Online-AusweisKeine Strategie bei der elektronischen Identität

Wer sich im Internet ausweisen will, kann dafür immer noch kaum seinen elektronischen Personalausweis nutzen. Die Bundesregierung baut die funktionierende und datensparsame Technologie nicht kraftvoll genug aus, sondern arbeitet auch an einem Smartphone-Wallet, obwohl das der Ausweis-eID in Sachen IT-Sicherheit und Datenschutz unterlegen ist.

Personalausweis in einer Jeans-Hosentasche
Eine überwältigende Mehrheit hat den neuen Personalausweis, aber zur Identifikation im Netz nutzen ihn nur wenige. – Alle Rechte vorbehalten IMAGO / Zoonar

Wer die Wohnung ummeldet, eine Kreditkarte beantragt oder sich bei einem Car-Sharing-Dienst registriert, kann auf eines nicht verzichten: ein Ausweispapier, das die eigene Identität bestätigt. Im Analogen kommt dafür in der Regel der Personalausweis zum Einsatz.

Wie aber sieht es im Internet aus? Viele private Dienstleistungen lassen sich inzwischen auch online abschließen. Und insbesondere im Verwaltungsbereich soll es bald noch weit mehr geben. Die meisten der Angebote setzen voraus, dass sich Bürger:innen auch im Netz sicher und einfach ausweisen können.

Eine praxistaugliche Identifizierung im Internet ist somit eine entscheidende Voraussetzung für die Digitalisierung – bekanntlich ein zentrales Vorhaben der Bundesregierung. Umso dramatischer aber ist es, dass die Regierung gerade beim Thema Identifizierungsverfahren im Netz keine einheitliche und konsequente Strategie hat. Die Folgen müssen vor allem die Bürger:innen tragen.

Im Dickicht der Identifizierungsverfahren

Wie schwer durchdringlich das Dickicht an Verfahren ist, zeigt sich bereits dann, wenn man die Liste bestehender und geplanter Vorhaben betrachtet.

Seit mehr als zehn Jahren gibt es den elektronischen Personalausweis, welcher mit einem in die Karte eingelassenen Mikrochip die Technik für die Ausweis-eID mitbringt, also den sogenannten elektronischen Identitätsnachweis. Und obwohl dessen Einsatz inzwischen als einfach und sicher gilt, werden aktuell auf bundesdeutscher wie europäischer Ebene diverse Verfahren entwickelt, die in Konkurrenz treten sollen.

So arbeitet das Bundesinnenministerium (BMI) derzeit an der sogenannten Smart eID für das Smartphone, die den physischen Ausweis weitgehend entbehrlich machen soll. Das Bundesministerium für Digitales und Verkehr (BMDV) und die Bundesdruckerei drängen hingegen in Richtung Smartphone Wallets. In den digitalen Geldbörsen sollen nicht nur Ausweisdaten, sondern eine Vielzahl unterschiedlicher Dokumente und Nachweise digital gespeichert werden – von der Geburtsurkunde über Arbeitszeugnisse bis hin zu Reisebuchungen.

Auf EU-Ebene wird obendrein an der eIDAS-Verordnung gearbeitet. Sie soll einem ähnlich umfangreich ausgestatteten Smartphone Wallet den Weg ebnen, das aber innerhalb der Union grenzüberschreitend verwendet werden kann.

Personalausweis und eID: Der sichere Unbekannte

Die geplanten Verfahren bieten mehr Funktionen als der ePerso, bergen allerdings zum Teil auch mehr Risiken in ihrer Anwendung.

Zwar gab es nach seiner Einführung auch am neuen Personalausweis Kritik, weil der Einsatz des Ausweises mit der eID auf gesonderte und mitunter unsichere Lesegeräte angewiesen war. Inzwischen verfügt aber nahezu jedes handelsübliche Smartphone über die NFC-Technologie, die eine kontaktlose Übermittlung von Daten erlaubt.

Für die Erstaktivierung des Personalausweises für die Ausweis-eID können Nutzer:innen eine App wie „BundesIdent“ auf ihrem Smartphone installieren, die danach auch für den Identifikationsprozess für die „Grundsteuererklärung für Privateigentum“, aber noch keine weiteren Anwendungen, zur Verfügung steht. Außerdem kann auch die „AusweisApp2“ genutzt werden, eine im Auftrag des Bundes von der Governikus GmbH entwickelte App.

Mann nutzt eID mit Handy und dem Ausweis von Erika Musterfrau.
Funfact: Auf der offiziellen Ausweis-App-Seite weist sich ein Mann mit dem Ausweis von Erika Musterfrau aus. - Alle Rechte vorbehalten ausweisapp.bund.de

Um sich auszuweisen müssen Nutzer:innen den Personalausweis kurz an ihr Smartphone halten und eine persönliche PIN eingegeben. Anschließend wird der jeweiligen Stelle – etwa eine Behörde – bestätigt, dass es sich um die Person handelt. Das Verfahren entspricht somit dem Vorzeigen eines Ausweises in der Offline-Welt.

Wir sind ein spendenfinanziertes Medium

Unterstütze auch Du unsere Arbeit mit einer Spende.

Die Aktivierung des Personalausweises für dieses Verfahren ist nur ein wenig komplizierter als das Aktivieren einer neuen Sim-Karte fürs Handy. Dennoch haben laut einer repräsentativen Umfrage der Unternehmensberatung PwC bisher gerade einmal sieben Prozent der Bundesbürger:innen die Online-Ausweisfunktion genutzt.

Das politische Scheitern der Bundesregierung

Der geringe Verbreitungsgrad ist nicht zuletzt Ausdruck eines politischen Scheiterns: Denn seit 2010 ist es den verschiedenen Bundesregierungen offenkundig nicht gelungen, dem Verfahren zum Durchbruch zu verhelfen. Stattdessen erfolgt die Identifizierung im Netz derzeit meist noch mit Hilfe privater Anbieter und deren potentiell unsicherer videogestützter Verfahren.

Dementgegen bewerteten die Sicherheitsexperten „Flüpke“ vom Chaos Computer Club und Christian Kahlo die Ausweis-eID in einer Sachverständigenanhörung im Digitalausschuss des Deutschen Bundestages im Juli vergangenen Jahres als vergleichsweise datenschutzfreundliche Lösung. Sie ermögliche es Nutzer:innen, unterschiedlichen Anbietern von Onlinediensten Zugriff auf ausgewählte Datenfelder einräumen. „So kann Datensparsamkeit auf technischer und regulatorischer Ebene forciert werden“, betonte Flüpke in der Anhörung. Auch Christian Kahlo zeigte sich überzeugt, dass sich mit der eID in Kombination mit der Personalausweis „über 90 Prozent der legitimen und wichtigen Nutzungsszenarien und Anwendungsfälle […] auf technisch sicherere und datensparsamere Weise“ umsetzen ließen.

Dass die Ausweis-eID dennoch ein Schattendasein fristet, hat aus Sicht der Sicherheitsforscherin Lilith Wittmann vor allem zwei Gründe: Zum einen hat die Bundesregierung zu wenig dafür getan, um für ihren Einsatz zu werben. Zum anderen darf ausschließlich die privatisierte Bundesdruckerei sogenannte Berechtigungszertifikate ausgeben, die für die eID erforderlich sind. Die Zertifikate regeln technisch, wer Zugriff auf welche Daten erhält. Wegen des faktischen Monopols – das nicht so heißen darf, aber im Digitalausschuss für laute Lacher sorgte (Video) – fielen laut Wittmann auch die von der Bundesdruckerei aufgerufenen Preise im Verhältnis zur geringen Zahl möglicher Nutzer:innen recht hoch aus. Das BMI sagt gegenüber netzpolitik.org, dass es die Kostenstruktur nun prüfen wolle.

Smart eID: Das Smartphone als Ausweis

Statt aber diese Probleme in Angriff zu nehmen, will das Bundesinnenministerium (BMI) die kartenbasierte eID weiterentwickeln. Diese sogenannte Smart eID soll dessen Funktionen weitgehend ins Smartphone überführen.

Die Smart eID funktioniert wie die Ausweis-eID nur im Zusammenspiel mit den Apps „BundesIdent“ und „AusweisApp2“. Allerdings wird der physische Ausweis bei der Smart eID (PDF) lediglich einmalig ausgelesen, um die Daten, die auf dem Chip des Personalausweises gespeichert sind, auf das Smartphone zu übertragen. Die Daten werden dann entweder auf einem Sicherheitschip des Smartphones oder im Speicher des Geräts verschlüsselt abgelegt.

Der Sicherheitschip ist Voraussetzung für Anwendungen mit hohen Sicherheitsanforderungen. Allerdings ist er bislang nur in vergleichsweise wenigen Smartphones installiert. Erst in künftigen – eher teuren – Modellreihen wollen die meisten Hersteller ihn vermehrt einbauen, laut Sachverständigen dürfte eine weitgehende Verfügbarkeit deswegen noch fünf bis sechs Jahre dauern. Die neuen Modelle werden vor der Nutzung für die Smart eID vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert. Da die Smart eID die gleiche Infrastruktur wie die chipgebundene Ausweisfunktion nutze, sei sie dann ähnlich sicher wie das eID-Verfahren, sagt ein Sprecher des Bundesdatenschutzbeauftragten gegenüber netzpolitik.org.

Die Sicherheitsforscherin Lilith Wittmann schätzt die klassische Ausweis-eID im Vergleich zur Smart eID dennoch als sicherer ein. Zum einen liegen die sensiblen Daten beim ePerso nicht auf dem Smartphone. Zum anderen sei für die Identifizierung der physische Personalausweis immer erforderlich. Ein Angreifer kann sich bei diesem Verfahren nicht mit dem Handy allein identifizieren.

Nach den aktuellen Plänen des BMI soll sich die Smart eID noch in diesem Jahr im Praxistest bewähren. Eigentlich wollte das Ministerium die Smart eID bereits bis Ende vergangenen Jahres einführen. Das ist augenscheinlich nicht passiert.

Laut einem Bericht des Tagesspiegel Background sei mit einem „Go-Live“ der Smart eID nun frühestens im zweiten Quartal 2023 zu rechnen. Im Anschluss ist, so das BMI gegenüber netzpolitik.org, eine „crossmediale Kommunikationskampagne zur Bewerbung der Online-Ausweisfunktion“ mit einem Volumen in einstelliger Millionenhöhe geplant. Bisher bewirbt das BMI die Ausweis-eID eher verhalten und vor allem bei Behördenmitarbeitern – zum Beispiel bei einer „Roadshow in Ratzeburg“.

Immer auf dem Laufenden bleiben!

Abonniere jetzt unseren Netzpolitischen Wochenrückblick als Newsletter

Jetzt abonnieren

Smartphone Wallets: Digitale Geldbörse mit Schwachstellen

Beispiel einer Wallet App
So stellte die Bundesdruckerei das „Deutschland Wallet“ in einer internen Präsentation vor. - Alle Rechte vorbehalten Bundesdruckerei GmbH

Bis es aber soweit ist, könnte die Smart eID schon weitere Konkurrenz erhalten. Denn das BMDV möchte das sogenannte Smartphone Wallet. In diese Technologie fließt derzeit auch die meiste Förderung. Von allen derzeit angedachten Verfahren bieten diese digitalen Geldbörsen die meisten Funktionen. Sie speichern mehr Daten als die Ausweis-eID oder die Smart eID: Neben dem Personalausweis lassen sich unter anderem auch Führerscheine, Geburtsurkunden, Ausbildungszeugnisse, Konzertkarten und vieles mehr in den Smartphone-Apps hinterlegen.

Viele dieser Wallets setzen auf ein Konzept mit dem Namen „Self Sovereign Identity“, dessen technische Umsetzung beim Pilotprojekt „ID Wallet“ durch Schwachstellen auffiel und vorerst eingestellt wurde.

Und auch die EU-Kommission will eine „European Digital Identity Wallet“ anbieten. Sie soll eine einheitliche Online- und Offline-Identifizierung von Bürger:innen und Einwohner:innen innerhalb der Europäischen Union ermöglichen – ungeachtet anhaltender Sicherheitsbedenken aus der Zivilgesellschaft.

Mit dem europäischen Wallet will die EU den nationalen Flickenteppich digitaler IDs auflösen und einer europaweiten digitalen Identität zum Durchbruch verhelfen. Die digitale Geldbörse will die EU zudem für private Unternehmen öffnen: Sowohl Plattformen wie Facebook, Amazon und Google als auch Behörden und Banken sollen dazu verpflichtet werden, das europäische ID-Wallet zu unterstützen.

Plädoyer für Datensparsamkeit und gegen Überidentifikation

Bei Bürgerrechtsorganisationen, Datenschützer:innen und IT-Expert:innen trifft das Vorhaben allerdings auf massive Bedenken. Aus ihrer Sicht sehen die Pläne der EU unter anderem keine ausreichenden Schutzmaßnahmen gegen Missbrauch bei Tracking und Profiling vor. Problem ist dabei auch eine bisher angedachte einheitliche Benutzer-ID, die einer Personenkennziffer gleichkommt. Solche Personenkennziffern, anhand der man übergreifend eine Person identifizieren kann, sind auch verfassungsrechtlich höchst umstritten.

Angesichts der Pläne auf Bundes- und EU-Ebene plädiert Expertin Wittmann dafür, dass der Gesetzgeber die Nutzung von Identifizierungsdaten auf das rechtlich absolut Notwendige reduziert. Nur so lasse sich auch verhindern, dass Unternehmen die Qualität ihrer Kunden-, Werbe- oder Nutzerdaten durch die neuen Identifizierungsverfahren verbesserten – und es dadurch zu Missbrauch oder fahrlässigen Abfluss der sensiblen Daten kommt.

Auch der Bundesdatenschutzbeauftragte fordert, die Anwendungsfälle für digitale Identifizierung eindeutig zu begrenzen. Die komfortable Nutzung der Online-Ausweisfunktion dürfe zudem nicht zu „Überidentifikation“ führen. Andernfalls drohe das „virtuelle Personalausweiszücken“ künftig auch bei bislang pseudonym nutzbaren Online-Diensten verpflichtend zu werden, so ein Sprecher der Behörde gegenüber netzpolitik.org. Das könnte das Ende der Anonymität im Internet bedeuten.

Erst mal einen Schirm aufspannen

Welches der unterschiedlichen Verfahren –  Ausweis-eID, Smart eID oder eines der Wallets – sich letztlich durchsetzen wird, ist derzeit noch offen. Auch das Bundesinnenministerium ist sich offenbar noch nicht sicher. Ein Ministeriumssprecher sagte gegenüber netzpolitik.org zwar, dass das bestehende deutsche eID-System – also die chipkartenbasierte Online-Ausweisfunktion – die „Grundlage der digitalen Kernidentität“ bilden werde. Zugleich sei die Fortentwicklung des kartenbasierten Systems „mit möglichst reduzierter Notwendigkeit der Kartennutzung“ aber zu prüfen und gegebenenfalls umzusetzen. Das schließt auch Wallet-Lösungen mit ein.

Immerhin hat das BMI erkannt, dass es Ordnung ins Chaos bringen muss. Nach eigenen Angaben plant es dafür einen „übergreifenden Markenschirm“, unter dem sie alle Richtlinien der verschiedenen eID-Produkte und Apps versammeln will. Ziel sei eine „hohe Wiedererkennbarkeit“, so das BMI.

Statt aber nun einen breiten Schirm aufzuspannen, könnte sich das Ministerium entschieden hinter das datensparsame Verfahren des eID stellen und dieses richtig etablieren. Das würde viel Zeit und Geld einsparen. Und auch unsere Daten wären damit um einiges sicherer.

Update 24.1.23:
Im Artikel konkretisiert, dass die App Bundesident bisher nur für die „Grundsteuererklärung für Privateigentum“ genutzt werden kann. Die App soll darauf aufbauend weiterentwickelt werden.

3 Ergänzungen

  1. Marco: Gute Frage! Denn genau hier sitzt das Problem. Es geht nicht nur um die Sicherheit der Software an sich, sondern auch um die Umgebung – sprich die Hardware und den Weg bis zur Installation.

    Solange so eine Software über kommerziell ausgerichtete Appstores bezogen werden soll, deren informationstechnische Struktur sich jeglicher Analyse entzieht, ist einem Missbrauch Tür und Tor geöffnet. Darüber haben hier schon einige geschrieben.

    Das Vorhaben ist nicht nur deshalb, sondern auch angesichts der derzeitigen, hier vielfach diskutierten und beschriebenen Probleme wie generellem Verlust der Anonymität im Internet, der möglichen Datenweitergabe an andere kommerziell agierende Personen/Institutionen und den allseits bekannten Begehrlichkeiten seitens der Behörden und anderen Überwachungsfanatikern komplett abzulehnen.

    Soll das nicht der Fall sein, müssen die EU und die Länder bei Pegasus und Co. gründlich aufräumen und ihre eigenen IT-(Wissens-)Defizite und Positionen in der Digitalisierung gründlichst überdenken und ändern.

    Da man hier mehr als pessimistisch sein muss, kommen solche Projekte und deren Nutzung weder in puncto Hardware noch bei der Software für mich infrage.

  2. Anders als im Artikel suggeriert, muss für die Erstaktivierung des Personalausweises nicht die App BundesIdent genutzt werden. Der Regelfall ist die Erstaktivierung und spätere Identifikation über die AusweisApp2. BundesIdent ist ein neues Projekt, das bisher nur die Identifikation für „Grundsteuer für Privateigentum“ unterstützt, und in diesem Rahmen auch eine Ersteinrichtung des Personalausweises. (Zwar kann BundesIdent auch generell für die Ersteinrichtung genutzt werden, dies wäre aber eher unsinnig, da man danach auf die AusweisApp2 wechseln müsste, die das ebenfalls kann).
    BundesIdent ist derzeit quasi nur ein Pilotprojekt des Digitalservice des Bundes, um mögliche Verbesserungen im Identifikationsprozess zu erproben.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.