Das digitale Signaturgesetz im Dornröschenschlaf

Gerade mal zwei Jahre ist es her, dass wieder Schwung in die totgesagte Schweizer PKI-Szene kam. Schon fast vergessen war der unschöne Untergang der von Schweizer Banken gestützten Swisskey. Der Grund für den neuen Aufschwung war die Einführung des Schweizer digitalen Signaturgesetz ZertES. Dieses setzt die digitale Unterschrift mittels Zertifikaten der physischen Unterschrift gleich. Damit jemand rechtsgültig in der digitalen Welt unterschreiben kann, benötigt er oder sie ein entsprechendes digitales Zertifikat. Dieses wird aber nicht vom Bund direkt an Herr und Frau Schweizer oder jedem mündigen in der Schweiz wohnhaften Ausländer verkauft, sondern ausschliesslich von dafür speziell zertifizierten Unternehmen, die eine eigene Certificate Authority (CA) betreiben. Der Bund outsourced diesen Service damit an die Privatwirtschaft.



Doch auch die Zertifizierung dieser Firmen erledigt der Bund nicht selber. Auch dies hat der Staat an die Privatwirtschaft ausgelagert. Dummerweise hat sich bei der dafür notwendigen Ausschreibung nur eine Firma beworben. Somit hat der Bund dafür gesorgt, dass heute in der Schweiz einzig die Firma KPMG die Autorisierung besitzt, um Herausgeber von ZertES-konformen Zertifikaten zu zertifizieren. Somit konnte sich KPMG ein schönes Monopol aufbauen. Bei diesem Geschäft handelt es sich keineswegs um ein einmaliges. Jedes Jahr müssen sich die bereits zertifizierten Herausgeber neu rezertifizieren. Also ein schönes wiederkehrendes Geschäft mit wenigen Risiken, denn kaum ein Herausgeber will wohl seine teuer bezahlte Zertifizierung wieder verlieren.

Trotzdem gibt es derzeit kein lukratives Geschäft mit den ZertES-konformen Zertifikaten, weil bis heute noch immer eine «Killeranwendung» mit Massenpotential fehlt, welche ZertES-konforme Zertifikate voraussetzt. Ich schätze, dass in der Schweiz noch keine tausend ZertES-Zertifikate verkauft wurden.
Für die Herausgeber verkommt die ZertES-Zertifizierung zu einem reinen Marketingqualitätstempel, denn die technischen und organisatorischen Anforderungen sind sehr hoch, um die Zertifizierung zu erreichen. Und diese kommen die Herausgeber teuer zu stehen, zumal auch das Geschäft mit den nicht ZertES-konformen Zertifikaten schwierig ist. Dies nicht zuletzt, weil in diesem Markt auch die internationale Konkurrenz kräftig mitmischt.



Ich sehe einzig Potential im sogenannten Managed-PKI-Geschäft, bei dem Unternehmen ihre eigenen internen PKI-Umgebungen outsourcen. Dies ermöglicht ihnen dann, vom globalen Vertrauen der Certificate Authorities der Betreiber zu profitieren, da deren Root-Zertifikate in allen wichtigen Applikationen enthalten sind. Das ermöglicht eine einfachere digitale Kommunikation mittels Zertifikaten zwischen Geschäftspartnern und Endkunden.



Interessant ist auch ein Blick auf die Herausgeber von ZertES-Zertifikaten. Bei drei von vier der zertifizierten Unternehmen steht in irgendeiner Form der Bund dahinter. Dies ist die Schweizer Post mit ihrer Tochterfirma SwissSign, die Swisscom und seit neuestem auch das Bundesamt für Informatik (BIT). Hier hätte eine Firma eigentlich bei weitem gereicht. Doch damit nicht genug. Die Post verkauft trotz Zertifizierung am Schalter keine ZertES-konformen Zertifikate, sondern eine abgeschwächte Form davon, die Swisscom bedient ausschliesslich grössere Geschäftskunden und das BIT beliefert nur den Bund und andere Staatsorganisationen. Einzig QuoVadis verkauft auch an Private und Firmen im KMU-Segment.



KPMG wird es freuen: Weil der Staat seine Hausaufgaben in doppelter Hinsicht nicht selber machen will, profitiert sie als einzige von einem Geschäft, das keines ist, denn alleine mit Zertifikaten ist kaum Geld zu verdienen. Wenn der Staat wirklich vorwärts machen möchte mit der digitalen Kommunikation, sollte er meiner Meinung nach die Herausgabe von Zertifikaten selber übernehmen und sie nicht nur auf die digitale Unterschrift begrenzen. Schliesslich dürfen die Kosten für die Herausgabe von Zertifikaten nicht isoliert betrachtet, sondern müssen am Gesamtnutzen, der sich daraus ergibt, gemessen werden. Zertifikate haben durchaus das Potential von einer digitalen ID, die für viele Aufgaben zwischen Staat und Bürger benützt werden können.