Kommentar: Natürlich spart ein EU-Großprojekt mal wieder an der falschen Stelle
Bei der European Digital Identity müssen Themen wie Sicherheit und Datenschutz in einem EU-Großprojekt schon wieder hinten anstehen, kritisiert Janis König.
(Bild: Arnont.tp/Shutterstock.com)
- Janis König
Das EUDI-Wallet – EUDI für European Digital Identity, nicht zu verwechseln mit EUid wie European Unified Identity – wird in Kooperation vom BSI und SPRIND, der Bundesagentur für Sprunginnovationen, entwickelt. Man habe sich auf ein Architekturkonzept geeinigt, das alle Ansprüche erfülle, so die Projektpartner: Kosten, "europäische Lösung", Attraktivität für Drittdienstleister und auch Sicherheit und Datenschutz sollen wichtig gewesen sein! Betrachtet man aber die ausgewählte "Architekturvariante C", merkt man schnell, dass zwar externe Expertise eingebunden wurde, aber nach intensiver Abwägung Sicherheit und Datenschutz als weniger wichtig eingeschätzt wurden. Anders lässt sich jedenfalls nicht das "Cryptographers’ Feedback" lesen oder der durch epicenter.works initiierte offene Brief von CSOs und Co. zur eIDAS-Verordnung, die die elektronischen Identitäten regelt (beides findet sich hier).
Im Kern dreht sich die Kritik darum, dass das Architektur-Referenz-Framework (ARF) keine Abstreitbarkeit vorsieht und eine Verknüpfbarkeit der Identitäten nicht verhindert. Das ist insofern besonders spannend, als in der Risikoanalyse, auf deren Basis die Einschätzung geschrieben wurde, beides zu beachtende Punkte waren. Im Nachhinein argumentieren die Verantwortlichen, dass die Punkte entweder bisher keine Relevanz hatten (beispielsweise beim ePA), oder verweisen darauf, dass es dazu noch keinen Standard und lediglich akademische Implementierungen von Systemen gebe, welche diese Anforderungen erfüllen.
Mal wieder eine gute Idee verpfuscht
Nur hat die im Personalausweis hinterlegte elektronische Identität eID eine deutlich geringere Benutzung erfahren, als es mit dem EUDI-Wallet das Ziel ist. Insbesondere wird die eID nahezu ausschließlich für behördliche Vorgänge genutzt, wohingegen das EUDI-Wallet auch für nicht staatliche Verfahren offen sein soll. Damit gewinnt die Abstreitbarkeit enorm an Relevanz, die Nichtverknüpfbarkeit ohnehin. Und anstatt nun in voller Konsequenz das Projekt zu verlängern und die akademischen Verfahren auszuforschen und umzusetzen, wird das Ganze lieber husch, husch vorangetrieben.
Und damit werden die beiden Kernpunkte, die für die Datensouveränität der Bürgerinnen und Bürger essenziell sind, (mit Bauchschmerzen) vom Tisch gewischt. Es können beliebig Identitäten miteinander assoziiert werden (Regulatorik soll’s regeln!) und Datensätze über Transaktionen bleiben auf alle Ewigkeiten mit der jeweiligen Identität verknüpft.
Per se ist, wie auch bei ePA, E-Rezept et cetera, eine EUDI keine schlechte Idee. Aber anstatt bei einem Projekt, bei dem die Sicherheit so essenziell wichtig ist, diese auch entsprechend zu priorisieren, setzt man lieber auf Althergebrachtes, damit man, husch, husch, bald fertig ist. Digitalisierung first – Bedenken second. Bleibt nur zu hoffen, dass keine Sicherheitslücke und kein Angriff die irgendwann einmal ausgegebenen Identitäten sämtlich gefährden oder gar kompromittieren werden, wie es schon bei anderen ambitionierten digitalen Identitätsprojekten passiert ist.
Unabhängigkeit? Fehlanzeige
Beruhigend wirkt auch nicht gerade, dass Beteiligte in EUDI-Führungspositionen vonseiten der SPRIND mit genau den Firmen verbandelt sind, die am Ende auf Basis dieses "offenen" Systems Produkte aufbauen wollen. Zwar wird die Verstrickung damit begründet, dass man ja die Freiheit haben möchte, mit Branchenexperten zu kooperieren. Das ist so weit richtig und wichtig. Wenn aber die EUDI-Projektleitung seitens SPRIND vom Branchenexperten entsandt wird, statt dass dieser beratend tätig ist, bleibt ein Geschmäckle.
(pst)
