eID: Deutsche Version der EUDI-Wallet mit Cloud-basiertem Schlüsselspeicher

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, hat am Dienstag auf der Internetkonferenz re:publica in Berlin einen hiesigen Prototypen für eine E-Brieftasche auf Basis des Rechtsakts für eine europäische digitale Identität (EUid) vorgestellt. Die App hört demnach aktuell auf den Titel EUDI (European Digital Identity). Nach dem Öffnen der Anwendung zeigte diese: "Da ist mein Ausweis drin", wie Plattner verdeutlichte. Auch Namen, Geburtstag, Adresse und weitere persönliche Daten würden in der Wallet gespeichert.

Als Nutzungsszenario führte die BSI-Chefin die Eröffnung eines Bankkontos vor. Dafür identifiziere sie sich mit dem Online-Ausweis, gebe ihre Anschrift an und die benötigten Informationen nach Aufforderung und Eingabe einer sechsstelligen PIN frei. Die Details der Übertragung könne sich der Nutzer einblenden lassen. Und schon sei das Konto erstellt.

"Wir machen das auch so fürs Knöllchen-Zahlen", brachte Plattner ein weiteres Beispiel. Die Liste potenzieller Anwendungen sei endlos. Ziel sei es, etwa Führerschein, Fahrzeug, ein polizeiliches Führungszeugnis oder Meldebescheinigung in die offizielle Wallet zu integrieren. Letztlich sollten Bürger alle Interaktionen mit dem Staat darüber "nebenbei auf dem Sofa" abwickeln können. Die Funktionen würden dabei konstant erweitert: So sollte etwa "eine Bank sich auch mir gegenüber ausweisen müssen". Entscheidend für die Akzeptanz seien Vertrauen und die Interoperabilität in Europa, damit sich Bürger beispielsweise auch in Frankreich oder Portugal ausweisen könnten.

Grundstock für mehr digitale Souveränität

Sicherheit sei dabei ein Thema, das die EUDI-Wallet von kommerziellen Anbietern unterscheide und "das können wir richtig gut", hob die Mathematikerin hervor. Ein Grund dafür: "Wir haben das Thema Datenschutz verstanden." Plattner zeigte sich überzeugt, zugleich eine bestmögliche Nutzerfreundlichkeit hinzubekommen. Die Wallet sei so letztlich der "perfekte Grundstock" für mehr digitale Souveränität auf Teilen der IT-Wertschöpfungskette wie einem Betriebssystem für Handys.

Torsten Lodderstedt, Projektleiter EUDI-Wallet bei der Bundesagentur für Sprunginnovation (Sprind), bezeichnete das Projekt gegenüber heise online als im Zeitplan. Die Institution führe nicht nur einen Innovationswettbewerb zur Entwicklung von Prototypen durch, sondern sei auch für das Gesamtprojekt in Zusammenarbeit mit dem Bundesinnenministerium, dem Ressort für Digitalisierung und Staatsmodernisierung, dem BSI, Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (Aisec), der Bundesdruckerei und PwC verantwortlich. Der Wettbewerb befinde sich aktuell im Endstadium, die Ergebnisse würden Mitte Oktober in Berlin präsentiert.

Die Kooperationspartner haben Lodderstedt zufolge im Sommer 2024 mit der Entwicklung der App gestartet. Vorgesehen sei bei einem hohen Vertrauensniveau ein cloudbasierter Schlüsselspeicher. Eine solche Variante mit einem Hardware-Sicherheitsmodul (HSM) hatte zuvor die CDU/CSU-Bundestagsfraktion neben der "vielfach referenzierten Lösung" um eine Hardwarekomponente wie ein Secure Element oder die eSIM herum ins Spiel gebracht.

Sicherheit und Verbraucherschutz peripher?

Das Grundprodukt werde Ende des Jahres in den Testbetrieb gehen, führte Lodderstedt aus. Ein Jahr später solle es für die Endnutzer verfügbar sein. Die EU-Staaten sind mit der Verordnung verpflichtet, ihren Bürgern eine EUDI-Wallet bis 2027 an die Hand zu geben. Anders als das groß aufgehängte, aber aufgrund von Sicherheitsmängeln rasch für gescheitert erklärte Projekt ID Wallet für den E-Führerschein und ein virtuelles Portemonnaie werde die Sprind mit der neuen Lösung Schritt für Schritt live gehen. Es würden verschiedene Nutzungsszenarien erprobt, um sicherzustellen, "dass das Ganze funktioniert". Aktuell seien die Ausweis-, Nachweis- und Unterschriftfunktion implementiert, als Nächstes komme eine Bezahllösung dazu.

Als "Killer-Feature" bezeichnete der parlamentarische Digitalstaatssekretär Thomas Jarzombek (CDU) die Offline-Funktion. Internet werde für den Einsatz der EUDI-Wallet nicht unbedingt notwendig sein, "Strom sollte man aber schon haben". Es handele sich um eine offene Open-Source-Plattform, sodass sich der Politiker vorstellen kann, damit auch das Jahrestreffen des Chaos Computer Clubs (CCC) zu begeistern.

Doch nicht nur in der Hackergemeinde gibt es weiter große Vorbehalte gegenüber dem Projekt. Die IT-Sicherheitsexpertin Lilith Wittmann, die schon die ID Wallet unter die Lupe genommen hatte und dabei fündig geworden war, monierte jüngst, auch im laufenden Entwicklungsprozess würden Sicherheitsfragen allenfalls peripher behandelt. Es gehe offenbar nur darum, "einen offiziellen Marktplatz für garantiert echte Daten einer Person zu schaffen". Elementare Themen wie die Haftbarkeit, wenn Dokumente aus der Wallet entwendet und für Betrug eingesetzt würden, blieben ausgespart. Auch Bürgerrechtler beklagen, die EU-Kommission wolle den Verbraucherschutz aufweichen und Hintertüren für eine Überidentifikation öffnen.

(akn)