ID WalletKopfsprung mit Anlauf ins leere Becken

Vor möglichen Problemen der ID Wallet App warnten IT-Expert:innen des Bundes bereits vor Monaten. Verkehrsminister Scheuer und Kanzleramts-Staatsministerin Bär launchten die kaputte App dennoch. Ein Scheitern mit Ansage – wenige Tage vor der Bundestagswahl.

Andreas Scheuer und Doro Bär
Stellten eine kaputte App vor: Minister Andreas Scheuer und Dorothee Bär von der CSU. (Archivbild) – Alle Rechte vorbehalten IMAGO / POP-EYE

Der Start erfolgt mit großer Fanfare. „Die Technik steht – jetzt geht es in die Anwendungen“, sagt Minister Andreas Scheuer beim Start der „ID Wallet“-App im September. Dem CSU-Minister und seiner Parteikollegin Dorothee Bär kommt die freudige Verkündigung wenige Tage vor der Bundestagswahl wohl gerade recht. Smart, bürger:innenfreundlich und sicher soll die neue App sein – und ermöglichen, Führerschein und später auch andere Identitätsdokumente auf dem Handy vorzuzeigen. Scheuer, der in den vergangenen Jahren für gescheiterte Vorhaben oft mediale Prügel einsteckte, hofft wohl auf positive Schlagzeilen.

Doch das Projekt scheitert krachend: Binnen weniger Tage weisen IT-Sicherheitsexpert:innen massive technische Probleme nach. Hackerin Lilith Wittmann ätzt: „Mit der ID Wallet kannst Du alles und jeder sein, außer Du musst Dich ausweisen.“ Denn jeder mit ein bisschen technischem Know-How konnte Identitäten in der App abfragen. Nur eine Woche nach dem Start zieht das Ministerium die Reißleine, depubliziert die App und will sie reparieren.

Durch eine Informationsfreiheitsanfrage kommt nun raus: Die grundlegenden Sicherheitsprobleme der App waren dem Bundesinnenministerium schon lange bekannt. In einem Schreiben warnt das dem Ministerium unterstellte Bundesamt für Sicherheit in der Informationstechnik im Juni sogar ausdrücklich vor der Verwendung der App. Warum sie trotzdem an den Start ging, bleibt unklar.

Stirnrunzeln über Blockchain-Verwendung

Die Expert:innen des BSI testen eine Pilotversion der App, die für Hotel-Check-ins gedacht ist. Dort tauchen einige der grundsätzlichen Probleme auf, die später für Ärger sorgen: Etwa führt der Einsatz von Blockchain-Technologie zu Stirnrunzeln. Deren Verwendung steigere „die Komplexität und damit einhergehend die grundsätzliche Anfälligkeit für Sicherheitslücken des gesamten Systems bei unklarem Nutzen“, heißt es im Bericht. Für den Betrieb des Blockchain-Netzwerkes und den Identätsnachweis würden kryptographische Protokolle mit teils experimentellem Charakter verwendet, die nicht standardisiert seien und die das BSI nicht empfiehlt.

Auch für IT-Expertin Wittmann ist klar, dass die App auf einer „absolut ungeeigneten technologischen Basis gebaut“ wurde und „konzeptionell kaputt“ sei. Warum die App Blockchain verwendet, kann auf kurzfristige Anfrage von netzpolitik.org beim Bundesverkehrsministerium niemand erklären.

Doch nicht nur die Blockchain der digitalen Ausweis-App steht in der Kritik. Weil es keine Überprüfung der Endpunkte gibt, welche – wie ein Hotel oder ein Autoverleiher – eine Identität abrufen, können potentielle Angreifer einen solchen Endpunkt erstellen und dann an die Identitätsdaten von App-Benutzer:innen gelangen, warnt die vom BSI beauftragte Firma, welche die App getestet hat.

Benutzer:innen könnten daher nicht sicher beurteilen, ob sie „mit der richtigen Stelle kommunizieren“, heißt es in dem ausführlichen Bericht. Ein Punkt, der auch von Wittmann kritisiert wird. Es sei für jemanden, der die App nutzt, „absolut nicht nachvollziehbar, wem er da gerade seine verifizierten Daten gegeben hat.“

Vor Lachen fast vom Stuhl gefallen

Wittmann sagt gegenüber netzpolitik.org, sie sei „vor Lachen fast vom Stuhl gefallen“, als sie die nun öffentliche Einschätzung des BSI gelesen habe. Dabei sind Millionenausgaben wenig lustig für ein Projekt, dessen Mängel den Behörden lange bekannt seien. Die Hackerin hofft, dass der gescheiterte ID-Wallet-Ansatz damit „endgültig für die Verwaltung tot ist“.

Wir haben beim Verkehrsministerium und beim Bundeskanzleramt nachgefragt, ob man dort von den Einschätzungen des BSI wusste. Doch die Verantwortlichen zieren sich. Das Verkehrsministerium sagt, mit einer Antwort sei nicht vor Montag zu rechnen. Auch verweist es darauf, dass die Verantwortung für das Projekt beim Bundeskanzleramt liege. Das Bundeskanzleramt antwortet bislang nicht auf die Anfrage.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

10 Ergänzungen

  1. De-Mail ist noch nicht tot, Luca ist noch nicht tot, das beA ist noch nicht tot. Die politischen Entscheider haben keinerlei Notwendigkeit, sich beim Geldausgeben von Realitaeten beeinflussen zu lassen.

    Das einzige, was ID-Wallet zum Verhaengnis werden kann: die FDP moechte das Geld an die eigenen Kumpels verschieben. Aber vielleicht kennt man sich ja.

    1. Ich gestehe etwas verblüfft gewesen zu sein als die Menschen in der Schlange vor mir so häufig die Luca App rausholten. Und dann, wiederum, egal. Der WHO Pass tat’s auch und für die Kinder mußte ich eh noch die Test Resultate aus dem Schulhefter holen. Schrug.

      1. Leider sind viele kommunale Einrichtungen, wie unser grad frisch renoviertes Sole-Sauna-Fitness-Erlebnisgroßbad, nur noch exklusiv mit LUCA zu erreichen. Für die Leute ohne „Smart“phone gib es die LUCA-Schlüsselanhänger an der Kasse – juhu.
        Immerhin ist das ID Wallet nicht auch gleich Pflicht geworden bei Verkehrskontrollen.

  2. Eine App für Hotel-Check-ins. Finde den Fehler.

    Weshalb haben wir eigentlich die DDR-Marotte übernommen, Bürger auf Schritt und Tritt zu registrieren? Weshalb muss der Staat wissen, wer wann mit wem in welchem Hotel geschlafen hat?

    Statt eine App für eine automatische Ausweiskontrolle im Hotel zu entwickeln, sollte man lieber die Ausweispflicht bei Übernachtungen abschaffen.

    Das ginge ganz ohne Sicherheitslücken.

    1. Die entsprechenden Regelungen stammen aus der NS-Zeit und wurde nahtlos von der BRD fortgefuehrt.

      Ist es Dir nicht peinlich, so einen Muell zu posten?

      Ist es NP nicht peinlich, so einen Muell aktiv zuzulassen?

      1. In der DDR wurde massenhaft überwacht und massiv in die Privatsphäre eingedrungen. Deswegen finde ich den (zugespitzten) Vergleich jetzt nicht so weit hergeholt. Dass das Gesetz tatsächlich aus der Nazidiktatur stammt ist ein interessanter Fakt, aber die Aufregung verstehe ich jetzt nicht.

    2. Das ist ein sehr guter Punkt. So manch eine technische „Lösung“ löst gar kein Problem, sondern schafft eines!

      +1 für die Abschaffung dieses Stasi-artigen Unfugs.

  3. Wie kommts nur, dass immer, wenn FDP und Hotellerie in einem Sachverhalt auftauchen, bei mir ein Name mitleuchtet: Baron von Finck? Von wegen Kumpels …

Ergänzung an Boren Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.