Rechtliches und Compliance
SkinID unterliegt dem revidierten Schweizer Bundesgesetz über den Datenschutz (revDSG). Die folgenden Dokumente beschreiben, wie wir Ihre Daten bearbeiten, schützen und verwalten.
1.1 Identitätsdaten der Nutzenden
- Daten: UID des NFC-Implantats (als SHA-256-Hash gespeichert), vom Nutzer vergebener Name, Avatar
- Zweck: Nutzeridentifikation und Kontoverwaltung
- Rechtsgrundlage: Vertragserfüllung
- Empfänger: keine
- Aufbewahrung: bis zur Kontolöschung
- Sicherheit: UID als SHA-256-Hash gespeichert, HTTPS bei der Übertragung, Datenbank verschlüsselt im Ruhezustand
1.2 Gespeicherte Zugangsdaten
- Daten: Website-URL, Benutzername, verschlüsseltes Passwort, Typ (Privat / Beruflich)
- Zweck: Passwortverwaltung und automatisches Ausfüllen
- Rechtsgrundlage: Vertragserfüllung
- Empfänger: keine. Nur vom Nutzer initiierte Freigabe zwischen SkinID-Konten.
- Aufbewahrung: bis zur Löschung der Zugangsdaten oder des Kontos
- Sicherheit: ChaCha20-Poly1305 AEAD mit credential-spezifischen Schlüsseln, abgeleitet via HKDF-SHA256
1.3 FIDO2-Passkeys
- Daten: Relying-Party-ID, Credential-ID, verschlüsselter privater Schlüssel, öffentlicher Schlüssel, Benutzername, Anmeldezähler
- Zweck: passwortlose Authentifizierung
- Rechtsgrundlage: Vertragserfüllung
- Empfänger: öffentlicher Schlüssel wird bei der Registrierung mit der Relying Party geteilt
- Aufbewahrung: bis zur Löschung des Passkeys oder des Kontos
- Sicherheit: private Schlüssel mit demselben chip-gebundenen Schema verschlüsselt wie gespeicherte Zugangsdaten
1.4 Autofill-Profil
- Daten: Name, Geburtsdatum, Geschlecht, E-Mails, Telefonnummern, Adressen, Benutzernamen, Unternehmen, Berufsbezeichnung
- Zweck: automatisches Ausfüllen von Registrierungsformularen
- Rechtsgrundlage: Vertragserfüllung
- Empfänger: keine. Daten werden lokal im Browser in die Formulare eingefügt.
- Aufbewahrung: bis zur Löschung des Profils oder des Kontos
- Sicherheit: als einzelner AEAD-Blob mit einem benutzerspezifischen Schlüssel verschlüsselt
1.5 Aktivitätsprotokoll
- Daten: Aktionstyp, Detailtext, Zeitstempel
- Zweck: Sicherheitsüberwachung
- Rechtsgrundlage: berechtigtes Interesse (Sicherheit)
- Aufbewahrung: 12 Monate
1.6 Vertrauenswürdige Geräte
- Daten: Gerätename, IP-Adresse, Plattform, Geräte-ID, Zeitstempel
- Zweck: Verwaltung der NFC-Bridge
- Rechtsgrundlage: Vertragserfüllung
- Aufbewahrung: bis zur Entfernung des Geräts oder zur Kontolöschung
1.7 Authentifizierungstoken
- Daten: SHA-256-Hash des Tokens, Präfix, Erstellungsdatum, Datum der letzten Nutzung
- Zweck: Sitzungsverwaltung
- Sicherheit: rohe Token werden niemals gespeichert. Es werden nur Hashes persistiert.
Technische und organisatorische Massnahmen
- Alle Zugangsdaten und Schlüssel werden im Ruhezustand mit authentifizierter Verschlüsselung und benutzerspezifischen Schlüsseln verschlüsselt
- Jegliche Kommunikation wird bei der Übertragung verschlüsselt (HTTPS mit TLS 1.3 und HSTS Preload)
- Benutzerspezifische Datenisolation auf Datenbankebene
- CSRF-Schutz und Rate-Limiting
- Operator-Passwörter werden als PBKDF2-HMAC-SHA256-Hashes mit der von OWASP empfohlenen Iterationszahl gespeichert
- Automatisierte verschlüsselte Backups (age, X25519 mit ChaCha20-Poly1305, privater Schlüssel auf einem separaten, isolierten System)
- Server gehostet bei Infomaniak, Schweiz
- Keine Drittanbieter-Analyse, kein Tracking, keine Datenweitergabe
2.1 Definition
Eine Verletzung des Schutzes personenbezogener Daten ist jeder Sicherheitsvorfall, der versehentlich oder unrechtmässig zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu Personendaten führt.
2.2 Erkennung
- Ungewöhnliche Server-Zugriffsmuster
- Unerwartete Datenbankabfragen oder -exporte
- Meldungen von Nutzenden über unbefugte Aktivitäten
- Offenlegungen durch Sicherheitsforschende
- Monitoring-Alarme (Spitzen fehlgeschlagener Authentifizierungen, Rate-Limit-Auslöser)
2.3 Bewertung (innerhalb von 24 Stunden)
- Welche Daten waren betroffen?
- Wie viele Nutzende sind betroffen?
- Sind die Daten verschlüsselt? Wurde der Master-Schlüssel kompromittiert?
- Ist die Verletzung noch laufend oder eingedämmt?
- Welches Risiko besteht für die betroffenen Nutzenden?
2.4 Eindämmung (sofort)
- Alle aktiven Authentifizierungstoken widerrufen
- Master-Verschlüsselungsschlüssel rotieren, falls kompromittiert
- Unbefugte Zugriffswege blockieren
- Server bei Bedarf vom Netz nehmen
- Beweise sichern
2.5 Meldung an den EDÖB
So bald wie möglich (innerhalb von 72 Stunden) über databreach.edoeb.admin.ch. Die Meldung umfasst: Art der Verletzung, betroffene Daten, Anzahl der Nutzenden, Folgen und ergriffene Massnahmen.
2.6 Benachrichtigung der betroffenen Nutzenden
Erforderlich, wenn die Verletzung ein hohes Risiko für die Nutzenden darstellt. Die Nutzenden werden über das Verwaltungspanel und alle verfügbaren Kontaktinformationen benachrichtigt. Die Benachrichtigung erläutert, was geschehen ist, welche Daten betroffen waren, was die Nutzenden tun sollten und was SkinID unternommen hat.
2.7 Nachbearbeitung des Vorfalls
Innerhalb von 2 Wochen: Chronologie dokumentieren, Grundursache ermitteln, Korrekturmassnahmen umsetzen, Verfahren aktualisieren.
Kontakt
EDÖB: www.edoeb.admin.ch
Meldung von Verletzungen: databreach.edoeb.admin.ch
3.1 Beschreibung
SkinID ist eine Schweizer Authentifizierungsplattform, die ein subdermales kryptographisches NFC-Implantat als universellen Identitätsschlüssel nutzt. Die Nutzenden scannen ihre Hand, um sich in digitalen und physischen Umgebungen zu authentifizieren.
Bearbeitete Daten
- UID des NFC-Implantats (SHA-256-Hash)
- Verschlüsselte Website-Zugangsdaten (Passwörter)
- Verschlüsselte private FIDO2-Schlüssel
- Verschlüsseltes Autofill-Profil (Name, Kontakte, Adressen)
- Aktivitätsprotokolle, Geräteinformationen, Freigabebeziehungen
Datenflüsse
Implantat des Nutzers → NFC-Lesegerät → SkinID-App / -Erweiterung → HTTPS → SkinID-Server (Schweiz). Es fliessen keine Daten ausserhalb der Schweiz. Keine Drittanbieter-API erhält Nutzerdaten.
3.2 Notwendigkeit und Verhältnismässigkeit
Jede Datenkategorie dient einem spezifischen funktionalen Zweck (Authentifizierung, Passwortverwaltung, automatisches Ausfüllen von Formularen). Für die Nutzung des Kerndienstes sind weder E-Mail noch Telefon oder Klarname erforderlich. SkinID erhebt deutlich weniger Personendaten als vergleichbare Dienste. Die Datenerhebung ist verhältnismässig.
3.3 Risikobewertung
| Risiko | Wahrscheinlichkeit | Auswirkung |
|---|---|---|
| Server-Kompromittierung (nur Datenbank) | Gering | Gering (Daten verschlüsselt) |
| Diebstahl eines Authentifizierungstokens | Gering | Mittel |
| Klonen des NFC-Implantats (DESFire EV3) | Sehr gering | Mittel |
| Zugriff auf Daten anderer Nutzender | Sehr gering | Hoch |
| Datenverlust | Gering | Mittel |
3.4 Mitigationsmassnahmen
- Authentifizierte Verschlüsselung (ChaCha20-Poly1305 AEAD) mit benutzerspezifischen Schlüsseln
- Master-Schlüssel getrennt von der Datenbank gespeichert
- SHA-256-Hashing der Token
- Automatische Sperrung nach Inaktivität
- Benutzerspezifische Datenisolation
- Automatisierte verschlüsselte Backups
- Gegenseitige AES-128-Authentifizierung (NXP DESFire EV3) auf der Chip-Ebene
3.5 Fazit
Die Bearbeitung ist notwendig und verhältnismässig. Die identifizierten Risiken werden durch technische und organisatorische Massnahmen gemindert. Restrisiko-Stufe: NIEDRIG.
Diese Bewertung wird jährlich, bei wesentlichen Änderungen oder nach jedem Sicherheitsvorfall überprüft. Eine ausführlichere Version dieser Bewertung ist auf Anfrage für qualifizierte Prüfer und Partner verfügbar.