Diese Story ist aus der Kategorie Innovation und dem Dossier Identity Management

Wer haftet bei der Swiss edu-ID?

Was, wenn der akademische Passepartout missbraucht wird? Oder ein Attribut inkorrekt ist?

Text: Esther Zysset, publiziert am 03.11.2015

Im Zusammenhang mit dem akademischen Passepartout Swiss edu-ID stellt sich unter anderem die Haftungsfrage: Wer muss für einen allfälligen Schaden geradestehen, der beim Einsatz der Identität entsteht? Zum Beispiel durch falsche Attributwerte oder durch einen Missbrauch der Swiss edu-ID? Im letzteren Fall ist es so, dass grundsätzlich der Benutzer haftet: Man geht davon aus, dass er seine Zugangsdaten ungenügend gesichert hat und somit riskiert, dass sich ein Dritter Zugang zu seiner Swiss edu-ID verschafft; Es sei denn, der Missbrauch der Identität sei die Folge einer Sicherheitslücke beim Service Operator (SWITCH). Dann haftet grundsätzlich dieser.

 

Interessanter ist aus rechtlicher Optik hingegen der Fall eines nicht korrekten Attributwerts: Angenommen eine Information, die zum Nachweis einer Berechtigung verwendet wird, stellt sich nachträglich als falsch heraus. So stellt sich die Frage, ob dafür der Service Operator, der Benutzer oder die Attributquelle (Attribute Authority) einzustehen hat.

Level of Assurance

Die Antwort auf diese Frage hängt davon ab, welche Qualitätsangabe einen Attributwert begleitet. Oder anders gesagt, welche Aussagen betreffend Überprüfung und Richtigkeit damit gemacht werden, also welches Level of Assurance (LoA) ein Attributwert aufweist. Levels of Assurance könnte man vereinfacht gesagt vergleichen mit dem Sternesystem für Hotels oder die Kategorien A-G, die den Energieverbrauch von Elektrogeräten kennzeichnen. Jede Kategorie entspricht einer Einordnung nach vordefinierten Qualitätskriterien. Zurzeit gibt es allerdings weder in nationalen noch in internationalen Identity Federations der höheren Bildung einen allgemein verbindlichen Level of Assurance. Denn die Voraussetzung dafür wäre, dass es allgemein anerkannte Vorgaben zur Qualität der enthaltenen Informationen gäbe.

Fehlt ein Standard, so muss erforscht werden, welche Aussagen mit dem Attributwert gemacht werden: Darf ein Dritter davon ausgehen, dass die Information korrekt ist oder hat er sie selbst zu überprüfen?

Obligationenrecht

Solange kein verbindlicher LoA existiert, wird der rechtliche Standard in der Schweiz durch die gewöhnlichen Haftungsbestimmungen des OR vorgegeben. Die verschärfte Haftung für Schäden im Zusammenhang mit der qualifizierten elektronischen Signatur (Art. 59a OR) kommt hier nicht zur Anwendung. In der Folge wird SWITCH als Service Operator wohl gegenüber Drittparteien einstehen müssen für Attributwerte, die aus überprüften Quellen stammen (zurzeit AAI – obwohl auch dafür kein verbindliches LoA existiert) sowie für Attributwerte, die durch SWITCH selbst generiert wurden. In den Verträgen mit den Hochschulen wird SWITCH sicherstellen müssen, dass die Ersteren als Attribute Authorities wiederum für die Richtigkeit der Attributwerte einstehen, die sie geliefert haben.

Bei Attributwerten hingegen, die vom Benutzer selber eingebracht werden (self-supplied (oder self-asserted)), wird der Benutzer derjenige sein, welcher im Rahmen der Verwendung der Swiss edu-ID gegenüber Dritten haftet.

Weitere Artikel zu Rechtsfragen rund um die Swiss edu-ID:
Über den Autor
Esther   Zysset

Esther Zysset

Seit 2012 leitet Esther Zysset den Rechtsdienst bei SWITCH. Zuvor war sie als Anwältin in einer Wirtschaftskanzlei tätig.

E-Mail

Swiss edu-ID

SWITCH ist dabei, zusammen mit Schweizer Hochschulen eine lebenslange, digitale Identität aufzubauen. Mit ihr können alle Inhaber auf universitäre Dienste zugreifen. Statt vieler Identitäten für unterschiedliche Zugriffe benötigen sie nur eine einzige. Die Swiss edu-ID ist eine Weiterentwicklung der SWITCHaai. Diese wurde bereits vor 10 Jahren in Betrieb genommen und wird von mehr als 400'000 Personen genutzt. Die Swiss edu-ID geht nun ein paar entscheidende Schritte weiter: SWITCHaai wurde für den Gebrauch von Webressourcen konzipiert und setzt die Zugehörigkeit zu einer Institution voraus. Die Swiss edu-ID hingegen ist für umfassende Anwendungen und als langlebige Identität angelegt.

http://projects.switch.ch/eduid/
Weitere Beiträge