The Swiss IT Congress SITC 2023 on E-ID in Switzerland has been held on Thursday May 11, 2023 as a physical event at the sitem-insel building in Bern.
We encourage all people interested in E-ID, data security and related subjects to have a look at the slides of the most general interest lectures, provided here. If you are interested in other parts of the agenda or wish to know about the follow-up that SI will give this event, contact us.
| 08:30 | Registration, welcome coffee | |
|---|---|---|
| 09:00 |
SI General Assembly |
Francis Baud, SI President Simon Moser, SI Treasurer |
| 11:00 | Coffee break | |
| 11:20 |
Opening of SITC 2023 and Welcome |
Francis Baud, SI President Nora Sleumer, SI Vice President and Moderator |
| 11:30 |
“The E-ID provided by the Swiss Government: Current state of work and perspectives” |
Rolf Rauschenbach, Communications Officer E-ID, Federal Office of Justice FOJ |
| 12:30 | Networking lunch | |
| 13:30 | E-ID in other countries | |
| "Aadhaar: E-ID in India" |
Indukumar Vellapillil-Hari, Enterprise Architect at Credit Suisse with interest with ID implementation |
|
| "ID (identification) Austria" |
Magister Martin Nemec, in charge of servicing ID at the Federal Ministry of Finance in Austria |
|
| 15:00 | Coffee break | |
| 15:30 |
"Swiss E-ID: Challenges and Chances" |
Prof. Dr. Annett Laube-Rosenpflanzer, Head of Institute IDAS, BFH-TI |
| "Perpetual signatures, revocation and the right to be forgotten" |
Dr. Jörn Erbguth |
|
| 17:00 |
Sandbox Presentation: Public Sandbox Trust Infrastructure |
Federal E-ID Technical Team, Jonas Niestroj |
| 17:20 |
Closing remarks |
Francis Baud, SI President Nora Sleumer, SI Vice President and Moderator |
| 17:30 to 20:00 | Networking Apéro riche |
Rolf Rauschenbach holds a Ph.D. in political science from the University of St. Gallen. He works as Communications Officer at the Federal Office of Justice FOJ. Prior, he held various positions in the industry and in academia, among others Chief Sales Officer at Procivis AG in Zurich and lecturer and researcher at Universidade de São Paulo, Brazil.
Indukumar Vellapillil-Hari has 24 years of extensive experience in various roles such as an IT strategist, lead architect, service delivery lead, project leader, entrepreneur, author and software developer, with a significant 20 years in financial service domain.
He has done Technology strategy consulting for C-level engagements in large financial services organizations, practices architecture analysis of large scale digital transformation thanks to a wide experience ranging from architecting India's first reverse auction portal for travel, to the architecture of an award winning mobile application for a large Swiss bank.
He also co-founded a profitable Software As a Service company specialized in Structured Products.
Martin Nemec has Degrees in Computer Science and Economy from the Technical University in Vienna. He started his career, while still studying, in the Network Department of a large Austrian Bank. Later he did Network Management for Austrian Banks. After graduation he worked as Consultant in Umbrella Management on behalf of Unisys Austria, a large Austrian Telecom Provider.
Since 2003 in public service, he was responsible for the introduction of ELAK (electronic files) in the Federal Ministry of Transport. Then, from 2005 on, in the Federal Chancellery, he developed all kinds of electronic Forms (PDF, HTML, etc.).
In 2018, first in the Federal Ministry of Digitalization and Economy, and then in the Federal Ministry of Finance, he is responsible for the technical items and service of ID Austria.
Prof. Dr. Annett Laube-Rosenpflanzer received her doctorate in computer science from the TU Dresden. After more than 10 years in the IT industry (IBM Germany, SAP Development Canada, SAP Research Sophia-Antipolis/France), she has been Professor of Computer Science at the Bern University of Applied Sciences since 2009. In addition to her commitment to teaching, Annett Laube-Rosenpflanzer heads the IAM research group at the Institute for Data Applications and Security (IDAS). In her research she is particularly concerned with Identity and Access Management (IAM), authentication protocols, electronic identities and signatures, privacy protection.
With a double background in law and computer science, Jörn Erbguth bridges the gap between technology and law. After working as CTO, he wrote a thesis about a framework for long-term revocable credentials using blockchain and complying with data protection regulation. Jörn Erbguth is a consultant on blockchain and data protection and Head of Technology Insights at the Geneva Macro Labs association. He participates in standards organizations and lectures at Swiss universities. Jörn Erbguth likes to bridge the gap between disciplines to help shape the future digital society oriented on human rights and sustainability.
The state acts as the issuer of the E-ID and ensures the operation of the necessary trust infrastructure. Users should have the greatest possible control over their data. The department in charge of E-ID will use a SANDBOX to test it.
What is this public sandbox?
Generally speaking, a "sandbox" is an isolated test environment in which to experiment with new applications and technological approaches. In the case of the public trust infrastructure sandbox, this involves testing the technical components and processes around the e-ID and the trust infrastructure that is planned to be put in place, not only within the federal administration, but also with future ecosystem participants from the public sector and the economy.
Why does the Confederation offer this service?
The Confederation and the other participants can, in this test environment, acquire technical experience (functionalities, scalability, security, operation, etc.), organizational (integration of users, technical assistance, etc.) and functional (tests of use cases, interoperability between several organizations, ease of use, etc.). In addition, the sandbox must make it possible to interest other players in the ecosystem of digital evidence that is planned to be developed.
Who can participate?
Individuals, companies and organizations with their registered office in Switzerland. Participation is free.
"Automatisierte Prozesse bergen viel Potenzial. Firmen und Organisation, aber auch Einzelpersonen und die Gesellschaft sind existenziell von deren Entwicklung und Qualität abhängig. Die Berufsleute, welche diese federführend planen, umsetzen und schliesslich auch den Betrieb leiten, übernehmen grosse Verantwortung. Der FSIE bietet die notwendige Plattform, damit sie diese nach der initialen Ausbildung lebenslang kompetent wahrnehmen können. Als non-profit Verein von Experten für Experten sichert der FSIE zudem den objektiven und neutral evaluierten Feedback aus der Praxis. Damit optimieren wir kontinuierlich die Best Practices und Fortbildungsanforderungen.
Deshalb engagiere ich mich intensiv und mit Freude für diese Sache."
"Ich mache beim IT Expert SI-Projekt mit, weil eine schweizweit einheitliche Zertifizierung des Berufsstandes der Informatiker sowohl für die Berufsleute als auch für die Unternehmen Transparenz schafft, die Personalselektion erleichtert und direkt die Qualität von Informatikprojekten verbessert. Damit unseren Berufsstand vorwärts zu bringen, erfüllt mich mit Stolz."
"Die IT ist ein wesentlicher Entwicklungsfaktor und Treiber in Technologie, Markt und Gesellschaft. Es ist mir ein wichtiges Anliegen, IT als Werkzeug im Dienste der Anwender zu betrachten. Für einen verantwortungsvollen Einsatz der IT sind sowohl Ethik als auch eine fundierte Ausbildung unabdingbar. Mit IT Expert SI bilden wir eine hervorragende Plattform um diese Themen wirksam zu fördern und in die Entwicklung der Schweizer IT einfliessen zu lassen.
Als Mitglied des IESCo und als Präsident der SI-Ethikkommission setze ich mich für eine faire und ethische Umsetzung der SI-Statuten ein und unterstütze aktiv die Grundwerte des IT Expert SI."
"Es ist mir ein Herzensanliegen, die Steigerung der Professionalität und die Anerkennung von IT und IT-Experten zu fördern. Als Mitglied des IESCo und der Westschweizerinnen und Westschweizer engagiere ich mich für die Umsetzung des IT Expert SI im Allgemeinen und in der Westschweiz im Besonderen.
"UX und Interface Design werden immer wichtiger, um gute und nützliche Software zu entwickeln. Ich bin fest davon überzeugt, dass alle an der Softwareentwicklung Beteiligten ein minimales Verständnis der Grundlagen benötigen und unterstütze daher die Idee einer Qualifikation und Zertifizierung in diesem Bereich. Als Dozent und Praktiker fühle ich mich qualifiziert, diese Aufgabe mitzutragen und hoffe, eine gute Lösung zu finden."
"Sicherheit und Vertrauen sind essentiell für IT, Business und Gesellschaft. Deshalb bin ich Teil der IT Expert SI-Initiative."
Zum Auftakt unseres Jahres der sicherheitsorientierten Veranstaltungen, das seinen Höhepunkt in der SITC 2025 finden wird, veranstalteten wir einen SI Evening Talk mit dem Sicherheitsberater Stefan Dydak. Unter dem Titel „Cybersecurity: Beyond the Hype“ ging Dydak auf gängige Sicherheitsfallen, die alltäglichen Massnahmen, die wir ergreifen können, um uns zu schützen, und warum diese oft viel wichtiger sind, als uns bewusst ist, ein.
Während dem Potenzial von Blockchain und generativer KI - sowohl als Schutzinstrumente als auch als Sicherheitsrisiken - viel Aufmerksamkeit geschenkt wird, hinkt ihre Umsetzung oft hinterher. Trotz Fortschritten bei der Infrastruktur und den Fähigkeiten bleiben viele der alten Probleme bestehen. Im Kern geht es bei der Cybersicherheit weniger um Technologie als vielmehr um Menschen und Prozesse.
In seinem Vortrag hob Stefan Dydak fünf wichtige Aspekte hervor, die notwendig sind, um ein System sicher zu machen: Asset Management, Zero Trust, Sicherheitsprozesse, Sicherheit der Lieferkette und Krisenmanagement.
Asset Management wird selten gut gemacht, und es ist eine Herausforderung, es gut auszuführen. Da Systeme wachsen und sich weiterentwickeln, sind sie von einer zunehmenden Anzahl von Anlagen abhängig, die ordnungsgemäss überprüft, verfolgt und bei Bedarf ausser Betrieb genommen werden müssen. Leider werden diese Prozesse oft vernachlässigt, wodurch sensible Daten ungeschützt bleiben und Möglichkeiten für unbefugten Zugriff entstehen. Es reicht nicht aus, Standardanlagen zu verwalten. Unternehmen müssen auch scheinbar periphere Geräte wie Temperatursensoren in Rechenzentren oder automatische Klimaanlagen berücksichtigen.
Diese Geräte sind oft nicht mit Blick auf die Sicherheit entwickelt worden, benötigen aber dennoch Zugang zu kritischen Systemen, was sie zu potenziellen Schwachstellen macht.
Selbst ein umfassendes Asset Management kann ein System nicht schützen, wenn nicht die Grundsätze des „Zero Trust“ eingehalten werden. Social Engineering ist immer eine grosse Bedrohung, und wenn jemand Zugang zu einem Zugangspunkt erhält, kann er ungesicherte Ports ausnutzen, um auf sensible Daten zuzugreifen. Unternehmen müssen sicherstellen, dass der Zugang sowohl sorgfältig gewährt als auch umgehend wieder entzogen wird und dass alle Benutzer eindeutig identifiziert werden können, idealerweise durch Zwei-Faktor-Authentifizierung.
Sicherheitstechnologien können zwar wertvolle Einblicke in potenzielle Schwachstellen liefern, doch sind diese Tools wirkungslos, wenn keine geeigneten Prozesse und Kontrollen vorhanden sind. Kommunikation und Koordination zwischen den für die Sicherheit Verantwortlichen sind unerlässlich. Die Prozesse sollten so gestaltet sein, dass sie Sicherheit ermöglichen und gegen Umgehungen resistent sind.
Ähnliche Herausforderungen bestehen bei der Sicherheit der Lieferkette, insbesondere bei externen Anbietern. Die Einführung von Drittanbietern kann ungewollt Schwachstellen mit sich bringen. Um ein wirklich sicheres System zu gewährleisten, müssen die internen Sicherheitsteams in jeder Phase der Lieferkette einbezogen werden.
Die Verhinderung von Sicherheitsverstössen ist zwar von entscheidender Bedeutung, aber ein robuster Reaktionsplan ist ebenso wichtig. Ein wirksames Krisenmanagement erfordert einen gut durchdachten Plan zur Reaktion auf einen Zwischenfall, der aktiv getestet und aktualisiert wird. Dieser Plan sollte die Koordination mit externen Ressourcen wie der Polizei und ihren Cybercrime-Einheiten beinhalten und eine klare, proaktive Kommunikation mit den Mitarbeitern in den Vordergrund stellen. Wenn die Mitarbeiter informiert und einbezogen werden, kann eine Lähmung verhindert und die betriebliche Kontinuität während eines Vorfalls aufrechterhalten werden.
Am Ende seines Vortrags fasste Stefan Dydak drei wesentliche Grundsätze für die Cybersicherheit zusammen: grundlegende Cyberhygiene, Unterstützung von oben nach unten und ein risikobasierter Ansatz. Wenn Sie diese Grundsätze beherzigen, können Ihre Systeme ein deutlich höheres Sicherheitsniveau erreichen.
