Online ein Auto mieten oder den Wohnsitz ummelden – das soll der elektronische Personalausweis (auch neuer Personalausweis, nPA) dank eID-Funktion ermöglichen. So war zumindest die Erwartung vieler, als die Bundesregierung unter Angela Merkel im Jahr 2010 den nPA einführte. Doch die damaligen Erwartungen haben sich bis heute nicht erfüllt.
Dabei können die Voraussetzungen für einen Erfolgskurs des nPA kaum besser sein. IT-Sicherheitsexpert:innen und Datenschützer:innen loben die Technologie in höchsten Tönen. Trotzdem ist es um den nPA ruhig geworden. Die meisten haben ihre PIN zum Freischalten der eID-Funktion verlegt oder verloren. Bis vor zwei Jahren konnten sie sich zwar kostenfrei eine neue PIN per Einschreiben auf dem Postweg zusenden lassen. Doch Anfang 2024 beschloss das Bundesinnenministerium unter der Ampel-Koalition, den Service mit Verweis auf die Kosten einzustellen. Wer die eID nutzen will, muss also wieder aufs Amt gehen.
Zwei Projekte könnten dem nPA nun neues Leben einhauchen: zum einen die neuen Services in den Apps der Sparkassen, zum anderen Neo, eine Kommunikationslösung für Bürger:innen und Verwaltung. Neo wird von der FITKO gemeinsam mit dem Bundesdigitalministerium im Auftrag des Föderalen IT-Architekturboards entwickelt.
Sichere Technologie fristet Nischendasein
Die Versäumnisse der Bundesregierung gipfeln in der Einschätzung des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS), die eID sei eine „nationale Sonderlösung“. Der Bundesrechnungshof widersprach (PDF) explizit dieser Auffassung mit Verweis auf die eIDAS-Verordnung der EU, die die eID-Funktion mit Vertrauensniveau „hoch“ notifiziert.
„Dass der sehr herausragenden Technologie des Personalausweis so wenig Bedeutung beigemessen wird, wäre kaum ein Thema, wenn der nPA mehr in der Fläche genutzt würde“, sagt Marco Holz. Er ist IT-Architekt bei der Föderalen IT Kooperation (FITKO). Die Bund-Länder-Organisation entwickelt IT-Lösungen für die öffentliche Verwaltung. „Trotz des enorm hohen Verbreitungsgrades des Personalausweises, nutzen viele die integrierte eID-Funktion nicht oder nur sehr selten und kennen auch ihre eID-PIN oft nicht.“
Privatpersonen können sich mit der AusweisApp gegenüber Dritten ohne große Hürden eindeutig und authentisch ausweisen. Dank NFC-Technologie (Near-Field Communication) ist inzwischen auch ein Kartenlesegerät überflüssig. Nutzer:innen halten ihren Personalausweis einfach an ihr Smartphone und erlauben so die kontaktlose Übermittlung ihrer Daten.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Um die eID-Funktion voranzubringen, müssten jedoch mehr Behörden, Banken und Versicherungen die eID-Funktion in ihre Prozesse einbauen, so Holz. Das erfordert derzeit einen hohen Aufwand, den viele Anbieter scheuten.
Hohe Hürden für die eID
Diensteanbieter, die den nPA nutzen möchten, müssen nachweisen, dass sie berechtigt sind, auf bestimmte Datenfelder des nPA zuzugreifen. Dafür brauchen sie ein elektronisches Berechtigungszertifikat, das sie bei der zentralen Vergabestelle beantragen müssen. Auf diese Weise können nur berechtigte und vertrauenswürdige Anbieter die Daten der Personalausweise auslesen. Jedoch verlangt das Bundesverwaltungsamt für die Berechtigungszertifikate hohe Gebühren. Auch Behörden erhalten sie nicht kostenfrei.
Ist diese erste Hürde genommen, benötigen Diensteanbieter dann einen eID-Server. Den betreiben sie entweder selbst und integrieren ihn direkt in ihre Anwendungen. Oder sie nutzen den eID-Server eines externen Dienstleisters, etwa von Governikus oder adesso. Einen eigenen eID-Server zu betreiben, sei sehr komplex, sagt Holz. „Für Diensteanbieter kommt erschwerend hinzu, dass keine der Server-Implementierungen unter einer Open-Source-Lizenz verfügbar ist.“
Unter anderem deshalb sei es aktuell zu teuer und zu aufwändig, einen eigenen Server zu betreiben. Gerade für kleine Kommunen sei das kaum zu stemmen, erklärt Holz.
Sparkassen setzen auf eID
„Die Nutzer sollen sich die PIN ihres nPA für die Nutzung der eID irgendwann genauso gut merken wie die PIN zu ihrer Kreditkarte oder ihrem Smartphone“, so die Vision von Oliver Lauer. Lauer ist Leiter des digitallabor.berlin und Chief Digital Officer des Deutschen Sparkassen- und Giroverbands (DSGV). Zusammen mit dem digitallabor.berlin und Expert:innen der Sparkassen Finanzgruppe hat er die eID-Funktion des nPA in die Apps „tief integriert“. Damit will Lauer ein Vorzeigeprojekt für die eID schaffen.
Kund:innen der Sparkassen können ihren Zugang zum Online-Banking nun einfacher wiederherstellen, wenn sie ihre Zugangsdaten verloren haben, das Smartphone defekt oder abhanden gekommen ist. Bisher mussten sie dafür auf den Freischaltbrief warten, in die Filiale oder an den Geldautomaten gehen. Nun laufe der Reset über die Apps automatisch.
eID lohnt sich
Warum nutzen die Sparkassen ausgerechnet die eID-Funktion des nPA? „In einer digitalen Welt ist der Moment, in dem man sich ausgesperrt hat, in meinen Augen einer der schlimmsten“, sagt Lauer. Für Kund:innen sollte daher ein Weg geschaffen werden, um möglichst schnell aus diesem „Katastrophen-Moment“ herauszukommen.
Wir sind communityfinanziert
Unterstütze auch Du unsere Arbeit mit einer Spende.
Jedes Jahr sperrten sich Millionen Bankkund:innen aus, sagt Lauer. Daher lohne sich die eID in der Sparkassen-App, nicht zuletzt auf der Kostenseite. Seit Ende Januar ist die App im Einsatz. Und schon jetzt zeichne sich ab, dass sie zuverlässig laufe und Kosten einspare, auch weil die Sparkassen einen eigenen eID-Server betreiben.
Briefe zur Freischaltung oder persönliche Besuche in den Filialen seien mit erheblichen Kosten verbunden. Ebenso würden sich die Kosten für das VideoIdent-Verfahren auf 10 bis 12 Euro pro Transaktion belaufen.
Auch aus Sicht der IT-Sicherheit bleibt das VideoIdent weit hinter der eID zurück. Denn die eID hat eine physische Komponente, den Chip im Ausweis. Das Vertrauen werde immer zwischen dem eigentlichen physischen Personalausweis und dem eID-Server hergestellt, erklärt Holz. Und die Daten würden immer an den Server geschickt, der das entsprechende Berechtigungszertifikat hat. „Das vermeidet schon sehr viele Angriffspunkte.“
Mit der eID sicher mit Behörden kommunizieren
Gemeinsam mit dem BundID-Team des BMDS entwickelt Holz unter dem Arbeitstitel „Neo“ außerdem eine Kommunikationsinfrastruktur für die öffentliche Verwaltung. Damit sollen Privatpersonen einfacher online mit ihrem Stadtbüro oder Rathaus kommunizieren können, etwa nachdem sie einen Antrag gestellt haben.
Um sicherzustellen, dass eine Behörde personenbezogene Daten an den richtigen Thomas Müller oder die richtige Sandra Müller herausgibt, müssen sich Privatpersonen authentifizieren. Dafür nutzt auch Neo die eID-Funktion des nPA. „Das Ziel ist, dass sich Bürger:innen mit ihrem Personalausweis direkt und so einfach wie möglich in der App einloggen können“, so Holz. „Also Ausweis an das Smartphone halten, die PIN des Persos eingeben und direkt mit dem Rathaus kommunizieren oder den Bearbeitungsstatus der eigenen Anträge einsehen.“
Ähnlich wie in der App der Sparkasse hat auch das Neo-Team das Software Development Kit (SDK) der Ausweis-App direkt in den Dienst integriert. Damit sind sie nicht auf privatwirtschaftliche Anbieter von Authentifizierungssystemen angewiesen. Mit Blick auf Privatsphäre, Benutzbarkeit und Datenschutz sei der direkte Weg über die eID ein Gewinn. „Denn ich muss mich nicht mehr gegenüber einem Dritten authentifizieren, der dann meine ganzen Login-Daten kennt und weiß, wann ich mich zum Beispiel bei der Sparkasse oder bei Neo eingeloggt habe.“
Ich finde man sollte den e perso boykottieren, je mehr der sich durchsetzt desto eher kommt die Politik auf die Idee das dann im Sinne einer Ausweispflicht im Internet überall zwecks überwachung zu erzwingen.
Wehret den Anfängen !!!
Schön, aber auch nach Lesen des Artikels finde ich keinen Grund für einen Perso und das ganz ohne irgendwelche Sicherheitsbedenken.
Ich kann mich mit meinem Pass ausweisen und erfülle damit die Voraussetzung des §1 PAuswG.
Den Pass brauche ich regelmäßig, weil ich zum Besuch meiner Schwiegermutter ein Visum brauche – ein Perso nützt mir da gar nichts.
Hier am Ort hat eine Volksbank ein lokales Monopol – Sparkasse? Ist weiter weg! – ausgesperrt aus den Konten habe ich mich auch noch nie, das Rathaus ist 650 Meter (sagt Maps) zu Fuß entfernt und wenn man auf dem Land in einer kleinen Gemeinde wohnt, dann sind Termine auch kein digitales Problem – es gibt schlichtwegs keine Onlineterminreservierung. Länger warten musste ich trotzdem noch nie. Wenn ich schon 46€ für einen Perso ausgeben soll, dann frage ich mich schon, wofür.
Das Argument, dass man sich die PIN schon irgendwann merkt, setzt voraus, dass sie regelmäßig benutzt wird. Bei der Bankkarte ist das der Fall. Wie oft gehe ich zum Rathaus, sperre mich aus Konten aus oder habe andere Gründe, mir die PIN zum nPA zu merken???
Dies ist ebenso mein pragmatischer Ansatz.
Auch wenn man in 10 Jahren nur ins Ausland nach England reist, ist das Geld für den Personalausweis rausgeschmissen.
Fazit: Die eID-Funktion müsste flächendeckend nutzbar und auch im Reisepass enthalten sein…
„Es geht nicht darum das der Staat alles wissen soll“
Noch!
ich habe mir tatsächlich vor einigen Tagen den Pinbrief raussuchen müssen, der schon seit einigen Jahren in meinen Unterlagen vergessen war.
warum? gute Frage. Ich musste für die Anmeldung der Geburt meines Kindes und das beantragen der Geburtsurkunde den Mist benutzen.
auf Nachfrage beim Standesamt, ob dies nicht auf persönlich möglich wäre, gab es nur eine freche verneinende Aussage der älteren Dame am Telefon. „selbst sie als alte Frau würde das hinbekommen“.
die Tatsache, dass ich diese Funktion garnicht nutzen möchte war egal.
am Ende musste ich trotzdem persönlich hinfahren und Unterlagen einreichen, die sie gerne als Original haben wollten, nicht als Foto oder Scan in digitaler Form.
absolut schwach, wie mit allem im Bezug auf Digitalisierung in Deutschland
Wenn Datenschützer und IT- Sicherheitsexperten etwas loben, weiß man im Grunde schon, was verkehrt läuft. Usability für den Nicht-ITler ist dann regelmäßig leider einfach unterirdisch und von wenig Akzeptanz durch die breite Masse gekennzeichnet. Ist nicht schön, ist aber die Realität.
Und wenn sie es nicht loben, erst recht.
Der Nicht-ITler tut dann vor lauter Usability regelmäßig Dinge, die er nicht tun sollte.
Das Smart“phone“ ist ein Computer, auf den andere Leute Vollzugriff haben, der Eigentümer aber nicht.
Das ist krank.
Insbesondere zwei Dinge gehören dort nicht hin:
– der Bankzugang
– ein (überdies amtlicher) Identitätsnachweis
Damit nicht genug: Stellt man die Hoheit – die selbstverständlich sein sollte – über das eigene Gerät endlich her (sog. rooten), verweigern Banking- und Ausweis-App den Dienst.
No Go. Never Ever.
Karte dran, PIN eintippen. Wieso soll das ein Problem mit der usability sein?
In meinem Fall (da ich mich wie der Vorposter mit meiner Identität nie in die Hände von Google oder Apple begeben möchte): Karte in den USB-Kartenleser rein und PIN eintippen. Die Ausweis-App für Linux sieht nicht hübsch aus, aber sie ist super einfach zu bedienen. Ich habe mir das Lesegerät kürzlich angeschafft, um die Steuererklärung mit eID abgeben zu können. Dass das ELSTER-Portal Einen erschlägt, liegt schlichtweg an unserem schreckenerregenden Steuerrecht; da können die Macher des Portals wohl nichts dafür. Aber technisch funktioniert das erste Sahne. Die Webseite steuert direkt die App an, die Treiber waren alle schon da, ohne Zutun. Wenn es einmal läuft, läuft es.
Das macht definitiv mehr Freude, als von irgendeinem Chatbot in mehreren Versuchen durch ein Videoident-Verfahren geleitet zu werden, bei dem man seine Daten nachher sonstwo gelassen hat. Aber DAS ist für Authentifizierung heute der Marktstandard in vielen Fällen. Das ist der Lösungsvorschlag, den die großen Player uns vorwiegend andrehen möchten. Da ist nichts besser dran; die Leute sind es einfach nur eher gewohnt.
Das eigentliche Problem ist das Fehlen digitaler Verwaltungsleistungen. Würden mehr Behörden schlichtweg das anbieten, was die Finanzämter anbieten, würden nicht gar so viele PIN-Briefe ungelesen im Müll landen.
Das ist auch ganz genau meinGrund, warum ich kein „Smart“phone habe – entweder verliere ich Kontrolle über meine Daten oder ich roote und verliere erhebliche Nutzungsmöglichkeiten, die das SM erst sinnvoll machen.
Aber: die eID geht ja auch am PC, auf dem ich ja nun Vollzugriff (und idealerweile ein FOSS-OS) habe.
Tatsächlich hatte ich bislang den -nicht solide recherchierten- Eindruck, dass auch der ePerso strukturelle Unsicherheiten aufweist und muss meine bisherige Meinung wohl mal aktualisieren. Vielleicht habe ich da die Datenschutzkritik an den biometrischen Daten im Person auf den ganzen Perso übertragen?
Insofern danke für https://netzpolitik.org/2023/online-ausweis-keine-strategie-bei-der-elektronischen-identitaet/ – das lese ich mir jetzt nochmal gründlich durch und lasse die ziterten CCC-Expertise mal sacken :)
Gerade in der Diskussion finde ich auch immer interessant welche Sachen man mit der eID machen kann und welche nicht. Als ich damit meine Prepaid-Karte (von Penny) aktivieren konnte fand ich das sehr angenehm. Die Kontoeröffnung bei der comdirect-Bank ging auch ohne Probleme mit der eID ohne dafür in die Filiale gehen zu müssen. Polizeiliche Führungszeugnisse für Arbeitgeber zu beantragen hat mir mit der eID die Möglichkeit gegeben auf den Behördenbesuch zu verzichten.
Andere Behörden oder behördliche Verfahrne wie bspw. ELSTER, die für sich lieber entschieden haben von der eID wegzugehen und dafür auf das NECT-Verfahren (privates Unternehmen, hohe Identifizierungskosten für den Steuerzahler) zu setzen sind dahingehend nicht ganz nachvollziehbar.
Eine interessante Liste über alle die bei der eID mitmachen findet man im Übrigen hier: https://www.personalausweisportal.de/SiteGlobals/Forms/Webs/PA/suche/anwendungensuche-formular.html.
Natürlich geht ELSTER mit der eID.
Dass nebenher so eigenartige Alternativen angeboten werden liegt, fürchte ich, an Kundenwünschen und Lobbying.