SuisseID-Projekt 2009 bis 2015 ausgewertet
Studienaufbau
Wieweit hat das Projekt SuisseID 2009 bis 2015 seine Ziele erreicht? Diese Frage hat das Institut für Wirtschaftsstudien Basel (IWSB) nun im Auftrag des SECO untersucht. Ziel war es, eine unabhängige Beurteilung zu erhalten. Vor allem sollten neue Erkenntnisse gewonnen werden, die für künftige Projekte nützlich sein könnten.
Die Evaluation des IWSB gliedert sich in eine „Vollzugsanalyse“, eine Wirkungsanalyse und ein Kapitel mit Schlussfolgerungen für die Zukunft. Die Vollzugsanalyse untersucht, wieweit die expliziten Ziele erreicht wurden. Dabei wird unterschieden zwischen den Wirkungsebenen Input, Prozess und Output. Die Wirkungsanalyse untersucht, wieweit die implizit angestrebten Auswirkungen erreicht werden konnten. Sie stellt grundsätzlichere Fragen zur Gesamtanlage des Projekts. Die Lösungsansätze schliesslich zeigen, was der Bund und was die Privatwirtschaft in Zukunft anders machen könnten.
Sicherheitsziele erreicht
Das Projekt SuisseID wurde als öffentlich-private Partnerschaft lanciert. Die Herausgabe der SuisseID wurde privaten Anbietern überlassen. Das SECO sollte für einen einheitlichen Standard sorgen. Der Auftrag des SECO war auf den Zeitraum vom September 2009 bis Dezember 2010 befristet. Trotz des engen Zeitraums wurden die technischen und organisatorischen Ziele weitgehend erreicht. Bereits im Mai 2010 konnte der Verkauf der SuisseIDs beginnen.
Die SuisseID konnte sowohl für die Authentisierung und Identifikation als auch für die elektronische Signatur verwendet werden. Der Sicherheitsstandard war hoch. Als „sicherheitstechnischer Leuchtturm“ sei projektintern die elektronische Bestellung des Strafregisterauszugs festgelegt worden. Dieser Bestellprozess gilt aus Datenschutzgründen als besonders sicherheitsrelevant. Tatsächlich wird dieser Bestellprozess für Personen mit SuisseID heute medienbruchfrei angeboten.
Verbreitung ungenügend und rückläufig
Weniger erfolgreich war der Versuch, eine grosse Zahl von SuisseIDs in Umlauf zu bringen. Als Ziel wurde definiert, dass bis Ende 2010 mindestens 300‘000 SuisseIDs verkauft werden sollten. In Tat und Wahrheit waren es jedoch zu diesem Zeitpunkt erst 190‘000. Der Anreiz für den Kauf einer SuisseID war offenbar nicht gross genug.
An Einsatzmöglichkeiten scheint es auf den ersten Blick nicht gemangelt zu haben. Zum Zeitpunkt des Verkaufsstarts erlaubten, wie angestrebt, bereits 15 Anwendungsanbieter den Einsatz der SuisseID (darunter auch i-web in Zusammenarbeit mit damals bereits 14 Städten und Gemeinden). Bis Ende 2010 waren es sogar über 100 Anwendungs-Anbieter. Trotzdem scheinen die SuisseID-Inhaber/-innen keinen ausreichenden Nutzen in der SuisseID gesehen zu haben. Die meisten entschieden sich nämlich nach Auslaufen ihrer SuisseIDs gegen eine Verlängerung. Einer der Gründe dafür dürfte gewesen sein, dass die vorhandenen Anwendungen nicht genügend Interaktionen ermöglichten und dass die meisten Anwendungen nicht zwingend eine SuisseID verlangten, sondern weiterhin auch mit herkömmlichem Login zugänglich waren.
Zweiseitiger Markt
Die Wirkungsanalyse des IWSB zeigt auf, dass die SuisseID sich in einem so genannten „zweiseitigen Markt“ behaupten musste. Auf der einen Seite stehen dabei die potenziellen Anwender/Inhaber(innen) der SuisseID, auf der anderen Seite die Anwendungsanbieter. In der Mitte befinden sich die SuisseID-Anbieter als Intermediäre, welche die beiden Seiten des Marktes zusammenzubringen versuchen.
Am Beispiel der Kreditkartenindustrie zeigen die Autoren die Problematik zweiseitiger Märkte auf. Dabei wird ersichtlich, dass der Erfolg in einem solchen Markt entscheidend davon abhängt, ob es gelingt, die beiden Seiten des Marktes an Bord zu holen. Dabei müssen die Kosten möglichst genau dem Nutzen entsprechen, den die Beteiligten erzielen können. Dieser Nutzen bestimmt nämlich die individuelle Zahlungsbereitschaft. Und genau dieser Nutzen war offenbar im Fall der SuisseID für die potenziellen Anwender(inne)n nicht genügend gross, um die Kosten aufzuwiegen, die ihnen verrechnet werden sollten.
Marktmechanismen vernachlässigt
Ebenfalls zu wenig berücksichtigt wurde laut den Autoren die Bedeutung der Anzahl Interaktionen. Es wurde keine „Killeranwendung“ identifiziert und gefördert, die einen „sich selbst verstärkenden“ Prozess auslösen könnte. Weiter wurde nicht bedacht, dass auf keiner Seite ein genügend grosses Interesse am hohen Sicherheitsniveau bestand, das die SuisseID bietet. Der Nutzen der Technik überwog die Kosten nicht. Insbesondere wurde auch nicht rechtzeitig geklärt, welche Sicherheitsbedürfnisse die Wirtschaft hatte, die als Anwendungsanbieterin gewonnen werden sollte.
Auf Seiten der Verwaltung hätte sich aus Sicht der Autoren vor allem die Bundesverwaltung klar zur SuisseID bekennen und deren Einsatz fördern müssen. Angesichts der föderalen Strukturen könne von den Kantonen und Gemeinden kein einheitliches Engagement erwartet werden. Gerade die Bundesverwaltung habe aber ihre internen Prozesse nicht in grösserem Stil angepasst und kaum grössere Einsatzgebiete geschaffen, in denen aufgrund der Sicherheitsanforderungen ausschliesslich die Anmeldung mit der SuisseID akzeptiert worden wäre.
Als besonderes Hindernis erwies sich, dass für den Bezug der SuisseID eine persönliche Identifikation mit Identitätskarte auf einer Poststelle oder Gemeinde erforderlich war. Gerade auch im Geschäftskundenbereich habe sich dies als ärgerlich erwiesen, weil hier die Identitäten der Mitarbeitenden eigentlich bereits bestätigt sind. Sehr ungünstig war weiter, dass die SuisseIDs nur befristet gültig waren und nach spätestens drei Jahren erneuert werden mussten. Sogar Personen, welche die SuisseID zuvor eingesetzt hatten, sprangen gemäss den Autoren zu diesem Zeitpunkt ab und gingen dem Projekt als aktive Nutzer verloren.
Lösungsansätze
Als möglichen Ansatzpunkt für eine künftige bessere Marktakzeptanz sehen die Autoren eine Differenzierung des Angebots. So könnte für eine schwächere Sicherheitsstufe der Anmeldeprozess vereinfacht werden. Auch auf die Kombination von elektronischer Identität und elektronischer Unterschrift könnte in vielen Fällen verzichtet werden. Schliesslich könnte stärker darauf geachtet werden, dass die Kosten dort verrechnet werden, wo der grösste Nutzen anfällt.
Weiter müsste die Marktstrategie in einem ersten Schritt den Fokus auf Anwendungen mit einer hohen Zahl an Interaktionen legen. Erfolgversprechend scheint den Autoren auch eine Koppelung an ein bestehendes System mit flächendeckender Verbreitung. Als Beispiel nennen sie den SwissPass der SBB.
Die Autoren gehen davon aus, dass die Branche bereits aus den bisherigen Erfahrungen mit dem SuisseID-Projekt gelernt habe. Die Erfahrungen hätten die Konkurrenzprodukte offensichtlich mitgeprägt. Die Mobile ID der Swisscom zum Beispiel ist für die Anwender kostenlos. Das Gleiche ist auch für die neue SuisseID geplant.
Weitere Informationen:
SECO: Evaluation des Projekts SuisseID 2009 - 2015, Medienmitteilung vom 16. Dezember 2016
IWSB im Auftrag des SECO: Evaluation Projekt SuisseID 2009-2015