ePerso-Alltag: Treffer, versenkt

Ich bin stinksauer: Das ist so ziemlich der miserabelste Start, den man mit einem Projekt hinlegen konnte, dessen Architektur und Sicherheit eigentlich von vielen Technikern und Datenschützern gelobt wird. Man muss offensichtlich gar keine Skandalgeschichten aus den (schon lange) bekannten Unsicherheiten von Einfachkartenlesern machen, um den neuen Personalausweis zu diskreditieren und in der Öffentlichkeit unmöglich zu machen: Das schaffen die Beteiligten, beim Bundesinnenministerium angefangen über das BSI bis zu den Auftragnehmern aus der Industrie, schon selbst.

Da hilft auch der problemlose Start der Antragsprozedur in den Einwohnermeldeämtern und Bürgerbüros nicht viel. Es entsteht trotzdem ein verheerender Eindruck, wenn das Bundesinnenministerium entgegen aller Warnungen auf massenhafter Verteilung der problematischen Basiskartenleser besteht, wenn peinliche Fehler in der Anwendungsprogrammierung und veraltete Software die AusweisApp schon 24 Stunden nach dem Start als löchrig dastehen lassen, wenn man zum Start nur eine lächerliche, zumindest aber unzureichende Liste von Anbietern vorweisen kann, die die eID nutzen wollen. Es ist zudem schon weit mehr als Ironie, dass dem Bürger mit dem neuen Ausweis auch in den rechtlichen Bestimmungen explizit erklärt wird, er müsse für Schutz seines Rechners vor Schädlingen sorgen, ihm dann aber eine Software geliefert wird, die genau das recht schwer macht, die nicht einmal per Update von ihren Fehlern befreit werden kann. Das alles hinterlässt beim Bürger einen kläglichen Eindruck, der nicht gerade Vertrauen für den neuen Ausweis erzeugt.

Offensichtlich ist in den letzten Wochen und Tagen vor dem Start des neuen Personalausweises mit heißer Nadel gestrickt worden. Der politische Druck, zum 1.11. mit dem Ausweis zu starten und wenige Tage später die zugehörige Software für die eID verfügbar zu haben, war immens - und er setzte anscheinend so ziemlich jede Sicherung außer Kraft, die gegen Fehler und Sicherheitslecks eingebaut war. Eigentlich sollte ich mich darüber nicht wundern: Der elektronische Personalausweis entwickelte sich nach den Debakeln mit Gesundheitskarte und digitalem Behördenfunk zu einem Prestigeprojekt, das einfach klappen musste. Außerdem rollt seit dem 9. November eine Lawine von Ausweisanträgen auf die Ämter zu, da die Bürger aus der ehemaligen DDR, die ab dem 9.11.1990 Personalausweise beantragen konnten, ihre Ausweise erneuern müssen. Das hielt man dann wohl für einen idealen Zeitpunkt, dem neuen Personalausweis vom Stand weg eine große Verbreitung zu sichern.

Das Entsetzen ist wohl auch beim BSI groß - allerdings muss man sich vorhalten lassen, dass man nicht richtig kontrolliert hat. Die Zertifizierung der AusweisApp soll wohl erst im März 2011 abgeschlossen sein; das ist allerdings keine Entschuldigung für die Patzer, die man hätte bemerken müssen - allein schon deswegen, da die AusweisApp über BSI-Server verteilt wird und damit jeder Bürger den Eindruck haben muss, die Behörde habe die Software entwickelt oder zumindest kontrolliert. Und der FDP-Bundestagsabgeordnete Manuel Höferlin mag zwar recht haben, wenn er schreibt: "Es besteht kein Grund zur Sorge, dass der elektronische Personalausweis nicht sicher ist. Der Ausweis selbst ist von der angeblichen Sicherheitslücke der Ausweis-App nicht betroffen." Das ändert aber nun mal überhaupt nichts am keineswegs vertrauenserweckenden Eindruck, den die Geschehnisse zum Start des Ausweises hinterlassen.

Leider bekommen dadurch auch wieder die Schreier Oberwasser, die sich bei ihrem Tanz ums Goldene Kalb der absoluten Freiheit in der Marktwirtschaft gar nicht genug in Ekstase bringen können: "Seht ihr, der Staat kann sowas nicht, das muss der Markt erledigen." Tut er aber nicht. Wo waren denn die Teilnehmer am freien Markt bislang bei der Aufgabe, eine allgemeine Infrastruktur für sichere Authentisierung im Netz und für die massenhafte Verbreitung der digitalen Signatur zu schaffen? Sie stritten sich darum, wer die Anfangsinvestitionen zu schultern habe und bastelten an diversen, miteinander nicht kompatiblen sicheren Anmelde-Prozeduren. Ansätze zu einer einheitlichen Authentisierung oder einem Single-Sign-on blieben bislang einer technisch versierten Geek-Kundschaft vorbehalten. Offensichtlich ist es immer noch eine der vornehmsten Aufgaben des Staates, solche technischen, für die Gesellschaft sinnvollen Infrastrukturen bereitzustellen. Was leider nicht heißt, dass diejenigen, die im Staat Verantwortung tragen, es nicht auch böse verbocken können. Vielleicht reden wir in ein, zwei Jahren von den Geschehnissen rund um den Start des neuen Personalausweises als "Anfangsschwierigkeiten". Möglicherweise aber zerstören die Beteiligten durch diese "Anfangsschwierigkeiten" aber auch das Vertrauen der Bürger in das Projekt soweit, dass es sich nie wieder davon erholt. (jk)