SwissID

Die SwissID wiederum positioniert sich irgendwo zwischen der E-ID und der Mobile ID. Zurzeit dient sie vor allem dazu, sich unter einem einheitlichen Login im Internet anzumelden – somit verfolgt sie eine andere Absicht als die Mobile ID, die eine beliebige Anmeldung durch die 2FA absichert. O-Ton der Website swissid.ch: «Mit SwissID loggen Sie sich bei immer mehr Schweizer Onlinediensten einfach und sicher ein. SwissID ist eine kostenlose Dienstleistung der SwissSign Group, einem Joint Venture aus staatsnahen Betrieben, Finanzunternehmen, Versicherungsgesellschaften und Krankenkassen.» So weit, so klar die Ansage. So setzt etwa die Post (aber nicht PostFinance) die SwissID für die Anmeldung voraus.

Die SwissID hat ausserdem viel Luft nach oben. Ihre Funktionalität besteht aus Modulen, die aufeinander aufbauen. Sie könnte also irgendwann zu einer elektronischen Identität werden, so wie sie im E-ID-Gesetz definiert ist. Diese Zukunftsmusik hören wir allerdings nur aus der Ferne: Auf der Website von SwissID sind die aktuellen Partner aufgeführt und die Anzahl der Verbündeten geht gerade noch so als Müsterchen durch, Bild 9.

Die Anmeldung erfolgt über die Website swissid.ch, ist kostenlos und dauert nur einige Minuten. Dazu müssen Sie lediglich Ihren Namen und eine E-Mail-Adresse eingeben; an diese E-Mail-Adresse wird ein Code gesendet, der die Anmeldung abschliesst. Nun können Sie fakultativ Ihre Postadresse eingeben, aber eine weitere Prüfung der Identität findet nicht statt. Und das passt nicht zusammen: Auf der einen Seite sieht sich SwissID als Universalschlüssel für Anmeldungen. Auf der anderen Seite wird gerade einmal die E-Mail-Adresse geprüft, die genauso gut eine Wegwerfadresse sein kann.

Es wird noch schlimmer: In fast jedem Ratgeber für mehr Sicherheit im Internet findet man diese zwei elementaren Regeln. Erstens sollte für jeden Dienst ein eigenes Kennwort verwendet werden. Zweitens sollte dieses Kennwort unbedingt durch die 2FA abgesichert werden, falls verfügbar. Die SwissID ignoriert beides. Für alle Anmeldungen wird logischerweise dasselbe Kennwort verwendet. Ausserdem ist ab Werk tatsächlich die 2FA deaktiviert – und das mutet doch seltsam an.

Um das zu ändern, melden Sie sich im Webbrowser auf swissid.ch an. Klicken Sie rechts oben auf die drei Striche (Hamburger-Menü) und wählen Sie im Einblendmenü den Eintrag SwissID Einstellungen. Hier definieren Sie im Bereich 2FA, welche Zwei-Faktor-Authentifizierung verwendet werden soll, Bild 10 A. Zur Auswahl stehen die Mobile ID, eine SMS oder eine Streichliste, die Sie ausdrucken und auf Reisen mitnehmen können – nur für den Fall, dass das Mobiltelefon ohne Empfang bleibt. Sobald Sie die SMS oder Mobile ID für die 2FA nutzen, können Sie weiter unten diese Form der Anmeldung zum Standard machen B. Jetzt ist die SwissID abgesichert.

Alternativ verwenden Sie die App «SwissID», die kostenlos für Android und iOS angeboten wird. Melden Sie sich an (nötigenfalls unter Zuhilfenahme der Mobile ID) und aktivieren Sie die 2FA. Jetzt wird diese App bei der Anmeldung für die 2FA benutzt, Bild 11. Spätestens hier drängt sich der Verdacht auf, dass sich die Mobile ID und die SwissID gegenseitig befruchten wollen, um ihre Wichtigkeit zu unterstreichen.