Kommentar: Das Videoident-Verfahren ist unsicher – und überflüssig
Die Sicherheit des Videoident-Dienstes wird immer mehr angezweifelt, gleichzeitig stellt sich die Frage, ob der E-Perso eine gute Alternative bietet.
- Christian Wölbert
Ist Videoident noch zeitgetreu oder längst überholt? Nüchtern betrachtet ist es absurd und im internationalen Vergleich regelrecht peinlich, dass Videoident in Deutschland genutzt wurde und wird. Da hält man den Personalausweis vor eine Webcam, damit ein Mensch (oder ein Algorithmus) am anderen Ende der Leitung die Sicherheitsmerkmale prüfen kann, die für Kontrollen vor Ort gedacht sind – obwohl im gleichen Ausweis ein Chip fürs sichere digitale Ausweisen steckt. Weil ein Video stets manipuliert werden kann, ist Videoident grundsätzlich unsicher. BSI und Datenschützer sagen das seit Jahren, der CCC hat es nun demonstriert.
Es geht also nicht um ein, zwei Bugs, die man fixen könnte. Videoident ist "broken by design". Deshalb ist wichtig, dass die Gematik es nicht bei einem temporären Bann belässt. Sie sollte das Verfahren dauerhaft aus dem Verkehr ziehen, damit das Vertrauen in die digitale Patientenakte nicht noch weiter untergraben wird. Andere Behörden wie die Bafin sollten ihr folgen.
Schließlich gibt es in Gestalt des E-Perso längst eine viel sicherere und – ja – auch bequemere Alternative zu Videoident. Der IT-Verband Bitkom beharrt zwar darauf, dass die Online-Ausweisfunktion „derzeit noch keine praktikable Alternative“ sei, weil zu wenige Menschen die Funktion aktiviert hätten, die PIN nicht vorliegen hätten oder nicht wüssten, wie die Technik funktioniert. Und es stimmt, dass die breite Mehrheit die Online-Ausweisfunktion noch nie genutzt hat – aber das kann sich schnell ändern.
Einfach mal ausprobieren!
Erstens ist die Funktion bei allen seit 2017 ausgegebenen Ausweisen aktiviert (bei vielen älteren auch). Zweitens kann man seit März bequem am Smartphone einen PIN-Rücksetzbrief bestellen. Drittens ist das Registrieren oder Einloggen im Netz mit dem E-Perso nicht komplizierter als mit den vielen anderen Zwei-Faktor-Techniken, wenn man sich einmal reingefuchst hat: AusweisApp2 starten, Ausweis ans Handy halten, PIN eingeben, fertig.
Bequemer als Videoident ist der E-Perso, weil man sich damit sekundenschnell online ausweist, statt minutenlang mit dem Ausweis vor der Kamera herumzuwedeln. Dass der E-Perso höchsten Sicherheits- und Datenschutzansprüchen genügt, steht sowieso außer Frage. Erst vor Kurzem bestätigten das bei einer Anhörung im Bundestag alle Experten reihum.
All das heißt nicht, dass es nichts zu tun gibt: Die Bundesregierung muss den E-Perso vernünftig bewerben – ein paar Plakate in Bürgerämtern reichen nicht. Sie muss die Ausweisfunktion endlich in Smartphones integrieren, was sie eigentlich Ende 2020 schon tun wollte. Und sie muss die Integration für Anbieter billiger machen, damit es mehr Anwendungsfälle auch im privaten Sektor gibt.
Die alte Leier, der E-Perso sei zu kompliziert, stimmt schon länger nicht mehr. Und sie darf nicht zur selbsterfüllenden Prophezeiung werden. Das Aus für Videoident wäre vielleicht genau der Schubs, den der E-Perso noch braucht. Dann gäbe es endlich auch in Deutschland eine breit genutzte, sichere digitale Identität.
(cwo)