Von der Konsultation geht es nun in den „Innovationswettbewerb“ – und damit von der Theorie in die Praxis. „Wir suchen nach einem Prototyp, der praktisch beweist, wie eine Wallet funktionieren kann“, sagte Bundes-CIO Markus Richter zum Wettbewerbsstart am vergangenen Donnerstag. Bis zum 5. Mai können sich Teams beim Bundesinnenministerium (BMI) für eine Teilnahme bewerben. Nach 13 Monaten soll ein Prototyp für eine digitale Brieftasche stehen.
Hintergrund des Entwicklungsprozesses ist die Ende Februar novellierte eIDAS-Verordnung der Europäischen Union, die voraussichtlich im Mai in Kraft treten wird. Bis zum Herbst 2026 müssen dann alle EU-Mitgliedstaaten ihren Bürger:innen eine sogenannte „European Digital Identity Wallet“ anbieten, mit der sie sich on- wie offline und in fast allen Lebensbereichen ausweisen können.
Ein bewusst offener Beteiligungsprozess und Wettbewerb soll dabei – unter Einbindung der Zivilgesellschaft – verhindern, wie Markus Richter vergangene Woche betonte, „dass sich am Ende ein Monopolist draufsetzt“ und hierzulande eine fertige Wallet bereitstellt. Ob das Verfahren den gesetzten Ansprüchen gerecht wird, ist aus Sicht verschiedener beteiligter Nichtregierungsorganisationen aber zunehmend fragwürdig.
Sicherheit und Datenschutz stehen im Fokus
Den Konsulationsprozess startete das BMI im Juli vergangenen Jahres mit der Maßgabe, dass dieser „transparent und partizipativ“ gestaltet wird. Vor wenigen Wochen brachte das Verfahren ein 155-seitiges Architekturkonzept in der zweiten Version hervor.
Im Wettbewerb geht es nun darum, auf Grundlage dieses Konzepts einen Prototypen für eine EUDI-Wallet zu entwickeln und zu erproben – in Form einer App für iOS und Android sowie eines Backend-Systems. Den Wettbewerb führt die Bundesagentur für Sprunginnovationen (Sprind) durch. Dazu hat sie eine Ausschreibung unter dem Namen „Funke“ gestartet.
Die Prototypen sollen vor allem in den Bereichen Sicherheit und Datenschutz überzeugen, sagte Torsten Lodderstedt, der das Projekt bei Sprind betreut, in einem Pressegespräch vergangene Woche. Ebenso wichtig sei aber die Unlinkability, dass also verschiedene Identifikationsvorgänge nicht miteinander verknüpft werden. Außerdem sollten die Wallets nutzerfreundlich sein, eine große Reichweite aufweisen können und als Open Source umgesetzt werden.
Und auch die Interoperabilität sei entscheidend, so Lodderstedt. Nutzer:innen sollen die digitale Brieftasche europaweit einsetzen können. Dazu brauche es bestenfalls ein gemeinsames Authentifizierungsverfahren für alle 27 EU-Staaten.
Sichere Identifizierungsfunktion als „hart zu knackende Nuss“
Die Latte liegt also hoch und der Wettbewerb soll nun den praktisch umgesetzten Beweis erbringen, all diese Prinzipien abzubilden, so Richter. Eine besondere Herausforderung sieht er außerdem darin, das Konzept eines hardwarebasierten Sicherheitsankers umzusetzen. Konkret geht es dabei um die Frage, wie sich Nutzer:innen sicher gegenüber der Wallet identifizieren können.
Das Architekturkonzept nennt hier als Möglichkeit unter anderem den elektronischen Personalausweis – dessen breiter Einsatz derzeit vor hohen Hürden steht –, ein cloudbasiertes System und ein Sicherheitselement auf dem Smartphone, etwa ein besonders geschützter Mikrochip. Gerade bei Geräten von Apple, wie dem iPhone, stelle Letzteres jedoch noch ein Problem dar. Daher richte sich der Fokus nun darauf, gegebenenfalls die eSIM als Sicherheitsanker zu nutzen. „Das ist eine schwer zu knackende Nuss“, räumt Richter ein.
Sechs Teams erhalten Förderung
Die ausgewählten Teams, die diese Nuss knacken sollen, werden von Sprind finanziell gefördert. Für den Aufbau der Wallet und die dazugehörigen Prozesse stehen dem BMI rund 40 Millionen Euro bereit. Ein Teil davon soll auch für Aufwandsentschädigungen verwendet werden.
Konkret heißt es auf der Projektseite dazu:
Der Sprind Funke hat eine Laufzeit von 13 Monaten in 3 Stufen. Dabei wird Sprind in Stufe 1 bis zu sechs Teams unterstützen, in Stufe 2 bis zu vier Teams und in Stufe 3 bis zu zwei Teams. In den drei Monaten von Stufe 1 unterstützt Sprind die teilnehmenden Teams mit bis zu 300.000 Euro abhängig von den finanziellen Anforderungen, welche die Teams mit ihrer Bewerbung einreichen. Für die Finanzierung in Stufe 2 sind bis zu 300.000 Euro pro Team und für Stufe 3 sind bis zu 350.000 Euro pro Team geplant.
Aber auch nicht-geförderte Teams können – „unter Einhaltung der Regeln für den Wettbewerb“, wie das BMI betont – ihre Lösungskonzepte einreichen.
Das BMI will nun „systematisch“ auf die Zivilgesellschaft zugehen
Aus allen Einreichungen soll eine Jury aus rund zehn Mitgliedern Ende Juli sechs Teams auswählen. Wer genau in der Jury sitzen wird, sei laut Markus Richter noch nicht entschieden. Fest stehe aber, dass ihr nationale wie internationale Expert:innen sowie Vertreter:innen der Zivilgesellschaft angehören werden. Aus Richters Sicht sei nun der richtige Zeitpunkt, „systematisch“ auf die Zivilgesellschaft zuzugehen. „Wir haben bislang noch auf den regulativen Rahmen gewartet“, so Richter.
Allerdings hat das BMI den richtigen Zeitpunkt offenbar verschlafen. Denn viele der NGOs, die sich bislang am Konsultationsprozess beteiligt haben, zeigen sich auf Anfrage von netzpolitik.org zögerlich, nun auch an dem Wettbewerb teilzunehmen.
Absage aus Ressourcengründen
So habe epicenter.works „aus Ressourcengründen“ nur am Anfang des Konsultationsprozesses teilnehmen können, wie Thomas Lohninger, Geschäftsführer des Vereins, auf Anfrage von netzpolitik.org mitteilt. Industrievertreter seien hingegen durchweg am Prozess beteiligt gewesen. „Das merkt man leider auch an vielen Stellen, wo die Frage des Geschäftsmodells des Umgangs mit staatlichen Identitäten wichtiger war als der Charakter als öffentliche Infrastruktur im Allgemeinwohl“, so Lohninger.
Zwar sei das Architekturkonzept an einigen Stellen „wirklich vorbildlich“, wie Lohninger schreibt, insbesondere beim Datenschutz: „Wenn das ernsthaft umgesetzt wird, könnte Deutschland eine datenschutzfreundliche Open-Source-Wallet entwickeln, die hoffentlich auf andere Länder abfärben kann“. Zugleich kritisiert die NGO, dass über die Wallet personenbezogene Daten an die Privatwirtschaft übergeben werden. Daraus wachse „die große Gefahr von parallelen Identitätssystemen und dem Einspeisen staatlich beglaubigter personenbezogener Daten in die bestehenden Systeme im Überwachungskapitalismus“. Wallets mit staatlich beglaubigten Identitätsdaten seien „ein zweischneidiges Schwert“, so Lohninger.
epicenter.works werde sich weiter auf die EU-Ebene konzentrieren. Bis zum Sommer werden dort die verbindlichen technischen Standards für die Umsetzung der eIDAS-Verordnung festgelegt.
Kein Raum für grundlegende Fragen
Auch die Digitale Gesellschaft zeigt sich vom bisherigen Beteiligungsverfahren enttäuscht. Auf Seiten des BMI gebe es wenig Verständnis dafür, „wie eine teilweise ehrenamtlich beziehungsweise mit knappen Ressourcen arbeitende Zivilgesellschaft funktioniert“, sagt Tom Jennissen. In dem Prozess sei es mehr darum gegangen, den technischen Sachverstand der Tech-Community nutzbar zu machen, als die Zivilgesellschaft in politische Aushandlungsprozesse einzubinden. „Für grundlegendere Fragen gab es somit nur wenig Raum“, kritisiert Jennissen.
Letztlich sei der gesamte Prozess so strukturiert gewesen, „dass Wirtschaftsvertreter:innen, die in dem Markt mitspielen wollen und die entsprechenden Kapazitäten haben, sich sehr breitmachen und die Diskussionen dominieren konnten.“ Immerhin, so Jennissen, sei der gesamte Prozess um Transparenz bemüht. „Und das ja auch nicht ganz selbstverständlich im BMI“.
Jennissen hofft nun, dass „zumindest in der bewertenden Jury kompetente und kritische Menschen aus der Zivilgesellschaft vertreten sind“. Das minimiere die Gefahr, „direkt ins nächste Wallet-Fiasko zu rennen“.
„Alibi-Platzhalter für einen inklusiven Dialog“
Auch OpenPetition hoffte im Konsultationsprozess, „auf Augenhöhe mitzudiskutieren“, sah sich am Ende aber „als Alibi-Platzhalter für einen inklusiven Dialog – auch weil es gar nicht genug Zivilgesellschaft gibt, mit den notwendigen Ressourcen und dem Know-how“, so Joerg Mitzlaffs Resümee. Der NGO-Gründer bezweifelt gegenüber netzpolitik.org, dass der Prozess im weiteren Verlauf gemeinwohlorientierte Lösungen hervorbringe. In der nun anstehenden Wettbewerbsphase „haben nur große Plattformen und von Venture Capital getriebene Start-ups eine Chance“, so Mitzlaff.
Auch Gregor Bransky vom Innovationsverbund Öffentliche Gesundheit (InÖG) zeigt sich zurückhaltend, was die weitere Beteiligung angeht. In den Wettbewerb werde sich der InÖG einbringen, „soweit uns das als zivilgesellschaftliche Organisation möglich ist“. Bransky erkennt an, dass sich das BMI ernsthaft bemühe, neue Wege zu gehen. “Bisher wurde aber die Zivilgesellschaft nicht ’systematisch‘ einbezogen“, so Bransky. „Es bleibt abzuwarten, inwieweit es noch zu so einer echten Beteiligung kommen wird.“
In dem Artikel waren die Aussagen von Thomas Lohninger von epicenter.works nicht korrekt zugeordnet. Wir haben das berichtigt und bedauern den Fehler.
Die digitale Brieftasche wird nie die Plastikkarte völlig ersetzen. Artikel 5a der neuen eIDAS-Verordnung sagt ganz klar in Paragraph 15: „The use of European Digital Identity Wallets shall be voluntary. Access to public and private services, access to the labour market and freedom to conduct business shall not in any way be restricted or made disadvantageous to natural or legal persons that do not use European Digital Identity Wallets. It shall remain possible to access public and private services by other existing identification and authentication means.“
Und was die Specs angeht, ist es zunächst Aufgabe der EU-Kommission, „[to] establish a list of reference standards and, where necessary, establish specifications and procedures for the requirements referred to in paragraphs 4, 5, 8 and 18 of this Article on the implementation of the European Digital Identity Wallet“ (Artikel 5a, Paragraph 23).
Ich weiß nicht, was Deutschland da wieder für einen Alleingang macht, oder wie das koordiniert werden soll.
Ein Traum der Polizei: Es gibt zwar (aktuell) keine Grundlage dafür, das Smartphone entsperren zu müssen (außer es handelt sich um eine geflüchtete Person), aber wenn es bei einer Kontrolle eh schon entsperrt ist, dann kann es schon eingezogen werden.
Und womöglich ein Traum für andere Dienste und Kriminelle. Bitte bitte auf dem Smartphone (only), und da auch nur mit Apple und Google, und bei Google natürlich nur mit Google Play Services.
Das kann nicht kommen, ohne dass das Militär was eigenes bauen wird. Zeit zum Lenken.
FYI
>> Daher richte sich der Fokus nun darauf, gegebenenfalls die eSIM als Sicherheitsanker zu nutzen. „Das ist eine schwer zu knackende Nuss“, räumt Richter ein.
eSIM: Security Aspects for Privacy and Protection of Users March 2021
Conference: National Level Students Research Conference
At: Pune Volume: Volume 8 ,issue 2
https://www.researchgate.net/publication/350789046_eSIM_Security_Aspects_for_Privacy_and_Protection_of_Users
Also ein Original https://www.seiffen.com/nussknacker aus dem Erzgebirge ist auch für Paranüsse geeignet.
FYI
https://gitlab.opencode.de/bmi/eudi-wallet/eidas-2.0-architekturkonzept
https://gitlab.opencode.de/bmi/eudi-wallet/eidas-2.0-architekturkonzept/-/project_members
Wie wärs denn mit einem Hackathon ( Schönheitswettbewerb ) mein lieber Daniel unter dem Motto: Wallace and gromit’s cracking contraptions äh eudi wallets
Also Glückauf und vor der Hacke isch duster
Der einzige, höchst fragwürdige „Zweck“ einer E-SIM ist – da untrennbar physisch mit einem Smartfone verknüpft -, dass sie nicht mit einem anderen Gerät verbunden werden und daher genau verfolgt werden kann, wer das zugehörige Smartfone an jemand anderen weitergibt, verkauft usw.
Die für Überwacher bisher mühevolle Praxis, zu einer SIM-Nummer bei Weitergabe jedes Mal die IMEI neu ermitteln zu müssen, entfällt.
Der User hat davon nichts, ganz im Gegenteil. Einzig und allein die Fummelei mit den Micro- oder Nano-Sims entfällt, aber wann macht man das schon …
Deshalb: Finger weg von der E-SIM!
Lieber WAHL-O-MAT!
Bitte hilf mir eine Partei zu finden, die mich nicht zu Wallets drängen will!
Bitte hilf mir eine Partei zu finden, die sich dafür einsetzt, dass Menschen nicht durch Digitalisierung ausgegrenzt werden!
Bitte hilf mir eine Partei zu finden, die mich nicht digital gläsern werden lässt!
Bitte hilf mir eine Partei zu finden, die mich analog am Leben lässt.
… digitalisierte Sozialdemokraten!
Ich komme nicht umhin anzumerken, wie unglaublich naiv es klingt, dass sich jetzt zivilgesellschaftliche Gruppen enttäuscht zeigen. Haben die ernsthaft erwartet, dass ihnen irgendein signifikanter Einfluss gewährt wird oder dass das Projekt „digitale Identität“ irgendwie positiv uminterpretiert werden kann?
Die Sache mit der „digitalen Identität“ ist – ähnlich wie z.B. die Chatkontrolle oder die Vorratsdatenspeicherung oder auch digitale Bezahlkarten – eines, das entweder fundamental und konsequent abgelehnt hätte werden müssen oder eben eine, die früher oder später durch und durch repressiv ist.
Jegliche „Kompromisse“, Versprechungen der Regierenden oder das Angebot von „Partizipation“ ist im besten Fall eine Akzeptanzschaffungs- und Hinhaltetaktik. Der einzige Sinn hinter einem Werkzeug wie einer „digitalen Identität“ ist über Menschen/Gesellschaften die maximale Kontrolle auszuüben, um sie wohl primär aus wirtschaftlichen, auf jeden Fall aber autoritären Interessen weiter auszubeuten. Es kann daher nur auf Smartphonezwang (Digitalzwang, an den dann neue Kommodifizierungsformen, Verhaltenszwänge und Ausbeutungsformen geknüpft werden), erweiterte Kontrolltechniken und Datenabgabe nach dem Motto „Daten her oder Du kommst hier nicht rein“ hinauslaufen.
Das wird ganz sicher wieder auf irgend eine krasse Überwachungslösung mit einem lächerlichen Feigenblatt Datenschutz hinauslaufen.
„An seine Stelle soll eine digitale Brieftasche treten. Wie diese konkret aussehen wird, soll ein Innovationswettbewerb entscheiden.“
„Ich will nicht direkt zu Gewalt aufrufen, aber wer als erstes „Smartphone“ sagt, wird erschossen.“
Meine Fresse. Ach so, diese Buzzwords müsst ihr können:
– Ohne Funk niederschwellig nutzbar (Hardware wie E-Perso + Reader, oder Funk-Aus-Schalter physisch).
– Post-Quantum-Cryptography. (Auch in der gesamten Kette dahinter, inklusive Kanzler und Ausweisdrucker, und Spezifikation für Schnittstellen vom Netz aus, etc. p.p. No further excuses. Ich will da ohne Postquantumcryprography keine Millionen hinfließen sehen.)
– Kein Smartphone nötig und keine Implementierung nur auf dem Smartphone, auch nicht mit Sicherheitschip drauf. Keine Abstriche, weil man unsichere Hardware und Software nicht benutzen will oder darf (Bundeswehr trappsen: Parallelprojekt als Fix?).
– Niederschwellig kriegbare Hardware zur sicheren Interaktion (und eine, wenn es sein muss, zur Pineingabe. Letztere könnt auch zur gelegentlichen Auffrischung dienen, während eine Checkkartenversion nur ja/nein+Display auf Ticketbasis macht).
– (vergessen)
Wie auch immer, am Schönheitswettbewerb sollte nur teilnehmen können, wer auch das Treppchen auf die Bühne rauf packt.
„Wie auch immer, am Schönheitswettbewerb sollte nur teilnehmen können, wer auch das Treppchen auf die Bühne rauf packt.“
Und ich dachte, die Blockchain-Quanten-KI-Cloud-App wäre schon beschlossene Sache…
Heißt es nicht: Blockchain-Quanten-App-Cloud-KI
Lies: Bekack(t).
In der Tat stellt sich die Frage, an welcher Stelle da Innovation überhaupt sinnvoll sein soll. Wir haben bereits einen Heuhaufen an Technologie und Beispielen für Geräte und Interaktion, womit man hier arbeiten könnte. Diese Tendenz zu schönklingenden Überschriften ist ein richtiges Problem. Geeignete Systeme zu skizzieren wäre mal was, wobei man vielleicht mit grundlegenden Anforderungen anfangen sollte?