Die IT-Verantwortlichen beim Bund dürften sich am Mittwoch ein wenig geärgert haben: Sie kündigten am Morgen in einer Medienmitteilung ein neues Projekt an, mit dem gewisse IT-Prozesse des Bundes schweiz- und weltweit vereinfacht werden sollten. Die Idee klang eigentlich gut, als die Medienmitteilung kurz nach 09:30 Uhr verschickt wurde.
Doch das änderte sich nicht mal sieben Stunden später.
Was ist passiert? Um das zu verstehen, muss man zunächst erklären, wie man überhaupt auf ein Computersystem des Bundes zugreifen kann: Wer interne Ablagesysteme und Datenbanken vom Homeoffice aus öffnen will, braucht nicht nur einen Benutzernamen und ein Passwort, sondern auch eine sogenannte Smartcard.
Sie gleicht in der Grösse und Form einer Kreditkarte und dient als elektronischer Ausweis für Bundesangestellte. Sie enthält einen kryptografischen Schlüssel, der nach Eingabe einer PIN die Berechtigung zum Datenzugriff bestätigt. Solche Smartcards stellen einen immensen Sicherheitsfaktor dar, weshalb Beamtinnen und Beamten ihn auf keinen Fall verlieren sollten.
Diese physischen Sicherheitskarten stellten in Homeoffice-Zeiten ein logistisches Problem dar: Wer eine solche benötigte, musste in Bern bei einem anderen Standort der Bundesverwaltung oder bei einer Schweizer Botschaft mit dem persönlichen Ausweis vorstellig werden.
Im Normalfall wäre das ein Routinebesuch. Schwieriger wurde es, wenn irgendwo auf der Welt eine solche Smartcard dringend benötigt wurde. Etwa bei folgendem fiktivem Szenario: Ein wichtiges Computerprogramm beim Bund streikt und die einzige Entwicklerin, die das Problem innert Stunden lösen kann, liegt am Strand auf einer Insel. Sie hat ihren Laptop zwar dabei, die Smartcard ist jedoch in einem abgeschlossenen Tresor in Zürich. Die einzige Lösung bislang war: Sie musste zur nächsten Schweizer Auslandsvertretung reisen und sich dort eine Smartcard abholen.
Die Bundeskanzlei kündigte diese Woche an, dieses aufwendige Prozedere vereinfachen zu wollen: Der physische Besuch soll durch eine virtuelle Identifikation per Video ersetzt werden. Statt einer Smartcard wird ein digitales und ebenfalls kryptografisches Zertifikat aufs Handy geladen.
Stunden nach dieser Ankündigung trat jedoch der deutsche Chaos Computer Club mit einem Bericht an die Presse, in dem ein Hacking-Angriff auf eine solche Videoidentifikation in realer Umgebung demonstriert wird.
Der auf Computersicherheit spezialisierte Verein stellte bei mehreren Videoidentifikationslösungen fest, dass gefälschte Identitätskarten und falsche Gesichter (sogenannte Deepfakes) als echt befunden wurden. Das Fazit klingt wie eine Warnung: «Das Schadpotential wird praktisch demonstriert, indem unter falscher Identität auf elektronische Patientenakten zugegriffen sowie qualifizierte elektronische Signaturen erzeugt werden.»
Drohen solche Betrugsversuche auch beim Bund? Die Medienstelle der Bundeskanzlei reagierte auf eine erste Anfrage von watson wortwörtlich sprachlos. Sie bat Stunden nach dem Bekanntwerden der Sicherheitsprobleme zunächst um etwas Zeit: Man müsse den Bericht des Chaos Computer Club genau studieren, bevor man Stellung nehmen könne.
Diese Antworten liegen nun vor. Darin beschwichtigt die Bundeskanzlei: Die Videoidentifikation sei bislang nur angekündigt worden, es handle sich zudem nur um einen Versuch. Ein «produktiver Einsatz» sei noch nicht im Gange. Aufgrund des Sicherheitsberichts (in Behördensprech: «aktuelle Ereignisse») wolle die Bundeskanzlei zusammen mit dem Serviceanbieter die Verlässlichkeit der eingesetzten Video-Identifikationslösung prüfen. Sprich: Man geht nochmals über die Bücher.
In der Stellungnahme betont Mediensprecher Florian Imbach jedoch, dass es beim angekündigten Versuch nur um externe Mitarbeiterinnen und Dienstleister des Bundes gehe. Bürgerinnen und Bürger beträfe das nicht. Zudem dürften Personen, die über Videoidentifikation überprüft wurden, auf «Informationen der Stufe VERTRAULICH» nicht zugreifen.
Betont wird auch, dass es sich beim Versuch nur um einen Versuch handle. Man wolle die Technologie testen, um «digitalisierte und ortsunabhängige Onboardings» zu ermöglichen. Das sei nur möglich, wenn man über die entsprechende Erfahrung und Kompetenz verfüge. Diese würden nun in einem Testbetrieb mit «klar definiertem und beschränktem Rahmen» gesammelt.
Und was, wenn es doch zu einem Betrugsfall kommt? Wenn doch ein vermeintlicher IT-Ingenieur zu einer solchen Smartcard kommt?
Die Bundeskanzlei beschwichtigt auch hier im Gespräch mit watson: Es sei nicht so, dass man einfach so zu einer Smartcard bzw. zum digitalen Pendant auf dem Smartphone käme. Der Kreis der involvierten Behörden und Personen sei während des Testbetriebs klar bestimmt. Diese wüssten genau, wer wann und wofür eine Videoidentifikation zum Bezug der Zugriffscodes machen müsste.
Auf die Frage, welche Behörde genau für die Erkennung möglicher Betrugsfälle verantwortlich ist, gibt es aber keine konkrete Antwort: Zuständig fürs dahinter steckende Zugangssystem (eIAM) sei der Bereich «Digitale Transformation» bei der Bundeskanzlei, zusammen mit dem Bundesamt für Informatik und Telekommunikation des Eidgenössischen Finanzdepartements unter Bundesrat Ueli Maurer. Diese Behörde führe zusammen mit einer weiteren Behörde der Bundeskanzlei (IKT-Lenkung) den Testbetrieb, eine Evaluation erfolge laufend.
Eine verlässliche, gute Nachricht gibt es immerhin punkto Kosten: Der Bund musste für den Testbetrieb keinen Grosseinkauf tätigen. Die Videoidentifikation tätige die beauftragte Firma AdNovum zusammen mit dem Dienstleister Intrum AG – er ist in der breiten Bevölkerung als Inkassounternehmen bekannt. Dieser verrechnet pro erfolgte Videoidentifikation einmalig 45 Franken. «Dafür war keine individuelle Beschaffung notwendig», sagt die Bundeskanzlei. Zudem würden die Kosten für die Vor-Ort-Identifikation und die Smartcard entfallen.
Das Problem ist eher, dass nur ein einziger Entwickler mit diesem wichtigen Programm genug vertraut ist, um das Problem zu lösen...
Leider kenne ich die Situation nur zu gut. Ich war auch lange der einzige, der Probleme in älteren (aber immer noch wichtigen) Programmen innert nützlicher Frist lösen konnte. Langfristig ist das ein nicht akzeptables Risiko. Aber die Einarbeitung zusätzlicher Entwickler "lohnt" sich eben auch nicht...