Experten warnen Bundestag vor universeller Online-Ausweis-App
Elektronische Ausweis-Apps seien fette Beute für Identitätsdiebstahl, warnen Bürgerrechtler. Da helfen auch Blockchains nicht. Der Bitkom hofft auf Ökosysteme.
Bürger sollen sich gegenüber Dritten mit amtlichen Ausweisen digital ausweisen können, wünscht die Bundesregierung seit zwölf Jahren. Der Erfolg lässt auf sich warten. Der "nächste große und notwendige Schritt für die Gesamtdigitalisierung unseres Landes" wäre ein erfolgreiches Ökosystem für elektronische Identitäten (eID) mit Online-Ausweisfunktion, meint Rebekka Weiß vom Digitalverband Bitkom. Dem hält der Chaos Computer Club (CCC) entgegen, dass Wallet-Apps die Sicherheit von Smartphones verletzten.
Die Bundesregierung solle daher ihr eID-Projekt beenden, empfahl CCC-Vertreter Carl Fabian Lüpke (alias Flüpke) am Montag bei einer Anhörung im Bundestag. Der Einbau eines Sicherheitschips (Smart Element), auf dem die Smart-eID-Lösung für den Online-Ausweis auf dem Handy aufsetzt, könne zwar Abhilfe schaffen. Diese sei aber "nur in den wenigsten Modellen verfügbar".
Schutz vor dem Abgreifen sensibler Daten dürfe jedoch keine Geldfrage sein, führte Flüpke aus. Mit den Empfangsdaten gehe bei einer Universal-Wallet zudem eine "staatlich signierte Ausweiskopie" einher. Diese könne später bei einem Datendiebstahl kopiert werden – die Kopie würde dann weiterhin als echt erkannt. Dies mache die Daten noch wertvoller und schaffe Anreize, "sie zu sammeln und zu stehlen". Letztlich drohe "profilübergreifendes Tracking",
Kelber warnt vor Verhaltensprofilen
Ähnliche Bedenken brachte Bundesdatenschutzbeauftragter Ulrich Kelber vor. Der Bedarf für sichere Identifizierung ist ihm zufolge zwar gewachsen. Sie sei auch prinzipiell mit dem Datenschutz vereinbar und dem analogen Ausweisvorzeigen sogar vorzuziehen, "wenn sie gut gemacht ist". Zu beachten sei aber, dass das Recht auf informationelle Selbstbestimmung immer im Spannungsfeld zu staatlicher und privater Identifizierung stehe, die zum Erstellen von Verhaltens- und Bewegungsprofilen missbraucht werden könnte.
Wallets als Anhäufung verschiedener Attribute kritisierte Kelber als "neues Einfallstor für die Online-Profilbildung". Zudem könnte es zu "Überidentifizierung" kommen, wenn parallel pseudonyme Nutzungen reduziert würden. Letztlich drohe eine "neue Qualität des Identitätsdiebstahls, wenn ein hohes Schutzniveau nicht erreicht" werde. Bei der eIDAS-Reform sei daher besonders darauf zu achten, dass diese "nicht mit einheitlichen Personenkennzeichen verknüpft" werde. Bei einschlägigen Wallet-Pilotversuchen sei seine Behörde nicht eingebunden – trotz Beratungspflicht. Notfalls müssten Datenschutz und IT-Sicherheit nachträglich eingebaut werden.
EU-Kommission arbeitet an EuID
Das Projekt digitaler Identitäten sei im Umbruch, konstatierte Isabel Skierka, Programmleiterin an der European School of Management and Technology (ESMT) in Berlin. So plane die EU-Kommission mit der EuID als Wallet-Lösung fürs Smartphone einen Ansatz, über den die Bürger zusätzlich Dokument wie den Impfausweis oder Bibliothekspässe verwalten könnten. Bündelung mit der elektronischen Steuererklärung (Elster), Bürgerkonten oder der Gesundheitskarte böten sich an.
Skierka verwies auf große Technik-Plattformen wie Apple und Google, die in ihre bereits bestehenden Wallets auch staatliche Identitäten wie Führerscheine integrieren. Diese Konzerne verfügten teils über marktbeherrschende Stellungen, sodass vom Staat propagierte Lösungen zumindest wettbewerbsfähig sein müssten, gerade bei Nutzerfreundlichkeit und Anwendungsbreite. Über die geplante einschlägige neue eIDAS-Verordnung und den Digital Markets Act (DMA) auf EU-Ebene ließe sich prinzipiell "Kooperation" mit diesen Anbietern erzwingen.
Erster deutscher Anlauf scheiterte
Um das Henne-Ei-Problem bei der mittlerweile zwölf Jahre alten eID im Personalausweis zu lösen, empfiehlt der Bitkom, "alle Ebenen zusammenzuführen" und die "Stamm-ID" aus dem Hoheitsdokument beispielsweise mit einem digitalen Führerscheinnachweis zusammenzubringen. Weitgehend einig waren sich die Experten, dass es mit der eID im Personalausweis schon ein gutes und sicheres Angebot gebe, das aber noch wenig genutzt werde.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Hinter universellen Wallet-Anwendungen mit eID steht oft das Konzept der "selbstbestimmten Identitäten" alias "Self Sovereign Identity" (SSI). Die alte Bundesregierung setzte mit dem Schnellstart für eine "ID Wallet" mit digitalem Führerschein ebenfalls auf dieses Verfahren. Sie scheiterte damit aber krachend und verspielte Vertrauen: Sicherheitsforscher fanden heraus, dass kein Schutz gegen das Abgreifen der Personendaten durch Angreifer implementiert war. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte die Bundesregierung sogar schon vor der Veröffentlichung der App auf eine Sicherheitslücke aufmerksam gemacht.
Usability ungenĂĽgend, Blockchain nutzlos
Der aktuellen AusweisApp2 mangele es noch an Nutzerfreundlichkeit, kritisierte Christian Kahlo, Experte für digitale Identitäten aus der netzpolitischen Zivilgesellschaft. Vor allem die Kommunikation rund um das einstige Prestigeprojekt der Regierung sei vernachlässigt, bestehende Verfahren nicht adaptiert worden. Der Fokus auf den Ausweis, das Handy und SSI sei zu eng. Kahlo empfahl Sicherheitsfunktionen in SIM-Karten und Wearables.
Die mit SSI in der Regel verknüpfte Blockchain tat Kahlo als Hype ab, die für die eID "gar keinen Sinn" ergebe. Die eigene Identität in solch komplexen Datenbanken zu verankern oder gar darüber zu verbreiten, sei unerwünscht. Auch laut Flüpke gibt es "keine technische Notwendigkeit" für den Einsatz einer Blockchain.
Zeugnisse bitte kopieren, Ausweise nicht
Befürworter von SSI machten oft kein Unterschied zwischen digitalen Identitäten und "Beglaubigungen" wie Zeugnissen, konstatierte Marian Margraf vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC). Beide Konzepte müssten aber ganz unterschiedlich umgesetzt werden. Bei Online-Bestätigungen "beweise ich nicht, dass ich als Vorlegender diese Person bin", erläuterte der Forscher. Beglaubigungen könnten und sollten kopiert werden, eine eID gerade nicht, um Identitätsdiebstahl zu verhindern. Margraf riet ferner dazu, eine staatliche Lösung für Online-Ausweise "von Anfang an als Open-Source-Projekt" zu machen und schon die Konzepte mit der Community zu diskutieren.
Die Referenzsoftware sollte als Open Source verfügbar sein, empfahl auch Flüpke. Zudem gelte es, die Ausweis-App "aufzuhübschen" und die zum Einbinden der eID benötigten Berechtigungszertifikate zu vergünstigen. Die ausgebende Bundesdruckerei habe hier derzeit "Monopolstellung".
Tausende Euro fĂĽr ein D-Trust-Zertifikat
Kim Nguyen vom Zertifikatsdienstleister der Bundesdruckerei, D-Trust, wollte lieber von einem marktoffenen Modell mit derzeit nur einem Teilnehmer sprechen. Die Preise für die Berechtigungen seien "marktüblich". Sie setzten sich aus einer initialen Gebühr von "ein paar tausend Euro" und laufenden jährlichen Kosten in ähnlicher Höhe zusammen. Er warb für eine nationale hoheitliche Wallet mit der eID als Kern und offenen Schnittstellen, um Apple und Google Paroli zu bieten.
Für eine "Freinutzung" der Zertifikate für den öffentlichen Sektor und die Wirtschaft sprach sich Peter Parycek vom Fraunhofer-Institut für offene Kommunikationssysteme (Fokus) aus. Niemand habe etwas von hochsicheren Elementen, die nicht breit verwendet würden. Die aktuellen Ausweis-App mit NFC-Schnittstelle, die einen zweiten Authentifizierungsfaktor ermöglicht, sei eine tragfähige Lösung. Nun müsse das "Zeitfenster von vielleicht zwei Jahren" ausgefüllt werden, um die Benutzerfreundlichkeit zu erhöhen und mehr Anwendungen verfügbar zu machen. Eine einzelne eID-Lösung werde es auch über die EU wohl nicht geben, Parycek erwartet wechselseitige Anerkennungen nationaler Systeme.
Weiß vom Bitkom räumte ein, dass das SSI-Konzept nebst Blockchain "noch nicht zu Ende standardisiert" sei. Trotzdem handle es sich grundsätzlich um Technik, "die wir dringend brauchen". Die Wirtschaft brauche mehr als den Personalausweis, da dieser bestimmte Informationen nicht enthalte.
(ds)