diene. Indirekt sei aber eine solche Bedrohung nicht auszuschliessen.

 

Als Sitz internationaler Organisationen und multinationaler Konzerne, Schauplatz internationaler Verhandlungen, Finanz- und Handelsplatz und Laboratorium neuer Technologien bilde die Schweiz hingegen in vielerlei Hinsicht ein anziehendes Spionageziel.

 

Im Bereich der Cyberspionage und des Datendiebstahls unterscheidet das schweizerische Strafgesetzbuch vier Delikte: 

- Art. 143 Unbefugte Datenbeschaffung

- Art 143bis Unbefugtes Eindringen in ein Datenverarbeitungssystem

- Art. 144ter Datenbeschädigung

- Art. 147 Betrügerischer Missbrauch einer Datenverarbeitungsanlage.

 

Über die massive Datenerhebung, wie sie von den bekannten US-Big Five (3) erfolgt, schweigt das StGB. Sowie der NDB. Und überhaupt die meisten Strafgesetzbücher und Nachrichtendienste der Welt. 

 

Und was nützt das Datenschutzgesetz? Es schützt wohl die Schweizer und ausländischen Unternehmen, die hierzulande Rechenzentren betreiben, vor der Offenlegung von Daten, zum Schutz des Endverbrauchers gegen das massive Sammeln von Daten hingegen, ist es völlig nutzlos.

 

Die Falle der Auslagerung 

Jahrhundertelang genossen die Staaten das Gewaltmonopol. Durch die Digitalisierung, vor allem von Privatfirmen, ist diese Macht dem Staat abhanden gekommen.

 

Der Staat ist auch nicht in der Lage, Privatunternehmen zu kontrollieren, deren Handlungen die öffentliche Sicherheit gefährden können; nicht selten sind sogar Staaten von einem solchen Unternehmen abhängig. Öffentliche Behörden weltweit verlassen sich sogar häufig auf private Unternehmen, um kritische Infrastrukturen zu schützen oder Risiken im digitalen System zu überwachen. Diese Abhängigkeit will nun der Bund mit dem Erlass des Bundesgesetzes über elektronische Identifizierungsdienste rechtlich verankern. 

 

Und dies obwohl der Bund oft keinen Zugang zu Informationen über Risiken für öffentliche Dienstleistungen hat. Nehmen wir ein hypothetisches Beispiel: Würde der Bund eine der letzten Grossbanken, die wir noch haben, oder ein Versicherungsinstitut mit der Umsetzung der  E-ID beauftragen, und diese bzw. dieses würde Ziel einer (feindlichen) Übernahme. Was würde dann mit den Daten der Privatpersonen passieren? Art. 6 des Datenschutzgesetzes gibt vor, welche Bedingungen erfüllt sein müssen, um Daten von Privatpersonen ins Ausland weiter zu gegeben. An der Griffigkeit solcher Vorsorgemassnahmen darf allerdings gezweifelt werden, weil die Geschwindigkeit der digitalen Innovation die Fähigkeit der Staaten bei weitem übertrifft, die notwendigen Gesetze zu Verschlüsselungsstandards, Datenschutz und Produkthaftung zu erlassen. 

 

Zudem verhindern Geschäftsgeheimnisse und Geheimhaltungsvereinbarungen häufig, dass Informationen über die Funktionsweise solcher privaten Technologieunternehmen der Öffentlichkeit zugänglich gemacht werden. Infolgedessen haben die Regierungen Schwierigkeiten, die realen Bedrohungen und Risiken, die es bereits gibt, in den Griff zu bekommen.

 

Das ungeahnte Wirtschaftspotenzial der Datenlagerung

Das Geschäft mit den Rechenzentren, in der Medien- und Umgangssprache besser bekannt als „Datenbunker“, floriert mehr oder weniger unauffällig seit Jahren in der Schweiz. Dabei werden nicht selten alte Anlagen der Armee aufgewertet und technisch auf den letzten Stand gebracht. Neuerdings werden auch neue Anlagen erbaut, insbesondere im sogenannten goldenen Dreieck Basel - Bern - Zürich.

 

Die Vorteile solcher Rechenzentren sind nicht von der Hand zu weisen. So profitieren die Unternehmen von äusserst günstigen Rahmenbedingungen wie einem traditionell gut funktionierenden Staat, der allgemeinen politischen Stabilität der Schweiz, dem Bekenntnis zum Wirtschaftsliberalismus, der Verfügbarkeit von hochleistungsfähigen Glasfaser- und Energieinfrastrukturen, von gut ausgebildeten IT-Fachkräften, nicht zu sprechen von einem ausgebauten und unternehmensfreundlichen Datenschutzgesetz.  

 

Frank Boller, CEO von Green Datacenter AG, erwähnt im Handelskammerjournal Deutschland-Schweiz vom 23. August 2017, dass - einer Studie der Credit Suisse zufolge - bereits ein Viertel des europäischen Datenvolumens in der Schweiz gelagert sein soll. Er geht davon aus, dass das Datenvolumen jährlich um 40 % bis 60 % wachsen soll. (4)

 

Zwischen CHF 200 Mio. und CHF 400 Mio. werden hierzulande jährlich in die Entwicklung neuer Rechenzentren investiert. Gemäss Switzerland Global Enterprise, der Schweizer Agentur für Export- und Investitionsförderung, belegt das Land im globalen Data Center Risk Index den dritten Platz unter 37 Ländern. Die Ankunft der Plattform-Zentren von Google, Oracle und Microsoft in der Schweiz wird diesem schnell wachsenden Sektor einen weiteren Schub verleihen, da immer mehr Schweizer Unternehmen den Wechsel zur Cloud vollziehen. (5)

 

Google ist seit 2003 in der Schweiz ansässig. 2019 hat das US-Riesen sein Cloud-Angebot mit der Lancierung von Google Cloud Region Zurich erweitert. Damit will das amerikanische IT-, Internet und Softwarekonzern das Angebot für Unternehmen oder Behörden um neue Dienste und verbesserten Zugang zu seinem weltweiten Netzwerk stärken.(6) Bereits heute ist Zürich mit rund 4'000 Mitarbeitern aus 85 Nationen Googles grösster Forschungs- und Entwicklungsstandort ausserhalb den USA. 

 

Fazit und Schlussfolgerung 

Man darf sich als Schweizer Bürgerin oder Bürger wünschen, dass der Bund eine Politik der Digitalisierung betreiben würde, die klar erkennt, welche digitalisierten Systeme für das öffentliche Interesse, die öffentliche Sicherheit und das Funktionieren der Gesellschaft von entscheidender Bedeutung sind und dafür die Verantwortung über sämtliche Arbeitsprozesse übernehmen würde. Das wäre die Gegenleistung, die die Bevölkerung für sein Vertrauen in den Bund erwarten könnte.

 

Doch stattdessen haben wir eine Reihe von Feststellungen gemacht, die dieses Vertrauen eher unterminieren als stärken:

- Die Cyberbedrohung nimmt laufend zu. Dennoch zeigt der Bund zu wenig Entschlossenheit zum Aufbau einer Cyber-Armee zum Schutz der kritischen Infrastruktur. 

- Die IT-Industrie wächst stark. Sie könnte sich in absehbarer Zeit als dominantes Wirtschaftssegment entwickeln. Es zu kontrollieren, erweist sich für den Staat immer schwieriger. 

- Mit der Auslagerungen von Dienstleistungen stärkt der Bund die IT-Branche zusätzlich und leistet Vorschub für die Auslagerungen von sensitiven Daten. 

 

Ich komme nun auf meine Fragestellung zurück: Warum setzt der Bund das Vertrauen des Volkes in die Institution auf Spiel? 

 

Abschliessend kann ich diese Frage nicht beantworten, aber ich kann mir gut vorstellen, dass der Bund die Lage so einschätzt, dass er erstens seine Finanzmittel anderweitig einsetzen will und zweitens, die fachtechnischen Fähigkeiten nicht besitzt und mittelfristig auch nicht besitzen wird, um eine E-ID und weitere digitale Leistungen in eigener Regie herzustellen und zu verwalten. 

 

Ob die Bundesbehörden den Vertrauensbruch wahrnehmen? Vermutlich nicht. Vertreter von Politik und Behörden bleiben oft sehr abstrakt im Austausch mit den Bürgerinnen und Bürgern. Sie sind daran gewöhnt, sich auf der Ebene von Verordnungen und Statistiken zu bewegen; so verlieren sie oft das Menschliche aus dem Blick. 

 

Sicher ist nur eins: Bei der Auslagerung der E-ID wird diese für die Bürgerinnen und Bürger nicht günstiger. 

 

Virginia Bischof Knutti©17.02.2021.

 

Quellen:

Bild: Wikipedia Commons

(1) Pascal Lago, Für eine echte Weiterentwicklung der Armee, in: ASMZ Sicherheit Schweiz, Nr. 01/02 - Januar/Februar 2021, S. 4-5.

(2) Nachrichtendienst des Bundes NDB, Sicherheit Schweiz 2020.

(3) Google, Amazon, Facebook, Apple, Microsoft (Anm. der Autorin).

(4) Frank Boller, Handelskammer Deutschland-Schweiz, Das Boomgeschäft mit Rechenzentren in der Schweiz, 23.08.2017, https://www.handelskammerjournal.ch/de/das-boomgeschaeft-mit-rechenzentren-in-der-schweiz, gesichtet am 10.02.2021.

(5) Nicola Gibbs, Deloitte, Rechenzentren in der Schweiz - Dynamischer Markt mit bevorstehender Konsolidierung, https://www2.deloitte.com/ch/de/pages/corporate-finance/articles/data-centres-in-switzerland.html, gesichtet am 10.02.2021.

(6) Handelszeitung, Nach 15 Jahren in der Schweiz wächst Google weiter, 10.09.2019, https://www.handelszeitung.ch/unternehmen/nach-15-jahren-der-schweiz-wachst-google-weiter.