Das Wichtigste in Kürze:
- Die Post wechselt beim Sicherstellen der Identität beim Online-Kundenportal auf die digitale Einheits-Identität SwissID.
- Das Informations-Mail für Kunden sorgt dabei für einige Verwirrung und Verunsicherung.
- Auch der eidgenössische Datenschützer meldet seine Bedenken an.
- Die Post beruhigt, man sorge für optimale Sicherheit der Kundendaten.
Konsumentinnen und Konsumenten sollen mit einer digitalen Identität, demselben Login und Passwort in Zukunft alles Mögliche online erledigen können – das ist die Idee der verschiedenen Unternehmen, welche hinter SwissID stehen. Vorerst sind dies die Post, die SBB, die Swisscom und verschiedene Banken. Und dank dieser Vereinfachung erhoffen sich die Initianten auch namhafte Einsparungen.
Die Post macht nun den Anfang. Sukzessive sollen alle ihre Online-Kunden auf SwissID umsatteln. Per E-Mail werden sie dazu aufgefordert. Und zwar handelt es sich um die Kunden des Portals post.ch – es bietet Briefumleitungen, Paket-Tracking, das Versenden von Postkarten und andere Dienstleistungen an. Die Postfinance bleibt vorerst noch ausgeklammert.
Das Thema sorgt für Fragen, Ärger und Verunsicherung. Mehrere Postkundinnen und -kunden haben sich deswegen bei den SRF-Konsumentenmagazinen «Espresso» und «Kassensturz» gemeldet.
Die drängendsten Fragen/Probleme:
- Spamverdacht: Den einen Kundinnen und Kunden kommt das Mail der Post verdächtig vor. «Ich habe es gleich gelöscht», sagt zum Beispiel ein IT-Spezialist gegenüber «Espresso». Kein Spam, stellt Postsprecher Oliver Flüeler klar. Um dies zu verdeutlichen, habe man auf einen direkten Link innerhalb des Mails verzichtet, sondern man weise die Kunden darauf hin, sie müssten sich via post.ch-Portal einloggen. Und um den Wechsel zur SwissID abzuschliessen, erhält man in einem separaten Mail zuerst einen Sicherheitscode.
- Alternativen? «Was passiert, wenn ich nicht auf das Mail der Post reagiere?», fragt eine Hörerin. Ein anderer sagt, er fühle sich regelrecht genötigt. Der Wechsel zur SwissID sei ein unternehmerischer Entscheid, man habe sich nun mal für diesen Weg entschieden, erklärt Flüeler. Das bedeute konsequenterweise auch, dass es keine Alternativen gebe, wenn man die Online-Dienstleistungen der Post auch weiterhin nutzen wolle. Einen Monat nach der letzten Aufforderung werde der alte Account und das bisherige Login gelöscht. Wer sich gegen die SwissID entscheide, müsse sich in Zukunft an den Postschalter wenden.
- Sicherheit: Jahrelang wurde gepredigt, man solle nie mehrfach das gleiche Passwort verwenden und nun soll das plötzlich kein Problem mehr sein? Manche Kunden sind skeptisch. Der Postsprecher beruhigt: «Es gelten die höchsten Sicherheitsanforderungen, die heutzutage möglich sind.» Für gewisse heikle Online-Geschäfte gelte überdies auch weiterhin eine Zweifaktoren-Authentifizierung. Das bedeutet, dass man die Bestellung ein zweites Mal mit einem Code bestätigen muss, bevor sie abgeschlossen ist.
- Haftung: Einzelne Zuschriften stellen die Allgemeinen Geschäftsbedingungen (AGB) der SwissID, beziehungsweise der Firma SwissSign, welche technisch für die digitale Einheitsidentität zuständig ist, in Frage. Tatsächlich liegt die Verantwortung für allfällige Fehler – vereinfacht gesagt – hauptsächlich beim Kunden. Postsprecher Flüeler entgegnet: «Die Haftungsausschlüsse liegen im zulässigen und üblichen Rahmen.» Und man schaue bei Problemen jeden Fall einzeln an.
Die Bedenken des Datenschützers
Der eidgenössische Datenschützer sieht die Sache etwas weniger rosig als die Post. Rechtlich sei nichts gegen das Projekt einzuwenden, sicherheitstechnisch sei es hingegen heikel: «Für Hacker ist es natürlich sehr interessant, ein Unternehmen anzugreifen, über dessen Login man auf ganz viele User zugreifen kann», sagt Francis Meier, Sprecher des Datenschutzbeauftragten. Man habe die Bedenken schon gegenüber den Verantwortlichen der SwissID geäussert und werde bald kontrollieren, ob die Sicherheitsstandards tatsächlich so gut seien, wie versprochen.
Gleichzeitig ist der Gesetzgeber auch daran, ein nationales Gesetz für elektronische Identifizierungsgesetze auszuarbeiten. Das sogenannte E-ID-Gesetz soll den Schutz von sensiblen Kundendaten besser garantieren als das heutige Datenschutzgesetz.