Interview zu ID WalletKonzeptionell kaputt und ein riesiger Rückschritt

Die App ID Wallet verschwand nach wenigen Tagen wieder aus den App-Stores. Statt eines digitalen Führerscheins gab es Sicherheitsprobleme. Ein Interview mit der Sicherheitsforscherin Lilith Wittmann über konzeptionelle Probleme, ungeeignete Blockchains und Dankbarkeit.

Ein Führerschein in einer Jeanstasche
Es bleibt erstmal beim Plaste-Kärtchen: der nicht-digitale Führerschein. Vereinfachte Pixabay Lizenz andibreit

Die App „ID Wallet“ sollte unter anderem den digitalen Führerschein für einfacheres Carsharing bringen, kurz nach dem Start war sie aber bereits wieder aus den App-Stores verschwunden. Zuvor hatten IT-Sicherheitsexpert:innen wie Lilith Wittmann auf Twitter auf Probleme hingewiesen: eine konzeptionell kaputte Blockchain-Technologie, DNS-Server mit Zonentransfer und Probleme bei der Einrichtung.

Doch was heißt das eigentlich und wie kaputt ist das alles wirklich? Immerhin soll die App bald wieder verfügbar sein. Wir haben Lilith Wittmann dazu interviewt.

netzpolitik.org: Was ist ID Wallet und wofür braucht man das?

Lilith Wittmann: ID Wallet ist eine App, mit der man Ausweise in einer Smartphone-App importieren und sich danach gegenüber anderen identifizieren kann. Das soll zum Beispiel für den Personalausweis oder Führerschein gehen und für ganz viele andere Ausweise in der Zukunft. Dadurch soll es genauso einfach sein, seine Identität mit einem Smartphone zu bestätigen wie ein Check-In mit QR-Code – sowohl im analogen wie im digitalen Raum.

netzpolitik.org: Wer hat sich das ausgedacht?

Lilith Wittmann: Das war ein Projekt, an dem verschiedene Ministerien beteiligt waren, zum Beispiel das Bundeskanzlerinnenamt und das Verkehrsministerium. Es ist aus dem BMWi-Projekt „Schaufenster Sichere Digitale Identitäten“ hervorgegangen. Parallel zum dem Projekt wollte die Bundesregierung bereits Anwendungsfälle für die eID veröffentlichen. Deswegen entschied man sich dazu, parallel das Projekt „Digitale Identitäten“ zu initieren. Dieses soll primär die Möglichkeit zu Check-Ins in Hotels mithilfe der elektronischen ID ermöglichen. Die Digital-Enabling GmbH, die zur esatus AG gehört, hat das dann kurz vor der Wahl als ID Wallet rausgebracht.

netzpolitik.org: Aber kurz nach der Veröffentlichung war ID Wallet schon wieder weg. Was ist an ID Wallet alles kaputt?

Lilith Wittmann: Das teilt sich grob in drei Bereiche: Das eine waren grundlegende Infrastrukturprobleme – ein schlecht konfigurierter Domain-Name-Server, was eine Gefahr darstellte. Es sieht so aus, als hätten sie ID Wallet offline genommen, nachdem dieses Problem öffentlich wurde.

Gesprächige Domain-Name-Server und Subdomain-Übernahmen

netzpolitik.org: Was ist das Problem mit dem DNS-Server und was macht der überhaupt?

Lilith Wittmann: Im Internet gibt es ein Namenssystem: Wenn ich auf google.de gehe, dann ist das der Name. Daraus muss ich eine Adresse machen, unter der ich den Server erreichen kann. Dafür ist der Domain-Name-Server zuständig. Man schickt einen Namen oder eine Adresse im Internet, der DNS-Server sagt dann: „Dieser Server, jene IP-Adresse ist zuständig – frag da nach Informationen.“ Die DNS-Server von Digital Enabling haben einen Zonentransfer zugelassen: Wenn ein Zonentransfer angeschaltet ist, dann bedeutet das, dass ich alle Daten, die in einem DNS-Server drinstehen, auslesen kann. Ich bekomme also alles, was an Namenseinträgen auf dem Server vorhanden ist.

Das wird kritisch, wenn da Zonen drinstehen, die auf einen Cloud-Anbieter verweisen. Wenn ich eine Domain habe, die zeigt auf den Cloud-Service Azure und die wird aber bei Azure gar nicht mehr benutzt, dann kann die sich bei Azure jeder nehmen und einen eigenen Service betreiben.

Wenn es also eine Subdomain wie personalausweis.digital-enabling.de gibt und die jeder übernehmen könnte, würden die Nutzer:innen denken: Das ist eine Seite, die zu Digital Enabling gehört, der kann ich vertrauen. Aber weil die auf den Cloudanbieter verwiesen hat, konnte sich die Subdomain jeder schnappen und da etwas machen.

Das ist kritisch, wenn das in einem Domain-Name-Server drinsteht. Wenn der das dann auch noch proaktiv verrät, ist das richtig kritisch. Dann kann ich als Angreiferin leicht schauen, welche Domains ich übernehmen kann. Das haben auch Personen bei ID Wallet ganz praktisch demonstriert.

netzpolitik.org: Das war eines der Probleme. Welche gab es noch?

Lilith Wittmann: Das zweite war ein Lastproblem, die Server waren von den Nutzer:innen überfordert. Das dritte Problem: Anscheinend hat niemand nachgedacht, zumindest kann ich es mir anders nicht erklären. Wenn ich jemandem meine digitale Identität gebe, kann ich bei ID Wallet nicht sehen, wer das gerade nachfragt. Wenn mir auf der Straße jemand in normalen Klamotten sagt: „Ich bin Polizist, zeig mal deinen Ausweis!“, würde ich zuerst nach dem Dienstausweis fragen, bevor ich irgendetwas zeige oder sage. Dieser Mechanismus von „Wer ist das eigentlich, der nach meiner Identität fragt?“, der war überhaupt nicht implementiert.

Bei ID Wallet hat man die erste Version des sogenannten DIDComm-Protokolls genutzt. Das grundlegende Problem ist, dass das nur ganz grob ein Protokoll beschreibt und sich nicht so richtig auf den Anwendungsfall für digitale Identitäten bezieht. Auf viele Dinge legt das DIDComm-Protokoll nicht so viel Wert. Eines davon ist dieser initiale Vertrauensaufbau. Da fehlt, dass sich die Gegenstelle authentifiziert. Man ging also davon aus, dass irgendwo im Internet ein QR-Code ist und der sagt: „Hallo, ich bin die Polizei.“

Die Nutzer:innen können nicht nachprüfen, wer da wirklich fragt. Man könnte also einfach die persönlichen Daten abziehen. Und wenn die einmal weg sind, ist es zu spät, weil die in einer Blockchain signiert abgelegt sind. Da ist für immer und ewig klar, dass das echte Daten sind. Das lässt sich nicht mehr rauslöschen.

Blockchain: Cool, modern – und fehl am Platz

netzpolitik.org: Warum hat man dann Blockchains genutzt?

Lilith Wittmann: Für mich gibt es keine sinnvolle Begründung, so ein Projekt mit einer Blockchain umzusetzen. Außer, jemand sagt: „Das ist super cool und modern und wir haben die richtigen Kontakte.“ Das wirkt wie ein riesiger Rückschritt in der Debatte der letzten zehn Jahre, wie digitale Identitäten sicher und sinnvoll funktionieren könnten.

Bei der benutzten Distributed-Ledger-Technologie gibt es eine Datenbank, bei der sich der letzte Eintrag auf den vorherigen Eintrag bezieht und signiert ist. Diese Daten sind verteilt – „distributed“. Es gibt mehrere Datenbank-Server, die an verschiedenen Orten stehen, und die müssen sich über einen Konsens-Algorithmus darüber einig werden, was der nächste Eintrag in der Datenbank ist und wie der signiert ist.

Diese Datenbank soll dann bei verschiedenen Unternehmen repliziert stehen und nicht nur bei staatlichen Stellen. Warum diese Daten bei privatwirtschaftlichen Unternehmen landen werden, erschließt sich mir nicht. Digitale Identitäten werden ja eigentlich vom Staat ausgestellt.

netzpolitik.org: Wenn es so viele Probleme gibt: Kann man das noch fixen oder sollte man neu anfangen?

Lilith Wittmann: Es gibt konzeptionelle Probleme. Es gibt aber auch eine Firma, die einfachste Infrastrukturdinge nicht hinbekommt. Beides deutet für mich darauf hin, dass es sehr schwierig wird, so ein Projekt sinnvoll umzusetzen. Ich glaube auch, dass es nicht der richtige Weg ist, die Daten in eine Blockchain zu schreiben. Hoffentlich erkennt man bald, dass man das Projekt am besten einfach einstellen sollte.

netzpolitik.org: Ist ein digitaler Ausweis denn immer eine schlechte Idee oder ginge das auch richtig?

Lilith Wittmann: Ich glaube, dass das grundsätzlich geht, und man hat auch schon viele Erfahrungen damit gemacht. Dabei hat man auch gelernt, dass Kryptografie in Software nicht ausreicht, sondern dass sie in Hardware gegossen sein muss, so wie wir das beim neuen Personalausweis haben. Über den haben wir eigentlich seit zehn Jahren eine digitale Identität. Wir können sie nur leider nicht so gut nutzen. Das hat vor allem damit zu tun, dass sie nicht zugänglich genug ist.

Wir könnten neue Personalausweise relativ einfach für digitale Identifizierung online benutzen, es müsste nur von der Bundesdruckerei her einfacher werden, sich als Software-Hersteller in dieses Ökosystem einzubringen. Das ist momentan unglaublich teuer und komplex und nur wenige Monopolisten haben da ihre Hände drauf.

Es ist noch viel Arbeit übrig

netzpolitik.org: Wie waren die Reaktionen als du und andere auf Probleme bei ID Wallet hingewiesen haben?

Lilith Wittmann: Danke gesagt hat von den Projektverantwortlichen offiziell natürlich noch niemand. Mir ist zugetragen worden, dass man von einer „Zusammenrottung auf Twitter“ redet, die das Projekt und die Firma zerstören will. Ich glaube, dass wir eher damit helfen, dass wir die Probleme gleich in den ersten Tagen aufzeigen. Lobenswert ist natürlich, dass sie das nach den Hinweisen so schnell offline genommen haben.

Es ist also gelaufen wie immer. Ich habe noch keine Anzeige im Briefkasten wie bei der CDU-Connect-App, aber das dauert ja auch ein paar Monate. Ich hoffe einfach, dass das diesmal nicht passiert.

netzpolitik.org: Warum tust du dir das eigentlich noch in deiner Freizeit an?

Lilith Wittmann: Die positive Rückmeldung aus der Zivilgesellschaft treibt mich viel mehr an als wenn sich jemand aus einem Ministerium oder einer Firma bei mir bedankt.

Ich habe auch das Gefühl, wenn man da nicht raufschaut, macht es erstmal niemand. Und der Prozess, da reinzuschauen, macht ja auch Spaß. Es ist eher die Kommunikation danach, die stressig ist. Ich finde es wichtig, das zu machen – auch wenn es nicht auf so viel Gegenliebe stößt. Mittlerweile treibt mich das eher an, weil ich dann weiß: Da ist noch ganz viel Arbeit übrig.

19 Ergänzungen

  1. Liliths Aussage, dass die persoenlichen Daten der Nutzer auf einer Blockchain abgespeichert werden, ist faktisch falsch. Bei der eingesetzten Technologie handelt es sich um Hyperledger Indy und diese Blockchain wird lediglich benutzt, um:

    1. Die Identitaeten im Form von asymmetrischen Schluesselpaaren,
    2. Die Struktur der Credentials (Felder des Datentypen „Fuehrerschein“ zum Beispiel) und
    3. Links zum Kommunikationscontroller der Identitaet abzuspeichern.

    Dabei handelt es sich lediglich um technische Daten. Hier findet man eine Auflistung der verschiedenen Transaktionstypen auf der Chain: https://hyperledger-indy.readthedocs.io/projects/node/en/latest/transactions.html#nym

    Die Credentials der Personen werden NIEMALS on chain abgespeichert. Diese werden einfach lokal verwendet, bzw liegt es halt dann in Kontrolle der Wallet App. Siehe dazu auch den Standard der W3C Verifiable Credentials (VC) und deren interner Verweis auf eine oeffentliche DID: https://www.w3.org/TR/vc-data-model/.

    Bei Fragen gerne eine E-Mail an mich :)

  2. Vielen Dank an Lilith Wittmann für eine exzellente Arbeit, die offensichtlich von jenen, die die Arbeit eigentlich machen sollten nicht geleistet wird, oder nicht geleistet werden kann. Staatliche digitale Projekte, die mit dem sensibelsten was wir besitzen, nämlich unserer (digitalen) Identität immer wieder krachende Bruchlandungen hinlegen. Wie lang ist die Liste mittlerweile schon? Wäre mal interessant, die Historie staatlicher digitaler Pleiten, Pech und Pannen seit der digitalen Erkenntniswende von 2013 zu sehen.

    Die prinzipielle Frage ist: Ist hier „mad or bad“ am Werk? Also ist man schlich zu dumm/unfähig oder gar hinterlistig/bösartig?

    Zuerst wird der Staat kaputt gespart, mit dem Soundtrack des Neo-Liberalismus (die Privatwirtschaft kann es effektiver), der von einem analogen Platte kommt, die einen Sprung hat. Dann werden mangelnde Kompetenzen beklagt („der Staat kann es nicht mehr“). Schließlich wird planmäßig privatisiert, und weitere Kompetenzen können „friendly outgesourct“ werden.

    Wenn überteuerte Aufträge von Amigos an Amigo-Startups verteilt werden können, dann kann das Mantra angestimmt werden, „wir bringen die Digitalisierung voran“. „Freunderl-Wirtschaft“ nennen es die Wiener, gibt es aber auch in Berlin.

    Ein Teilaspekt innovativer Digitalisierung ist, dass Ausbeutung von Betroffenen nicht oder kaum wahrgenommen werden kann. Es fließt kein Blut mehr, wenn die „Wallet“ geraubt wird, wobei das analoge Individuum nicht soweit geschwächt werden darf, dass es die Datengenerierung einstellt.

  3. Meines Wissens werden bei SSI nicht die Credentials selbst, sondern lediglich die DID Documents der Aussteller (in dem sich die zur Signatur des Verifiable Credentials genutzten Schlüssel befinden) auf einem Distributed Ledger wie einer Blockchain abgespeichert.

    Das ändert nichts daran, dass einmal abgegriffene Credentials quasi mit einem „Echtheits-Gütesiegel“ auf dem Schwarzmarkt gehandelt werden können. Zumindest können die so abgegriffenen Daten dann aber nicht ohne Weiteres wiederverwendet werden, da Verifiable Credentials nie als solche versendet werden, sondern aus ihnen eine Verifiable Presentation abgeleitet wird (mithilfe eines privaten Schlüssels des Credential-Inhabers) – in welcher sich dann eine auf die Akzeptanzstelle abgestimmte challenge & domain (und ggf. nonce) befindet, wodurch Missbrauch erschwert wird.

    Ich weiß allerdings nicht, wie das jetzt konkret bei der ID Wallet umgesetzt wurde, da mein Wissen auf den Spezifikationen der W3C und den Aries RFCs basiert, und ich mich bisher nicht näher mit der ID Wallet selbst beschäftigt habe. Weiß da jemand mehr drüber?

    Nichtsdestotrotz hat #ScheuerAndi mal wieder Kompetenz erwiesen, indem er kurz vor der Wahl irgendwas durchdrücken musste, und damit dem Ruf des noch relativ jungen und sich in Entwicklung befindenden Identitätsparadigma SSI generell erstmal geschadet hat.
    SSI klingt nach einem vielversprechenden alternativen Ansatz für digitale Identitäten – nichtsdestotrotz bevorzuge ich überall analoge Alternativen, wo es nur geht.
    Wo keine Daten anfallen, können auch keine Daten missbraucht werden :)

  4. Der Artikel strotzt leider voller Fehler. Einer Lilith Wittmann zu vertrauen, die sich 2 Stunden mit dem Thema beschäftigt hat, ist die eine Seite. Aber alle Informationen ungeprüft zu übernehmen, ohne zB jemanden aus der SSI-Community zu befragen ist leider nur schlechter Journalimus.

    1. Auch sogenannte IT-/Tech-„Communities“ haben nicht selten Merkmale sich abgrenzender Glaubensgemeinschaften, die Tendenzen zu Verhärtungen zeigen.

      Kritik an Zweck, Inhalt oder gar der „Community“ selbst wird nicht gerade gerne gesehen. Mit Hingabe wird Bugfixing betrieben, ohne darüber zu reflektieren, ob das Projekt Potential zu Schädlichkeit haben könnte, oder kritikwürdige Partikularinteressen verfolgt.

      Nützliche „Communities“ sind kritikfähig, versuchen Folgeschäden zu vermeiden, sind auf allen Ebenen transparent ,was Interessen anbelangt.

  5. Etablierte Blockchains sind gewaltige energetische Ewigkeits-Lasten. Sie passen überhaupt nicht in eine Zeitenwende der Knappheit nachhaltig sauberer Energie. Wer die Ressource „grüner Strom“ jetzt Blockchains zuordnet, der blockiert die Verwendung für sinnvollere Anwendungen. Wenn Projekte ohne energiefressende Blockchains möglich sind, dann ist es ethisch kaum vertretbar, diese Energie-Ressource dauerhaft zu benötigen.

    Blockchains sollten ohne transparente Energiebilanz nicht implementiert werden dürfen.

    1. Ein vertrauenswürdiges Staatssystem zu schaffen, hat keine dauerhaft ernstzunehmende Alternative. Eine Nummer kleiner wäre ein vertrauenswürdiges Währungssystem. Ansonsten bleibt das Schneeballsystem…

      Aber zum Thema des Artikels: Blockchain für sich ist einfach nur ein Ansatz, mittels einer Datenstruktur Nachvollziehbarkeit von Änderungen oder Zusätzen umzusetzen, eine Art kryptohraphisch abgesicherte Buchhaltungsstruktur, mit Vorteilen und Nachteilen für irgendwelche Anwendungsgebiete. Was die Anwendung betrifft… dumm kann es sein, und Steuergeldverschwendung, eine Beleidigung fast der gesamten Fachwelt, aber nicht notwendigerweise mit großem Aufwand verbunden.

  6. „Diese Datenbank soll dann bei verschiedenen Unternehmen repliziert stehen und nicht nur bei staatlichen Stellen. Warum diese Daten bei privatwirtschaftlichen Unternehmen landen werden, erschließt sich mir nicht. “

    Mir erschließt es sich insofern, als dass es Regierungshandelnden nicht nur darum geht, staatliche digitale Identitäten, sondern umfassendes „Identitätsökosystem“ wollen, dass vor allem auch kommerzielle Nutzung ermöglichen soll. vgl. hierzu https://www.bmi.bund.de/SharedDocs/faqs/Webs/PA/DE/Haeufige-Fragen/11_projekt_digitale_identitaeten/PDI5_Identitaetsoekosystem.html

    „… ein mit hoher Interoperabilität soll ein nutzerfreundliches Ökosystem entstehen, in dem Bürgerinnen und Bürger ihre persönlichen Daten und digitalen Nachweise speichern und bei Bedarf für Online-Dienste von Unternehmen und Behörden verwenden können. “

    Selbstverständlich wird potentiellen Nutzern einfach handhabbare Selbstbestimmung als Möhre vor die Nase gehängt. Ohne *in Aussicht gestellte* Selbstbestimmung wäre der dystopische Charakter des Projekt nicht zu verschleiern. Sicherlich können Nutzer individuelle digitale Identitäten selbstbestimmt erstellen, aber haben sie erst einmal damit angefangen sind sie in einem perfekten Identifizierungssystem für alle Zeiten verankert und verstrickt.

    Die Frage ist, wer hat davon den grösseren Nutzen? Das identifizierbare Individuum oder jene, die eine Identifizierung brauchen oder einfach niederschwellig verlangen?

    Bisher war der Aufwand für eine Identifizierung im kommerziellen Bereich vollständig auf der „Anbieter“-Seite zu bewerkstelligen, verbunden mit hohem Aufwand und entsprechenden Kosten. Das soll sich komplett ändern, und umgedreht werden, und damit werden „Anbieter“ nahezu vollständig entlastet, sprich: Es ist minimiert das Risiko auf dieser Seite, spart erheblich Kosten der Identifizierung, minimiert Folgeschäden, steigert Profite nicht nur ein wenig.

    Durch euphemistisch bezeichnete „Selbstbestimmung“ auf Nutzerseite, werden Risiken nahezu vollständig auf die Nutzerseite verlagert. Damit verbundene Risiken sind Laien-Nutzern kaum bewusst, und sollen auch nicht thematisiert werden. Stattdessen wird die Marketing-Hymne von „einfachster Bedienung“ angestimmt. Auf Nutzerseite schlagen alle nur denkbaren IT-Risiken auf, die sich im Zusammenhang mit mobilen Endgeräten nur denken lassen. Für Bedienungsfehler und Folgeschäden aus mangelndem Verständnis haftet der Nutzer voll.

    Mit in Aussicht gestellter Bequemlichkeit werden ID-Nutzer in ein umfassendes „Ökosystem“ gelockt, aus dem sie nicht mehr herauskommen und alle Risiken tragen.

    Auf kommerzieller Seite werden Risiken minimiert und Profite maximiert. Der Staat ist Initiator und Promoter und Ausroller des „Identitätsökosystems“.

    Tracking von SSIs kann ebenso nicht verhindert werden, wie Tracking jetzt schon bei anonymen Web-Surfen von Laien weder bemerkt noch verhindert werden kann. Scoring ist die nächste Begierde, die perfekt zu IDs passt und folgen wird.

    1. „Mit in Aussicht gestellter Bequemlichkeit werden ID-Nutzer in ein umfassendes „Ökosystem“ gelockt“

      Wie das geht, sieht man in der IndyWorld Demo von IBM:
      https://www.youtube.com/watch?v=cz-6BldajiA

      … und plötzlich gehen Bewerbungen nicht mehr ohne SSI und Konto-Eröffnungen nicht mehr ohne verifizierbare Gehalt-Angabe.

      Kann man sich solchen fortgeschrittenen Systemen überhaupt noch in Zukunft entziehen? Wer nicht mit macht, wird ausgeschlossen.

      Wollen wir in so einer Welt leben?

      1. >> … und plötzlich gehen Bewerbungen nicht mehr ohne SSI

        Waren anonymisierte Bewerbungen nicht erst kürzlich mühsam errungen worden?

        „“Beim anonymisierten Bewerbungsverfahren wird auf ein Foto der sich bewerbenden Person, ihren Namen, die Adresse, das Geburtsdatum oder Angaben zu Alter, Geschlecht, Familienstand oder Herkunft verzichtet. Abgesehen davon können alle üblichen Informationen abgefragt werden, wie etwa Berufserfahrung, Ausbildung, Motivation usw. Hierdurch soll die bewusste oder unbewusste Benachteiligung bestimmter Personengruppen vermindert werden. Durch diesen Ansatz soll eine Einladung zum Vorstellungsgespräch ausschließlich aufgrund der Qualifikation erfolgen.““

  7. Und wieder fragt man sich warum Frau Wittmann nicht ihrerseits Anzeige erstattet. Ist die Gefährdung personenbezogener Daten wie in diesem Fall straffrei?
    Darf ich das auch machen? Ich könnte ja auch so eine App programmieren.

    1. Ist das ihr Job?
      Wie sieht das Recht aus, wer kann klagen, wer kann rügen, wer kann analysieren? Gibt es Geschädigte? Was ist ein Datenschutzbeauftragter?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.