Swisssign-CEO Markus Naef über seine Pläne mit dem Joint Venture von Post und SBB
Swisssign ist seit Mai 2017 ein Joint Venture der Post und der SBB. Seit Mai hat das Unternehmen, das die elektronische Identität flächendeckend in der Schweiz einführen will, auch einen neuen CEO. Die Redaktion sprach mit Markus Naef über seine Pläne mit Swisssign.
Wo machen Sie die Abgrenzung zwischen elektronischer Signatur und elektronischer Identität?
Markus Naef: Fangen wir mit der Identität an: Sie stellt sicher, dass etwa der Absender einer E-Mail tatsächlich die Person ist, die sie vorgibt zu sein. Es handelt sich dabei um eine sogenannte geprüfte Identität. Die elektronische Signatur hingegen ersetzt die handschriftliche Unterschrift auf einem Dokument, womit der Unterschreibende etwa einen Vertrag oder ein anderes Rechtsgeschäft abschliesst und damit quasi seine Willensäusserung zum Abschluss eines solchen Rechtsgeschäfts besiegelt.
Die Voraussetzung für eine elektronische Signatur ist aber die elektronische Identität?
Genau. Die elektronische Signatur baut auf der elektronischen Identität auf.
Und wie muss man sich nun das Angebot von Swisssign rund um die elektronische Signatur und Identität vorstellen?
Swisssign hat zwei Standbeine. Das eine ist das Zertifikatsbusiness, das zweite Standbein ist die neue Swiss-ID, die auch der Grund für das Joint Venture Swisssign der Post und der SBB ist. Die neue Swiss-ID bietet einen Funktionsumfang, der aus fünf Modulen besteht. Modul eins deckt das einfache Log-in-Verfahren, bestehend aus Username und Passwort, ab. Modul zwei ist die persönliche Datenübergabe; dieses Modul gibt dem Anwender die Hoheit, über seine Daten selbst zu bestimmen. Modul drei bietet die Zwei-Faktor-Authentifizierung etwa via SMS, Mobile-ID, biometrischen Merkmalen. Modul vier ist die geprüfte Identität, und auf der geprüften Identität baut schliesslich Modul fünf auf, die geprüfte elektronische Signatur.
Was ist der Unterschied zwischen der alten Suisse-ID und der neuen Swiss-ID?
Ein wichtiger Unterschied ist, dass bei der neuen Swiss-ID die Einstiegshürde für Anwender niedrig ist. Die alte Suisse-ID hatte durchgängig hohe Sicherheitsanforderungen, die quasi im Modul vier und fünf angesiedelt waren. Zuerst musste in jedem Fall die Identität geprüft werden, bevor man mit der alten Suisse-ID irgendetwas machen konnte. Aber im eher unkritischen Bereich, etwa beim Onlineshopping, wo es etwa nur darum geht, ein Log-in zu verwalten, ist es aufgrund der Funktionalität, der Usability und der Kosten nicht nötig, mit Level vier oder gar fünf einzusteigen. Die Suisse-ID war zudem für Anwender kostenpflichtig. Die Swiss-ID ist auf mobile Applikationen ausgerichtet, für Anwender kostenlos und operiert mit einer Cloud, während die Suisse-ID den Einsatz eines Hard Tokens - eine Art Memory-Stick - erforderte.
Aber warum braucht es denn Modul 1 bis 3 überhaupt, also Log-in, Zwei-Faktor-Authentifizierung und selbstdeklarierte Identität, wenn diese nicht garantiert authentisch sind?
Bei den ersten drei Modulen geht es nur darum, dass Anwender das eigene digitale Profil anreichern können und die Bedienung einfacher und bequemer wird. In einem Onlineshop etwa geht es um die Angabe von Zugangsdaten oder der Adresse. Studien zeigen, dass Onlinekunden den Bestellvorgang oft dann abbrechen, wenn es darum geht, die eigene Adresse einzugeben. Wenn die Anwender diesen Vorgang mit einem Knopfdruck erledigen und wir so die Umwandlungsrate im E-Commerce steigern können, hat das einen Wert für einen Onlineanbieter.
Das können mein Macbook und mein iPhone aber auch ohne Swiss-ID. Die Funktion heisst "Automatisch ausfüllen" im Safari-Browser ...
Das mag sein, wenn Sie das so im Browser beziehungsweise in den Kontakten hinterlegt haben. Nur liegt die Kontrolle über die Daten damit nicht bei den Anwendern, und die Daten wiederum liegen nicht wie bei Swisssign hier bei uns in der Schweiz zentral auf einem Schweizer Server, sondern irgendwo auf der Welt in Apples iCloud. Swiss-ID ist die Schweizer Antwort auf Google, Facebook, Apple und Co. Die Anwender von Swiss-ID sollen unter Einhaltung des Schweizer Datenschutzgesetzes die Kontrolle über ihre eigenen Daten behalten.
Warum braucht es überhaupt eine elektronische Identität beziehungsweise eine elektronische Signatur?
Es gibt viele Geschäftsvorgänge, die etwa gemäss Finma-Regulierungen oder Obligationenrecht eine Identifikation und/oder eine rechtsgültige Unterschrift erfordern. Im Zuge der Digitalisierung ist es ein viel gehegter Wunsch aller Beteiligten, solche Prozesse inklusive rechtsgültiger Unterschrift unter einem Vertragswerk digital abzubilden. Die Bestellung eines Strafregisterauszugs etwa, einer Betreibungsauskunft, das Abschliessen einer Lebensversicherung. In Zukunft wird man auch notariell beglaubigen können oder andere rechtsverbindliche Geschäfte abschliessen, bei denen man genau weiss, wer dahintersteht. Das Ziel ist es, durch die Swiss-ID physische Unterschriften auf Papier und das anschliessende Versenden per Briefpost durch einen digitalen Prozess zu ersetzen. Das Abschliessen von Bankgeschäften, Telefonverträgen, Versicherungsverträgen oder auch das Einreichen der Steuererklärung werden dadurch stark vereinfacht.
Wie sind Sie mit der neuen Swisssign als Joint Venture von Post und SBB in den Regelbetrieb gestartet?
Ich kenne natürlich nichts anderes als den "Regelbetrieb" des Joint Ventures, da ich ja genau zum Start der neuen Firma meine Funktion als CEO bei Swisssign übernommen habe. Der Regelbetrieb im Zertifikatgeschäft und bei der bisherigen Suisse-ID ging normal weiter. Zu den grossen Arbeiten, die nun anstehen, gehört, alle bisherigen Suisse-ID-Kunden und über eine Million Kunden der Post, die ein Benutzerkonto bei post.ch haben, mit der neuen Swiss-ID zu verknüpfen. Technisch sind wir dafür gerüstet; Die Plattform funktioniert. Erste Postportal-Kunden können das neue, einheitliche Log-in über Swiss-ID ab Herbst 2017 nutzen, ab 2018 folgen Swisspass-Kunden.
Das klingt nach viel Arbeit ...
Wir bewegen uns in einem sehr dynamischen Spannungsfeld und es stehen spannende Themen an. Swisssign ist einerseits als Joint Venture der Post und SBB im Start-up-Modus unterwegs, andererseits sind wir auch ein Unternehmen, das in einem tiefgreifenden Transformationsprozess steckt und sich vom Suisse-ID-Anbieter zum Swiss-ID-Provider entwickeln muss. Durch die Gründung des Joint Ventures hat Swisssign von den SBB und der Post unternehmerische Freiheit erhalten, damit sich unsere Mitarbeitenden und die technische Plattform auf das Kerngeschäft konzentrieren können.
Bei so einem Transformationsprozess gibt es auch immer Friktionen. Wo haben Sie solche seit Ihrem Start festgestellt?
Ich spüre auf allen Ebenen – von unten bis ganz nach oben – eine extrem hohe Bereitschaft, das "Start-up" Swisssign zum Erfolg zu führen. Mit den beiden Konzernchefs von Post und SBB, Susanne Ruoff und Andreas Meyer, habe ich regelmässig Kontakt.
Warum brauchte Swisssign einen neuen CEO?
Man wollte mit dem CEO-Wechsel den Neuanfang signalisieren, sowohl gegen innen als auch gegen aussen.
Und warum sind Sie der richtige Mann für den Job?
Ich bringe 20 Jahre Erfahrung in General Management und Business Development mit, hatte führende Rollen im Zusammenhang mit der Digitalisierung und Transformation inne sowie in der Umsetzung digitaler Geschäftsmodelle im B2C- und B2B-Bereich. Zuletzt war ich als CCO und Senior Vice President bei Sunrise Communications tätig. Nicht zuletzt meine Erfahrung im Aufbau und der Bildung von strategischen Partnerschaften, mein Know-how zu komplexen Finanzthemen und meine Rechtskenntnisse insbesondere zu den Themen Datenschutz, Wettbewerb und E-Commerce in Europa und Nordamerika dürften für meine Wahl ebenfalls ausschlaggebend gewesen sein. Das Unternehmen baute in der Vergangenheit sehr gute Produkte. Jetzt möchten wir vermehrt einen Pull-Ansatz anvisieren: Das heisst, wir holen zuerst systematisch die Bedürfnisse von den Partnern des Ökosystems und von den Kunden ab und bauen für sie ein passendes Produkt.
Warum haben Sie zugesagt?
Mir hat der Spirit des Unternehmens gefallen und ich bin auch vom Nutzen unserer Lösung überzeugt. Es braucht im Rahmen der fortschreitenden Digitalisierung einfach eine zuverlässige und verbindliche Identifikation im Netz. Ich glaube auch, dass so eine Lösung eher national statt international gefärbt sein muss. Und nicht zuletzt kann man mit den beiden Konzernen Post und SBB im Rücken auch etwas bewirken.
Die Suisse-ID hat sich bis heute nicht durchgesetzt. Warum soll sich die neue Swiss-ID durchsetzen?
Im Gegensatz zur alten Suisse-ID wird die neue Swiss-ID für natürliche Personen kostenlos sein. Zudem starten wir mit über 4 Millionen IDs, die wir den Kunden von Post und SBB anbieten können. Ich bin sehr zuversichtlich.
Und wo verdient Swisssign das Geld?
Wir verdienen Geld mit unseren Partnern, etwa grosse Onlineshops, die unter anderem den Log-in-Prozess an uns outsourcen, aber auch unser Ökosystem nutzen und Services von uns abfragen. Dafür sind sie bereit, etwas zu bezahlen. Wenn wir als Beispiel eine Versicherung nehmen, hat sie ein Interesse daran, eine geprüfte Identität von uns für die papierlose, rein digitale Abwicklung eines Vertragsabschlusses zu benutzen. Dafür bezahlt sie uns einen Gegenwert.
Dass die elektronische Identität nicht vom Staat herausgegeben wird, diskutieren Politik, Verbände und andere Organisationen kontrovers. Ein für Amtsgeschäfte gültiges Identifikationsmittel auszustellen, sei doch Sache des Staates und nicht Sache von Privatunternehmen, sagt etwa der Swico. Was entgegnen Sie den Kritikern?
Im Rahmen der Vernehmlassung zum neuen E-ID-Gesetz konnte man zu dieser Frage Stellung nehmen. Wir führen viele Gespräche mit allen Beteiligten. Wir sind natürlich ganz klar der Meinung, dass das Handling der elektronischen Identität durch ein vom Staat zertifiziertes privates Unternehmen erfolgen soll. Wir erachten eine Aufgabenteilung zwischen Staat und Markt als richtig. Potenzielle Inhaber einer E-ID müssen einen konkreten Nutzen in der Anwendung der E-ID sowohl im kommerziellen Bereich als auch im Behördenkontext sehen. Eine Verbreitung der E-ID wird nur erreicht durch eine Kombination einer staatlich herausgegebenen elektronischen Identifizierungseinheit mit kommerziellen Identifizierungsmitteln, wie etwa dem Swisspass. Mit diesem Ansatz entstehen zudem innovative und anwenderfreundliche Lösungen, die den Grundstein für die Verbreitung der E-ID in Bevölkerung, Wirtschaft und Verwaltung legen. Schliesslich kann der Markt rascher und flexibler auf technologische Entwicklungen und sich ändernde Kundenbedürfnisse reagieren als der Staat.
Wie verlief die Übergabe von Urs Fischer an Sie?
Die Übergabe ist gut verlaufen. Urs Fischer wird auch im Unternehmen bleiben: Er hat in der Geschäftsleitung, die ich neu organisiert habe, eine neue Funktion übernommen und leitet nun den Bereich Consulting mit Pre-Sales und Post-Sales.
Welche Aufgaben haben Sie als Erstes angepackt, als Sie angefangen haben?
Zuerst haben wir die Geschäftsleitung neu organisiert und sie mehr auf die Kundenbedürfnisse ausgerichtet. Wir sind heute mehr nach aussen orientiert und weniger nach innen auf unsere Produkte fokussiert. Das gilt aber nicht nur für die Geschäftsleitung, sondern für alle Mitarbeitenden. Wir wollen alle auf diese Reise mitnehmen. Das Ganze ist natürlich ein Change-Prozess.
Wie muss ich mir mehr Kundenorientierung in der Geschäftsleitung vorstellen?
Die Geschäftsleitung besteht nun aus zwei Stabsstellen: einem CFO und einem CISO. An der Front haben wir eine Commercial-Einheit gebildet mit Sales und Marketing unter der Leitung von Markus Venetz, dann den Consulting-Bereich mit Pre- und Post-Sales unter Urs Fischer, als CIO amtet ab Oktober Marcel Affolter. Noch vakant ist die Stelle des Chief Support Officers.
Welche Ziele haben Sie sich als CEO gesteckt? Was müssen, beziehungsweise wollen Sie für/mit Swisssign erreichen?
Meine persönlichen Ziele sind, dass ich ein solides Team aufbauen und in zwei bis drei Jahren einer der beliebtesten Arbeitgeber im KMU-Bereich sein möchte. Ich möchte eine Kultur schaffen, die auf Transparenz und Vertrauen basiert. Natürlich will ich auch finanziell Erfolg haben. Auch das Zertifikatsgeschäft will ich weiterentwickeln und internationalisieren. Mit den Swisssign-Zertifikaten wollen wir auch neue Sektoren erschliessen, etwa im IoT- oder im Hosting-Umfeld.
Die Signer-Technologie Ihres Partners Cryptomathic, welche die Grundlage der elektronischen Signatur von Swisssign ist, mutet durch ihre zentralisierte Architektur etwas altbacken an. Welche Entwicklungsmöglichkeiten sehen Sie für Swiss-ID auf technologischer Seite? Wie sieht es mit Blockchain aus?
Blockchain hat den Vorteil des dezentralen vs. unseres zentralen Ansatzes. Da sehe ich für die Zukunft vor allem aus der Sicherheitsperspektive Vorteile von Blockchain. Blockchain wird vielerorts aber erst im Test- oder Experimentalbetrieb eingesetzt. Ausserdem gibt es wenige Plattformen, die schon live sind und funktionieren, etwa Ethereum. So richtig benutzerfreundlich sind diese aber noch nicht und damit auch nicht massentauglich. Für uns sind Sicherheit und Vertrauen das Wichtigste. Und wir werden auf unserer Plattform einsetzen, was für unsere Nutzer Sicherheit garantiert und Vertrauen ermöglicht. Egal welche Technologie das ist.
Ab September 2017 bietet die Stadt Zug allen Einwohnerinnen und Einwohnern die Möglichkeit, eine digitale Identität auf Blockchain-Basis zu bekommen. Was halten Sie davon?
Das ist natürlich eine gute und auch plausible Positionierung der Stadt Zug, die als "Crypto-Valley" eine Vorreiterrolle spielen möchte. Positiv finde ich auch, dass solche Initiativen das Konkurrenzumfeld beleben. Ob und was sich am Ende durchsetzen wird und wie hoch die Adoptionsrate dieser Blockchain-basierten ID in Zug sein wird, muss sich erst noch zeigen. Der Prozess, um eine solche Blockchain-ID zu bekommen, scheint mir zumindest, soweit ich das bislang gehört und gelesen habe, noch etwas umständlich. Man muss dafür ja auch zur Stadtverwaltung. Zur Usability kann ich nichts sagen. Momentan ist die ID aber limitiert auf die Services der Stadt Zug. Wir werden uns die Lösung sicher anschauen und lassen uns das von TI&M zeigen, welche die Lösung für Zug gebaut hat. Die Use Cases finde ich aber spannend.
Wie geht es mit der Swiss-ID nun weiter? Wen wollen Sie in Zukunft noch im Swiss-ID-Ökosystem haben?
Ende 2018 werden wir wie gesagt über 4 Millionen Swiss-IDs auf unserer Plattform haben. Damit ist der Privatkundenmarkt vorläufig einmal abgedeckt. Ende des ersten Halbjahres 2018 werden wir die ganze Palette unserer Roadmap umgesetzt haben und es geht darum, unsere Services auch bei den grossen Retailern zu implementieren. Ich bin sehr zuversichtlich, dass wir damit Erfolg haben werden; wir spüren schon jetzt in Gesprächen mit möglichen B2B-Kunden eine grosse Nachfrage. Auch an weiteren Kunden im Government-Umfeld sind wir interessiert. Einer unserer Vorzeigekunden ist der Kanton Jura mit seinem Guichet virtuel, also dem virtuellen Behördenschalter. Der Jura verwendet ja schon seit 2012 die Suisse-ID für elektronische Behördengänge.