Startseite Navigation Inhalt Kontakt Sitemap Suche

Prozessumstellung zwecks Abschaffung Vasco-Tokens im CH-LOGIN

Auf dieser Seite werden die Umgestaltungsmöglichkeiten des RIO-Prozesses (Vasco-Tokenausgabe im Sozialversicherungswesen der Bundesverwaltung) vorgestellt. Die Überlegungen sind für andere Verwaltungseinheiten übertragbar, auch wenn die Vasco-Tokens per Post versendet werden (es passen dann V2 und V3). Die hier erwähnte Authentifizierungsqualität AGOVaq300 entspricht eIAMs QoA50, also einer substantiell abgeklärten elektronischen Identität im Sinne von LOA3 gemäss eCH-0170.

Bitte beachten Sie, dass zwar die unten aufgeführten Varianten generell auf die bundesweite Abschaffung der Vasco-Tokens anwendbar sind (also CH-LOGIN und A3), aber dass derzeit nur das CH-LOGIN - und dort nur Vasco-Neu-User - von dieser Änderung betroffen ist, vorerst aber nicht die von A3 versorgten Anwendungen. A3 wird voraussichtlich im Jahr 2027 deaktiviert. Nutzer (neue und bestehende), die CH-LOGIN OHNE Vasco verwenden, d. h. mit Benutzername, Passwort und SMS-mTAN (oder Google-/Microsoft-Authentifikator), keine technischen Änderungen erfahren (sondern nur eine geringfügige Änderung des visuellen Designs) und können vorerst weiterhin normal mit CH-LOGIN arbeiten (oder freiwillig auf AGOV umsteigen).

Beschreibung der Varianten für die bundesweite Abschaffung der Vasco-Tokens.
Varianten betreffend der bundesweiten Abschaffung der Vasco-Tokens.


Für den Zugriff auf Daten mit erhöhtem Schutzbedarf oder aus Geschäftsprozessgründen ist es erforderlich, dass die Authentifizierung des zugreifenden Benutzers drei Qualitätskriterien erfüllt:
  1. Der Benutzer verwendet kryptographisch gehärtete Anmeldefaktoren, auch Credentials genannt.
  2. Die wahre Identität des Nutzers wird substanziell abgeklärt, basierend auf einem offiziellen Lichtbildausweis und dem Gesicht des Nutzers.
  3. Muss die Kopplung der substanziellen Identitätsprüfung mit dem kryptographisch gehärteten Login-Faktor verlässlich sein, d.h. der Login-Faktor muss zwingend in den Prozess der Identitätsprüfung einbezogen worden sein.
In der Bundesverwaltung gibt es verschiedene Login-Verfahren mit unterschiedlichen Login-Faktoren, die dieses Qualitätsniveau der Authentifizierung erreichen können. Das Qualitätsniveau trägt verschiedene Bezeichnungen, nämlich «hoch» in der IKT-Spezifikation Si001, QoA50 in der eIAM-Qualitätsskala, AGOVaq300 in der AGOV-Qualitätsskala und quasigenerisch Level of Assurance 3 - kurz LoA3 - als annähernde präzise Referenz zum eCH-Standard 170.

Die Login-Verfahren in der Bundesverwaltung, die LoA3 unterstützen können, sind:

  1. Das FED-LOGIN für Mitarbeitende und Affiliierte,
  2. AGOV für Nichtmitarbeitende, die das CH-LOGIN ersetzt, und
  3. Logins über den sogenannten A3-Server.

Die für LoA3 in diesem Zusammenhang verwendeten Credentials sind die Smartcard, die nur für Mitarbeitende und eng Affiliierte verfügbar ist, sowie FIDO-basierte Access Apps, physische FIDO-Sicherheitsschlüssel und derzeit auch noch Vasco-Token.

Die Vasco-Token - auch One Time Password OTP genannt - werden in der Bundesverwaltung demnächst abgeschafft, ebenso der A3-Server.

Es wird erläutert, wie die mit den Vasco-Tokens verbundenen Verfahren zur Identitätsüberprüfung - auch als Identitätsabklärung bezeichnet - funktionieren und wie sie in andere, Vasco-freie Verfahren zur Identitätsüberprüfung überführt werden können.

Vasco-Tokens sind kleine batteriebetriebene Geräte in der Grösse eines kleinen Feuerzeugs, die auf ihrem Display periodisch eine neue Zahl anzeigen. Diese Zahl ist das so genannte One Time Password, das als Login-Faktor verwendet wird.

Der Identitätsprüfungsprozess rund um die Vasco-Token basiert auf der physischen Übergabe des Vasco-Token an eine Person, deren Ausweis in diesem Prozess kontrolliert und mit dem Gesicht abgeglichen wird. Dieser Prozess kann auch an die Schweizerische Post delegiert werden.

Vasco-Tokens gehören der Applikationseigentümerin, in diesem Fall der Bundesverwaltung, und werden dem Endanwender zur Nutzung übergeben. Wenn die Vasco-Tokens abgeschafft werden, sind Übergabe- und Kontrollprozess so nicht mehr möglich, da die Endbenutzenden ihre eigenen Login-Faktoren mitbringen müssen, seien es FIDO-Sicherheitsschlüssel oder Mobiltelefone mit Access App - nicht zu verwechseln mit Authenticator Apps wie jene von Google und Microsoft - oder Mobiltelefone mit Schweizer e-ID.

Fassen wir den abzuschaffenden Vasco-Token-basierten Identitätsprüfungsprozess zusammen. In diesem Beispiel gehen wir von einer physischen Vor-Ort- Abwicklung aus, die auch als RIO-Prozess bekannt ist. RIO steht für Registration Identification Officer.

Der Endbenutzer besucht einen Registration Identification Officer. Dieser kontrolliert den amtlichen Lichtbildausweis und das Gesicht des Endbenutzers, registriert die Daten, übergibt den an ein Login-Konto gekoppelten Vasco-Token und setzt die applikatorischen Berechtigungen für diesen Endbenutzer. Es gibt Varianten dieses Verfahrens, z. B. die Prozessdelegation an die Schweizerische Post, die zum gleichen Ergebnis führen.

Die neuen Vasco-Token-losen Identitätsprüfungsprozesse sind die folgenden:


Variante 1, «RIO klassisch»
Dem herkömmlichen Vasco-basierten RIO-Prozess am nächsten kommt die gleiche Vor-Ort-Bearbeitung mit Identitätsprüfung.

Ausprägung a): Der zu überprüfende Endbenutzer hat noch kein AGOV-Konto. In diesem Fall eröffnet er eines gleich beim RIO. Idealerweise händigt der RIO hierfür einen FIDO-Token aus, damit der Endbenutzer keinen mitbringen muss respektive nicht sein Mobiltelefon als Token verwenden muss (der Endbenutzer kann im Nachgang jederzeit sein Mobiltelefon als Zusatztoken in AGOV hinterlegen). Das nun entstandene AGOV-Konto ist noch nicht überprüft. Deshalb kontrolliert der RIO als Nächstes die Ausweispapiere des Endbenutzers, scannt diese und lädt sie in der RIO-Applikation «AGOV counter» hoch. Nun ist das entsprechende AGOV-Konto verifiziert, heisst substantiell abgeklärt, bezeichnet als AGOVaq300 oder eIAM QoA50 oder eCH0170 LOA3 und der RIO kann wie bisher die Applikationsberechtigungen (ausserhalb von AGOV) vergeben.

Ausprägung b): Der Endbenutzer hat bereits ein AGOV-Konto. Deshalb wird der RIO-Prozess in AGOV angestossen (sogenannte Identitätsprüfung am Schalter) und es geht weiter mit den RIO-Aktivitäten wie in Ausprägung a)

Es ist wichtig festzuhalten, dass kein Smartphone-Zwang entsteht, da es die Smartphone-Alternative «physische FIDO-Sicherheitsschlüssel» gibt, die entweder vom Endnutzer selbst beschafft oder vom Registration Identification Officer ausgegeben werden. Während ein Vasco-Token das Fachamt jährlich 60 Franken kostet, kostet ein FIDO-Stick einmalig einen kleinen bis mittleren zweistelligen Frankenbetrag, siehe dazu auch .


Variante 2 «RIO Federal Proof»
Soll der RIO-Besuch virtualisiert werden, können sich Endbenutzer und Registration Identification Officer in einem Videocall treffen und der Endbenutzer beweist dem Registration Identification Officer die Identität über das Online-Tool Federal Proof und bekommt die benötigten Rechte freigeschaltet. Das Verfahren ist auf im Detail dokumentiert.


Variante 3 «Zugriffsantrag»
Der Benutzer muss bei dieser Variante immer mit einer abgeklärten (LOA 3 aka AGOVaq300) AGOV-Identität eintreffen (falls noch nicht LOA3, führt AGOV den User direkt durch den Step-Up (Videoidentifikation)). Auf der Grundlage dieser abgeklärten AGOV-Identität löst der Benutzer in eIAM einen Zugriffsantrag aus.

Bei dieser Variante «Zugriffsantrag» wird den Identitätsangaben aus AGOV vertraut, d.h. es muss hierfür eine substanziell abgeklärte AGOV-Identität mindestens auf dem Level AGOVaq300 vorliegen - was von der Zielanwendung zu erzwingen ist. Selbstverständlich kann hierfür nebst Videoidentifikation und BmID der Schweizer Post auch die Schweizer e-ID über AGOV verwendet werden. Der Endbenutzer sieht beim ersten Zugriff auf die Zielapplikation ein Online-Antragsformular, welches zusammen mit den verifizierten Identitätsdaten an die berechtigungserteilende Person - z.B. den Registration Identification Officer - weitergeleitet wird. Eine Ausweiskopie wird dabei nicht übermittelt, die Ausweiskopie wurde bei AGOVaq300 vorgängig bei der Bundeskanzlei hinterlegt und kann dort auf Anordnung einer Schweizer Staatsanwaltschaft ausgegeben werden. Bei der Verwendung der e-ID über AGOV gibt es keinen Verweis auf eine Ausweiskopie bei der Bundeskanzlei, sondern einen Verweis auf die Ausweisdatensätze beim Fedpol.


Variante 4 «Einladung»
Diese Variante funktioniert wie Variante 3, jedoch wird eine E-Mail-Einladung mit einem Onboarding-Code verschickt. Der Onboarding-Code kann nur mit einer verifizierten AGOV-Identität AGOVaq300 oder höher eingelöst werden, d.h. es kann zuverlässig nachvollzogen werden, wer den Code eingelöst hat. Das Einladungsverfahren hat den Vorteil, dass der Zielendbenutzer vorab berechtigt werden kann. Beim Einlösen des Codes wird geprüft, dass der Benutzer tatsächlich im Besitz der Email-Adresse ist und den Code nicht von jemand anderem erhalten hat.

Wenn Institutionen möglichst nahe bei ihrem heutigen RIO-Vasco-Token-Prozess bleiben möchten, sind die Variante 1 «RIO klassisch» und deren virtualisierte Version Variante 2 «RIO Federal Proof» die Naheliegenden.