Mehrfach verschoben: E-Perso fürs Smartphone lässt weiter auf sich warten
Erst sollte der E-Perso im Jahr 2020 aufs Handy kommen, dann 2021, doch auch daraus wird wohl nichts.
(Bild: Samsung)
Mit der "Smart eID" will die Bundesregierung den elektronischen Personalausweis aufs Smartphone bringen und damit nutzerfreundlicher machen – doch der Start verzögert sich immer weiter. Im Dezember werde die neue Technik nicht mehr starten, sagte ein Projektbeteiligter am Montag gegenüber c't. Ein realistischerer Termin sei der März 2022.
Es wäre bereits die dritte Terminverschiebung bei der Smart eID. Zunächst hatten die Projektpartner Samsung, Bundesdruckerei, Telekom Security und das Bundesamt für Sicherheit in der Informationstechnik den Start für 2020 in Aussicht gestellt. Später nannte die Bundesregierung den 1. Juni 2021 als Termin. Im September 2021 erklärte das federführend zuständige Bundesinnenministerium dann, die Smart eID werde im Dezember 2021 starten.
Auf Anfrage von c't wollte das Innenministerium nun nicht sagen, ob im Dezember noch mit einem Start der Smart eID zu rechnen ist. Man arbeite derzeit an der Einführung, unter anderem mit ausführlichen Sicherheitstests, sagte ein Sprecher. Ein konkretes Datum stehe noch nicht fest. Samsung erklärte, die Smart eID starte "im Winter 2021/22".
Weitere Partner neben Samsung?
Nach Angaben von Beteiligten liegt die Verzögerung unter anderem daran, dass die Bundesregierung außer Samsung weitere Smartphone-Hersteller als Partner gewinnen will. "Es soll nicht nur ein Hersteller sein", hieß es. Für jedes Modell seien ausführliche Tests nötig.
Da die Personalausweisdaten in einem speziellen Sicherheitschip (embedded Secure Element, eSE) im Smartphone gespeichert werden, müssen die Smartphone-Hersteller diese Chips dafür freigeben sowie Sicherheitskriterien des BSI erfüllen. Bislang hat die Bundesregierung nur das Samsung Galaxy S20 als kompatibles Gerät genannt. Nach und nach sollen weitere Modelle des Herstellers folgen.
BSI: An uns liegt es nicht
Der Tagesspiegel hatte am Montag zudem berichtet, dass eine Komponente der Smart eID – der Trusted Service Manager (TSM) – nicht fertiggestellt werden könne, weil das BSI die dafür nötigen Richtlinien noch nicht fertiggestellt habe.
Ein BSI-Sprecher wies diese Darstellung gegenüber c't zurück: Die technischen Richtlinien würden unter Mitarbeit der Auftragnehmer fortentwickelt. Der Fortgang des Projekts sei maßgebend für die Fortschreibung der Richtlinien des BSI, "nicht umgekehrt". Den Partnern seien außerdem sämtliche für die Umsetzung des TSM und der Smart-eID notwendigen Informationen und Regelungen bekannt. Eine Zertifizierung des TSM sei nicht vorgesehen.
Folge des ID-Wallet-Desasters?
Eine Rolle spielen dürfte bei dem Thema auch das spektakuläre Scheitern der App "ID Wallet". Mit dieser App wollte die Bundesregierung im Herbst den Führerschein und eine aus dem Personalausweis abgeleitete "Basis-ID" aufs Handy bringen. Wenige Tage nach dem Start im Herbst wiesen Sicherheitsforscher nach, dass die App es Angreifern leicht machte, Identitätsdaten zu stehlen.
Die Smart eID basiert zwar auf einer komplett anderen Technik (einige Grundlagen beschreibt das BSI in diesem PDF) als die ID-Wallet-App und erfüllt unter anderem durch die Einbindung des Secure Element höhere Sicherheitsanforderungen. Doch es ist gut vorstellbar, dass das ID-Wallet-Debakel dazu beigetragen hat, dass die Bundesregierung bei der Smart eID besonders vorsichtig vorgehen will.
(cwo)
