Potenziale und Herausforderungen bei der erfolgreichen Nutzung der Schweizer E-ID (2/2)
Dies ist der zweite Teil unserer Blogbeitragsreihe zum Proof of Value des OpenBankingProject.ch zum Thema «Nutzung Schweizer E-ID». Der erste Blogbeitrag zu den Grundlagen rund um die Schweizer E-ID, Self-Sovereign Identity und der Vertrauensinfrastruktur des Bundes sowie relevante Use Cases im Kontext von Verifiable Credentials ist unter diesem Link zu finden.
Von Oktober 2024 bis Februar 2025 haben sich 16 Unternehmen mit den Potenzialen und Implikationen der Schweizer E-ID und der entsprechenden Vertrauensinfrastruktur für die Schweizer Finanzbranche auseinandergesetzt. Die zentralen Zielsetzungen dieser Workshopreihe beinhalteten:
- Die Grundlagen zu Self-Sovereign Identity, der Schweizer E-ID (aktueller Stand, Roadmap) und einer Teilnahme an der Vertrauensinfrastruktur des Bundes (Governance, Rollen etc.) sind bekannt und Chancen und Risiken für die Projektteilnehmenden sind abgeleitet.
- Relevante Use Cases für die Nutzung der Schweizer E-ID (z.B. Eröffnung Bankkonto) sind identifiziert und hinsichtlich Kundenmehrwert, Effizienzsteigerung etc. priorisiert.
- Die fachlichen und technologischen Implikationen der Nutzung der Schweizer E-ID für die Business Architektur der Projektteilnehmenden sind abgeleitet und unter Beizug von relevanten Financial Service Providern gechallenged.
- Die verschiedene Handlungsoptionen bezüglich der Teilnahme an der Vertrauensinfrastruktur des Bundes sind bewertet.
In den nachfolgenden Abschnitten werden die Ziele Nr. 3 und 4 der Workshopreihe konkreter beleuchtet.
Fachliche und technologische Implikationen für die Business Architektur
Die Nutzung und Einbindung von digitalen Nachweisen (sog. Verifiable Credentials), wie zum Beispiel der Schweizer E-ID, sowie die entsprechende Anbindung an die Vertrauensinfrastruktur des Bundes bringt weitreichende Folgen für die gesamte Organisation und entsprechend die Business Architektur einer Bank mit sich. In diesem Blogbeitrag behandeln wir die fachlichen Implikationen. Die technischen Implikationen wurden ebenso im Rahmen eines Workshops identifiziert, kommen Sie bei Interesse zu diesem Thema gern auf uns zu. Für die Strukturierung der fachlichen Implikationen wurde in der Workshopreihe das Meta-Modell einer Businessarchitektur des Competence Centers Future Financial Services des Business Engineering Institute St.Gallen verwendet (vgl. nachfolgende Abbildung). Das Meta-Modell beinhaltet alle relevanten Aspekte einer Business Architektur einer Bank und unterteilt sich in neun verschiedene Subaspekte. Die einzelnen Subaspekte und die Implikationen aus der Nutzung von Verifiable Credentials werden nachfolgend im Detail erläutert.
Auf Ebene der Kunden ist die prägendste Änderung, dass die Bankkunden neu über ein Wallet auf ihrem Smartphone verfügen und darin zukünftig eine Vielfalt an digitalen Nachweisen mit sich führen können. Diese digitalen Nachweise sollen bei den Kunden die Erwartungshaltung erwecken, diese im Kontakt mit der Bank nutzen zu können, um effizienter, schneller oder sicherer bestehende Prozesse (z.B. Onboarding) durchzuführen.
Auf der Ebene der Bankservices resp. des Geschäftsmodells können Banken diese Verifiable Credentials in ihre Services einbinden und auch eigene digitale Nachweise in die Wallets ihrer Kunden ausstellen. In diesem Kontext können Banken ihr Serviceangebot erweitern und mit der Monetarisierung von Daten ihr Geschäftsmodell diversifizieren.
Im Rahmen der Regulation sind seitens des Bundes die regulatorischen Voraussetzungen zu schaffen, dass Verifiable Credentials von Banken genutzt werden können und die Bank basierend darauf entsprechende Kontroll- und Prüfmechanismen etablieren kann. Im Falle des Onboardings muss beispielsweise das FINMA Rundschreiben 2016/7 um eine neue «E-ID Variante» ergänzt werden. Darin wird unter anderem festgehalten, ob es bei der Nutzung der E-ID weitere Prüfungen (z.B. Liveness-Check, Wohnsitzkontrolle, Referenzüberweisung) benötigt oder nicht.
In der Organisation (Stellen, Funktionen) muss in Anbetracht der Schweizer E-ID und weiteren digitalen Nachweisen eine entsprechende interne Verantwortung festgelegt werden. Die Teilnehmenden der Workshopreihe waren sich einig, dass sowohl Business als auch IT gleichermassen in dieses Feld involviert werden sollten und das Thema eine strategische Relevanz mit sich bringt, welches auf Managementebene anzusiedeln ist.
Blickt man auf die Prozesse einer Bank, sind diese entsprechend anzupassen oder zu ergänzen, sodass digitale Nachweise im Kundenkontakt einfach integriert werden können. Im Hinblick der Regulation ist dabei sicherzustellen, dass die Auditierbarkeit der Prozesse gewährleistet ist. Zum Beispiel sollten Banken am Schalter, wenn sie die E-ID eines Kunden für eine Schaltertransaktion verifizieren, darauf achten, dass die Abfrage mit einem Zeitstempel abgespeichert wird. Nur so kann im Nachgang sichergestellt werden, dass zum Zeitpunkt der Überprüfung, die zu diesem Zeitpunkt gültige E-ID, vom jeweiligen Kunden vorgelegt wurde.
Bei den Fähigkeiten sind insbesondere die Mitarbeitenden zu involvieren, welche zukünftig in der Organisation mit dem Verifizieren und Ausstellen von digitalen Nachweisen konfrontiert sein werden. Beispielsweise sind das Schalterpersonal oder die Mitarbeitenden im Call Center, über das Thema zu informieren und vorzubereiten.
Beim Aspekt Lieferanten & Verträge ergeben sich neue Fragestellungen im Kontext der Anbindung an die Vertrauensinfrastruktur. Zum einen muss die Bank den Eintrag ins Basis- und Vertrauensregister sicherstellen, um sich so als Verifier und auch als Issuer auf der Vertrauensinfrastruktur einzutragen. Zum anderen verändert sich auch die Zusammenarbeit mit gewissen bestehenden Providern. Zum Beispiel könnte die Nutzung resp. Einbindung der E-ID einen Einfluss auf die Zusammenarbeit mit dem heutigen Onboarding Provider oder Trust Service Provider haben. Wichtig dabei scheint, dass im Wallet stets die Bank visibel gegenüber dem Kunden ist und im Onboardingprozess nicht der «Provider XY» dem Kunden im Rahmen der Identifikation als Verifier erscheint.
Im Rahmen der Applikationen & IT sind bestehende Customer Interfaces anzupassen. Beispielsweise im digitalen Bestellprozess für eine Kreditkarte mit Teilzahlungsoption, sollen Kunden neuerdings mit ihrer E-ID die erforderliche Qualifizierte Elektronische Signatur (QES) beziehen können und nicht ein physisches Formular zugesendet bekommen. Sollte eine Bank auch eigene Credentials ausstellen, so sind entsprechend die Funktionalitäten im Online Banking zu ermöglichen, um die Konnektivität zum Wallet herstellen zu können. Der Bund publiziert im Rahmen der Vertrauensinfrastruktur APIs, welche für das Verifying und auch Issuing genutzt werden, diese sind zusammen mit einem Provider oder selbständig zu integrieren. Letztlich ist mit Blick auf die Filiale auch Hardware bereitzustellen (z.B. mobile Endgeräte oder Bildschirme für die Präsentation von QR-Codes), welche das physische Verifying zulassen.
Abschliessend sind bei den Business Objekten & Daten die Datenstrukturen, um die E-ID und weitere Credentials anzupassen. Sollte sich eine Bank als Issuerin engagieren wollen, so ist zudem auch eine brancheninterne Abstimmung erforderlich. Nur so kann die semantische Interoperabilität sichergestellt werden, dass alle Banken einheitlich die gleichen Credentials ausstellen und diese über die Branchengrenzen hinaus effizient nutzbar werden.
Handlungsoptionen für Schweizer Banken
In diesem Abschnitt werden die Erkenntnisse im Rahmen des letzten Ziels der Workshopreihe vorgestellt. Im Rahmen der Anbindung an die Vertrauensinfrastruktur des Bundes und Nutzung sowie Ausstellung von Verifiable Credentials ergeben sich für Banken eine Vielfalt an möglichen Handlungsoptionen. Ein grundsätzliches Self-sovereign identity (SSI)-Ecosystem kann in 11 verschiedene, generische Rollen unterteilt werden. In der Workshopreihe wurden basierend darauf fünf Handlungsoptionen unterschieden.
Ein SSI-Ecosystem besteht stark vereinfacht aus den grundlegenden Rollen Issuer (1), Holder (2) und Verifier (3). Der Holder verfügt über ein Wallet eines Wallet Provider (4), um digitale Nachweise zu empfangen, aufzubewahren und im Netzwerk zu teilen. Verschiedene Provider (5) unterstützen Issuer und Verifier im Umgang mit digitalen Nachweisen und bei der Anbindung an die Vertrauensinfrastruktur (engl. «decentralized trust network»). QES-Provider (6) stellen in SSI-Ecosystemen digitale Signaturen bereit und Scheme Provider (7) überwachen die bereits thematisierte semantische Interoperabilität beim Ausstellen von digitalen Nachweisen. Die Autorität (8) überwacht Governance, Registrierung und weitere Grundmechanismen (z.B. Monetarisierung) des Ecosystems. Der Datentreuhänder (9) übernimmt datentreuhänderische Funktionen für Holder, insb. im Kontext von organizational Wallets. Der Backup Provider (10) speichert Kopien von digitalen Nachweisen, sodass Holder diese bei einem Smartphone-Verlust wiederherstellen können. Letztlich betreibt der Framework Provider (11) die Vertrauensinfrastruktur und stellt sicher, dass digitale Nachweise durch Register (z.B. Basis- und Vertrauensregister im Falle der Vertrauensinfrastruktur der Schweiz) auf ihre Authentizität überprüfbar sind. Im Rahmen dieser generischen Rollenprofile wurden fünf verschiedene Handlungsoptionen Schweizer Banken mit den Projektteilnehmenden vertieft.
Handlungsoption 1: Keine Teilnahme an der Vertrauensinfrastruktur
Bei dieser Option agiert die Bank als «Late Majority» und wird einige Jahre zuwarten, bevor sie die Schweizer E-ID oder andere digitale Nachweise nutzen wird. Aus dieser Handlungsoption ergibt sich ein gewisser Investitionsschutz, da man von den Erfahrungen und Lernerkenntnissen der «First Mover» und «Early Follower» profitieren kann. Auf der anderen Seite könnte man eine gewisse Frustration bei digital affinen Kunden hervorrufen und potenziell Abwanderungen zur Konkurrenz riskieren.
Handlungsoption 2: Punktuelle Nutzung der Schweizer E-ID (Verifier)
Banken, welche die Handlungsoption 2 wählen, bevorzugen eine opportunistische Nutzung und Einbindung der Schweizer E-ID. Sie nutzen die E-ID beispielsweise im Onboarding oder ermöglichen die Nutzung in der Filiale. Die opportunistische Einbindung von digitalen Nachweisen fokussiert auf die Realisierung von «Quick-Wins». Auf der anderen Seite trägt man punktuell die Kosten eines «First Movers» und ebnet so den Weg für Banken, welche später auf den Zug aufspringen.
Handlungsoption 3: Vollumfängliche Nutzung der Schweizer E-ID und weiteren VCs (Verifier)
In dieser Handlungsoption nutzen Banken die E-ID in einer Vielzahl an Use Cases. Die Handlungsoption 3 ist vollständig ausgereift, sobald für jegliche Prozesse, bei welchen eine Identifikation oder das Vorweisen eines Ausweisdokuments notwendig ist, die Schweizer E-ID genutzt werden kann. Diese Banken profitieren als «First Mover» von einer gewissen Strahlkraft und werden als Pioniere im Markt wahrgenommen. Allerdings ist mit höheren Kosten zu rechnen im Vergleich zur Handlungsoption 1. Sollte die Adoption der E-ID nur langsam voranschreiten, kann es durchaus mehrere Jahre dauern, bis sich die Investitionen durch Gewinnung von Neukunden oder Steigerung der Kundenzufriedenheit auszahlen.
Handlungsoption 4: Verifying und bankinterne Ausstellung von VCs (Verifier + Issuer)
Die Handlungsoption 4 baut auf der zuvor beschriebenen Handlungsoption 3 auf. Bei dieser Option werden allerdings noch bankinterne Credentials (z.B. für Authentisierung im Kontext Call Center, Schalter, Online Banking oder Bankomat) für die Kunden ausgestellt. Die Kunden können diese im Kontakt mit der Bank nutzen, ausserhalb der Kundenbeziehung bringen diese digitalen Nachweise allerdings keinen Mehrwert. Sowohl die Chancen (Pionier, Neukunden, Kundenzufriedenheit) als auch die Gefahren (Kosten) sind laut der Projektteilnehmenden etwas höher als bei Handlungsoption 3.
Handlungsoption 5: Weitreichendes Verifying und Issuing
Bei der Handlungsoption 5 positioniert sich eine Bank als Marktführer im Kontext von digitalen Nachweisen. Sowohl die Schweizer E-ID als auch weitere digitale Nachweise werden proaktiv in die Prozesse integriert und über branchenübergreifende Kollaboration vorangetrieben. Gleichzeitig setzen sich diese Banken auch aktiv damit auseinander, welche Information sie ihren Kunden in anderen Ecosystemen zur Verfügung stellen könnten (z.B. Credit Score, Finanzierungsbestätigung, KYC-Daten). Banken in dieser Gruppe gehen signifikant höhere Risiken ein (Kosten, Reputation, Komplexität), haben so aber auch die grössten Chancen, diese neue Welt von digitalen Nachweisen aktiv mitzugestalten und sich von Anbeginn zu positionieren.
Zusammenfassend kann gesagt werden, dass das Verifizieren und Ausstellen von digitalen Nachweisen umfangreiche fachliche als auch technische Implikationen mit sich bringt. Die Schweizer E-ID und die vom Bund zur Verfügung gestellte Vertrauensinfrastruktur bilden die Basis für eine Vielzahl von digitalen Nachweisen, die der Kunde bequem in einem Wallet auf seinem Handy aufbewahren und selbstständig teilen kann. Der Kunde ist in dieser neuen Welt im Zentrum, hat die Hoheit über seine Daten und kann diese selbstbestimmt in verschiedenen Prozessen einsetzen. Letztlich schein es elementar, dass sich auch Banken frühzeitig mit digitalen Nachweisen auseinandersetzen, insbesondere welche externen Informationen sie in Zukunft über digitale Nachweise erhalten könnten und gleichzeitig, welche Informationen Kunden gerne in ihrer digitalen Brieftasche aufbewahren wollen. Es bleibt spannend!
Die Projektgruppe des OpenBankingProject.ch trifft sich erneut im Mai 2025, um dann verschiedene Use Cases als Proof of Concepts auf der Public Beta (Sandbox des Bundes) umzusetzen.
