Gesicherter Zugriff mit SuisseID auf die Buchhaltung?

Die SuisseID ist ein standardisierter elektronischer Identitätsnachweis, mit deren Hilfe eine rechtsgültige elektronische Unterschrift möglich ist. Sie soll helfen, Geschäfte online einfacher abzuschliessen zu können. Eine weitere Funktion der SuisseID ist die Authentifizierung, also das Einloggen in Applikationen, Webshops oder Online-Banken. Die elektronische Unterschrift gibt es sowohl für Privatpersonen als auch für Firmen.

Trotz millionenschwerer Unterstützung des Bundes (Subvention in der Höhe von CHF 17 Mio. für vergünstigte SuisseID) hat sich die SuisseID leider bis heute nicht richtig durchsetzen können – die kritische Masse an Usern wurde nicht erreicht.

Eine kürzlich von Twitter User @suisseid durchgeführte Umfrage (leider nicht mehr online) hat ergeben, dass sehr viele Nutzer die SuisseID nicht mehr erneuern wollen. Dies ist aus unserer Sicht mindestens verständlich:

  • Die Einrichtung der SuisseID auf dem PC oder Mac ist nicht gerade ein Ding für Computer-Dummies. Wir haben selbst von Computer-Experten gehört, dass diese 3 bis 4 Stunden brauchten, bis das erste Dokument unterschrieben werden konnte und alle notwendigen Treiber und Programme auf dem Mac installiert waren.
  • Der Beschaffungsprozess für eine SuisseID ist sehr langfädig und kompliziert. Neben dem man diverse lange Formulare ausfüllen muss, bleibt es einem auch nicht erspart, persönlich an einem Postschalter anzustehen.
  • Bei Software-Updates kommt es mit der SuisseID immer wieder zu Problemen. So liest man beispielsweise auf Twitter, dass es beim Update auf Mountain Lion beim Mac zu Problemen mit der SuisseID kam.
  • Die Authentifizierung klappt auch bei offiziell unterstützen Shops oft nicht, weil das Feature mangels Usern viel zu wenig genutzt wird und dadurch bei Updates der Software Versionen oft vergessen geht.
  • Bei dreimaliger Falscheingabe des Passwortes wird die SuisseID gesperrt. Man kann sie nicht einfach entsperren lassen, sondern muss eine neue SuisseID beantragen. Die ganze Administration rund um die Anmeldung beginnt also von vorne – das kann gut und gerne schon mal 1-2 Wochen dauern. Hinzu kommt, dass man sich bei jedem Service, bei dem man sich mit der SuisseID authentifiziert, nochmals registrieren muss.
  • Das Handling bei der Authentifizierung und beim Unterschreiben ist ziemlich kompliziert.
  • Mobile Geräte werden nur sehr mangelhaft unterstützt. Seit neustem gibt es zwar die Möglichkeit, die SuisseID in einer anderen Version auf dem iPad anzuwenden. Einen USB Stick an ein iPhone anzuschliessen ist leider nicht möglich.

Die Anforderungen an die Sicherheit, an das Know-how und die Geduld des Users sind also derart hoch, dass es uns illusorisch erscheint, dass die SuisseID eine akzeptable Verbreitung findet. Ursprung der Problematik sind unseres Erachtens die viel zu hohen Anforderungen an die qualifizierte digitale Signatur: der Gesetzgeber hat mit seinem Swiss-Finish die gesamte Idee einer verbreiteten und sicheren Abwicklung des elektronischen Geschäftsverkehrs zu nichte gemacht.

Sogar die Schweizerische Post, welche die SuisseID ausgibt, scheint den Glauben an die SuisseID verloren zu haben: Nach wie vor wird die Authentifizierung im E-Banking über Suisse ID von der PostFinance nicht unterstützt. Auch andere Banken unterstützen die SuisseID nicht bei ihren E-Banking Plattformen.

Als Online-Buchhalter finden wir die Idee der digitalen Unterschrift und eines einheitlichen und sicheren Authentifizierungsverfahren super. Insbesondere auch, weil wir eine papierlose Buchhaltung anbieten und den digitalen Geschäftsverkehr fördern wollen. Leider erfüllt jedoch die SuisseID – mindestens bis heute – ganz grundlegende Voraussetzungen nicht.

Wer sich mit einer SuisseID in einer Web-Buchhaltung identifizieren muss, ist nicht zu beneiden:

  • Neben einer wirklich sehr komplizierten Inbetriebnahme der SuisseID hat ein User im Alltag immer wieder Probleme zu bewältigen.
  • Für uns ist es undenkbar, unseren Kunden nach dreimaliger falscher Passworteingabe (im Bekanntenkreis erst grad passiert) oder Verlust des USB Sticks die Arbeit an der Buchhaltung im schlimmsten Falle für mehrere Wochen Tage zu verunmöglichen, bis das gesamte Prozedere der Neubeantragung einer SuisseID durchlaufen wurde.
  • Run my Accounts User wollen unabhängig vom Gerät auf ihre Daten zugreifen. Wir sehen am Userverhalten, dass viele sich ihre Buchhaltung auch mal vom Android Handy oder vom iPhone anschauen. (Nachtrag vom 17. August 2012: gemäss Auskunft von SwissSign ist es möglich, die mobile Version der SuisseID über ein Android Handy zu nutzen – von den Buchhaltungslösungen, die momentan mit der SuisseID gesichert werden, wird dies nicht unterstützt).
  • Ein Update des Betriebssystems, zum Beispiel auf Mac OSX 10.8 sollte jederzeit möglich sein, ohne dass man sich zuerst um Kompatibilitätsfragen mit der SuisseID kümmern muss. Wer weiss, ob allenfalls auch Windows 8 nicht von der SuisseID unterstützt wird…

So lange ein paar grundsätzliche Anforderungen an die SuisseID nicht gelöst sind, verzichten wir gerne darauf. Nur das Thema Sicherheit ohne Einbezug der Usability einseitig zu gewichten, kommt für uns nicht in Frage. Viel lieber ermöglichen wir unseren Nutzern andere sichere Authentifizierungs-Möglichkeiten, die sich auch sonst bewährt haben und die den Nutzer nicht vor Herausforderungen stellen.

3 replies
  1. Stefan Unholz
    Stefan Unholz says:

    Ich bin zufällig (dank der Google-Suche „SuisseID kompliziert“) auf den obigen Beitrag von Thomas Brändle gestossen und kann nur sagen: Gratuliere, genau so ist es!

    Der Schweizerische Anwaltsverband versucht ebenfalls mit grossem Aufwand, das Produkt seinen Mitgliedern schmackhaft zu machen, und offeriert deshalb einen Mitgliederausweis mit quasi-integrierter SuisseID. Im Jahr 2010 gelang es mir nach stundenlangem Pröbeln und telefonischer Hilfe durch einen Experten des Anbieters, das Ding auf einem meiner Macs zum Laufen zu bringen und wenigstens E-Mails zu authentifizieren. Bald einmal traten aber neue Probleme auf (Software-Updates, neue Mailadresse usw.), und der Gebrauch der SuisseID verleidete mir.

    Nun traf gestern ein aktueller SAV-Mitgliederausweis ein, dessen Begleitzettel suggerierte, die SuisseID lasse sich leicht „aktivieren“. Im Vertrauen darauf wollte ich es nochmals versuchen, stiess dann aber innert kürzester Zeit auf derart viele Ungereimtheiten und technische Hindernisse, dass es mir gewissermassen den Nuggi herausjagte. Unter anderem hätte ich wieder (wie schon im Jahr 2010) den ganzen umständlichen Beschaffungs-/Durchleuchtungsprozess durchlaufen müssen, der oben so anschaulich geschildert wird. Sorry, aber mit mir nicht! Mit jeder Bank und mit Postfinance kann ich heute problemlos und (ziemlich…) sicher verkehren und meine Geschäfte abwickeln, ohne dass ich zuvor ein Informatikstudium abschliessen und mich persönlich an einem Postschalter vorstellen muss. Dass man es in den drei Jahren seit 2010 immer noch nicht geschafft hat, die Vorgänge zu vereinfachen, halte ich für ein unsägliches Trauerspiel.

    Ich leide nicht an einem „RTFM“-Syndrom, muss aber Reto Zwyssig entgegnen, dass all die Anleitungen in einer Sprache geschrieben sind und mit Begriffen um sich werfen, die einen Normalo-Anwender schlicht überfordern und erschlagen. Die Macher der SuisseID müssten sich halt einmal in die Haut eines Durchschnittsbürgers versetzen, der ratlos und verzweifelt vor seinem Bildschirm sitzt, weil er mit kryptischen Anweisungen und Fehlermeldungen beworfen wird, die er von keinem Alltagsprogramm her kennt.

    Für mich (und ich bin unter meinen Berufskollegen garantiert kein Einzelfall) ist damit das Kapitel SuisseID definitiv abgeschlossen – mit einem userseitig derart komplizierten Beschaffungs-, Installations- und Betriebsprozedere wird sich der elektronische Rechtsverkehr in der Schweiz nie durchsetzen.

    Antworten
  2. Reto Zwyssig
    Reto Zwyssig says:

    Lieber Thomas

    Zu deinem Artikel über deine Erfahrungen mit der SuisseID möchte ich dir gratulieren. Als Mitarbeiter von einem SuisseID Anbieter, der Schweizerischen Post, fühle ich mich durch solch konstruktive Kritik angespornt, die SuisseID und deren Gebrauch weiter zu verbessern.

    Umso mehr, als dass ich mit deinen Kritikpunkten grundsätzlich übereinstimme. Schön ist, dass wir diese Punkte schon länger auch auf unserer Liste haben und, soweit bisher möglich, hart daran gearbeitet haben. Ich denke, dass sich diese Arbeit gelohnt hat und sich auch sehen lassen kann.
    Darum möchte ich dir diese Ergebnisse in einer kurzen Antwort auf deine Punkte nicht vorenthalten:

    Installation: Experten, die am ‚RTFM‘-Syndrom leiden, haben es auch mit der SuisseID etwas schwerer 🙂 Unsere Erfahrung mit tausenden von Benutzern bestätigt die Regel: ‚anleitungslesende‘ Anwender installieren die Software innert Minuten auch auf Mac. In der Menge gibt es natürlich auch Ausnahmen, die wir ernst nehmen und unterstützen. Für Anwender, die eine Installation scheuen, gibt es zudem eine einfache plug&play Alternative: die SuisseID auf dem SwissStick.

    Beschaffungsprozess: Es ist richtig, dass der Prozess für Einzelne umständlich ist, obwohl wir diesen kontinuierlich vereinfachen. Es geht aber immerhin um eine Identität, die dem Pass oder der ID ähnlich ist. Und der Gesetzgeber schreibt für die SuisseID (wie zum Beispiel bei der Bankkontoeröffnung) ein persönliches Erscheinen vor. Für Unternehmen, die mehrere SuisseIDs beziehen, bieten wir einfachere Lösungen an. Auch ist es denkbar, in Zukunft die SuisseID beispielsweise zusammen mit Pass oder ID ohne Zusatzschritte zu bestellen.

    Software-Update: Die SuisseID unterstützt Updates der Windows und Mac Betriebssysteme. Bei zehntausenden aktiver SuisseID Benutzer lassen sich Einzelfälle, bei denen der Update nicht reibungslos läuft, leider nicht vermeiden. Wir nehmen aber auch diese Einzelfälle auf und die Erfahrung fliesst zurück in unsere Entwicklung. Wie du mir ja telefonisch bestätigt hast, gehörst Du zu den vielen Benutzern, bei denen der Update auf Mac prima funktioniert hat.

    Authentifizierung: Auch da hast du Recht. Es gibt leider Webseiten, die den SuisseID Login mangelhaft umgesetzt haben. Ich bitte dich oder andere User, sich direkt mit der SuisseID Trägerschaft (www.suisseid.ch) in Verbindung zu setzen und die Webseiten zu melden.

    Eingabe PIN: Schon seit mehr als einem Jahr werden sämtliche SuisseIDs mit PUK ausgeliefert. So kann auch eine mehrmalige Falscheingabe des PINs beim Login zurückgesetzt werden. Seit letzter Woche gibt es eine Ersatz Post SuisseID https://www.inside-it.ch/articles/29867) für einen schnellen, günstigen und einfachen Ersatz ohne persönliches Erscheinen.

    Handling: Du bist zu Recht nicht ganz zufrieden mit der Benutzerfreundlichkeit. Wir sind es auch nicht und werden es wahrscheinlich auch nie sein. Aber wir haben schon viel erreicht und werden weiter daran arbeiten – Benutzerfreundlichkeit ist unser oberstes Gebot. Beispiele für Erfolge sind der ‚plug&play‘ SwissStick, der Post SuisseID Mobile Service und der neue SwissSigner, der nächstens verfügbar sein wird. Es ist halt auch so, dass neue Prozesse komplizierter wirken als gewohnte. Was ist einfacher: Ein Dokument mit dem SwissSigner per Knopfdruck digital signieren und direkt aus der Anwendung verschicken oder das Dokument ausdrucken, von Hand unterschreiben, falten, in einen Umschlag stecken und verschliessen, diesen adressieren, mit einer Briefmarke versehen und in einen Briefkasten werfen?

    Mobile Geräte: Mit dem neuen Post SuisseID Mobile Service https://postsuisseid.ch/de/mobileservice) ist ein SuisseID Login mit sämtlichen Geräten mit Browser möglich, ohne dass die SuisseID physisch im Gerät sein muss (also nicht nur iPad, auch iPhone, Android, Windows, Mac, Laptop, PC…). Für uns ist klar, dass kein Weg an mobilen Geräten vorbei führt. Unsere Vision ist auch eine SuisseID ohne zusätzliche Hardware. Wie das Beispiel unserer Zusammenarbeit mit Elca https://www.inside-it.ch/articles/29817) zeigt, kommen wir dieser Vision immer näher, obwohl wir heute aus verschiedenen Aspekten noch nicht auf eine SuisseID auf Chip verzichten können.

    Ich hoffe, dass du uns weiter auf dem Weg zur einfach zu beschaffenden, installationsfreien und mobil einsetzbaren SuisseID begleiten wirst und uns weiterhin mit konstruktiver Kritik unterstützt.

    Herzliche Grüsse,
    Reto

    Antworten

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.