Medienbruchfreie Beantragung hoheitlicher Dokumente. Oder: BSI ist Anwendung für De-Mail eingefallen

Auch das Bundesamt für Sicherheit in der Informationstechnik, das letztens für umfangreiche Fails im Umgang mit der Bekanntgabe kompromittierter Mailadressen Thema unserer Berichterstattung wurde, war auf der CeBIT vertreten. Dort wurde eine Idee vorgestellt, die einen Anwendungsfall für den angepriesenen rechtssicheren deutschen Datenverkehr darstellen soll.

Das Prinzip: Bei Beantragung eines Personalausweises muss der Antragsteller nicht mehr selbst mit seinem Passbild zu Behörde laufen, sondern der Fotograf kann die digital aufgenommenen Lichtbilder via De-Mail an die zuständige Behörde schicken. Eine Pilotstudie wird in diesem Monat in Köln und Göttingen starten.

Auf diese Weise kann das Lichtbild des Antragsstellers elektronisch verschlüsselt und signiert von einem Dritten in das digitale Antragsverfahren eingebracht werden.

ElektrBilduebergabe_Abb

Die Zulässigkeit des Verfahrens hat das BSI laut eigener Angabe bereits 2012 in einer Studie umfangreich geprüft. Als Rechtsgrundlage wird § 7 der Personalausweisverordnung herangezogen:

Wenn die Personalausweisbehörde die technischen Voraussetzungen geschaffen hat, kann das Lichtbild auch […] von Dritten elektronisch verschlüsselt und signiert an die Personalausweisbehörde übermittelt werden, soweit diese Form der Übermittlung durch eine Technische Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik vorgesehen ist

Wir haben schon mehrmals von De-Mail abgeraten. In einer Stellungnahme des CCC hat sich ergeben, dass gravierende Sicherheitslücken bestehen, wie eine mangelnde Ende-zu-Ende-Verschlüsselung und ein höchst zweifelhaftes Verfahren zur Sicherstellung der Identität des Senders und die Authentizität der Nachricht. Nicht, wie vielfach bewährt, über elektronische Signaturen, sondern über eine Bestätigung des Providers. Die „Sicherheit“ von De-Mail beruht nicht auf tatsächlichen technischen Maßnahmen, sondern auf einer gesetzlichen Verordnung.

Man kann also nur dazu raten, sein Passbild weiterhin manuell zur Ausweisbehörde zu tragen. Es ist auch nicht näher beschrieben, wie die Autorisierung der teilnehmenden Fotografen aussehen soll. Und da wir an der wirksamen Autorisierung von De-Mails zweifeln, dürfte es über kurz oder lang nicht ausbleiben, dass Frau Meier bei Abholung ihres Ausweises das Bild von Frau Müller auf ihrem ePerso vorfindet. Aber es ist sowieso zweifelhaft, dass sich das Verfahren durchsetzen wird. Der Vorschlag des BSI dürfte also bloß ein weiterer vergeblicher Versuch sein, De-Mail zu etablieren, genau wie die ebenso auf der CeBIT angekündigte De-Mail-Flatrate des Providers 1&1 und der Mailanbieter GMX und web.de.

Auch eine ernsthafte Wirtschaftlichkeit oder Zeitersparnis bei Durchsetzung der Anwendung liegt nicht vor. Laut der BSI-Studie liegt der Unterschied im zeitlichen Aufwand für den Bürger bei einer Minute und die jährliche Einsparung pro Personalausweisbehörde, unter Annahme einer 30%igen Durchsetzung des neuen Verfahrens, bei nicht ganz 500 €.

8 Ergänzungen

  1. wann die organisierte Krimialität beginnt, sich die lücken in DE-Mail zu Nutze zu machen. Kriminelle gehören ja tradionell zu den „early adopters“.

    Preisfrage: Können BSI und Provider dann in Fällen von Identitätsdiebstahl wegen Beihilfe angeklagt werden?

    PS: Der Fazit von Linus Neumann im Talk bullshit made in germany auf dem 30C3 steht: Die Bundesregierung wird ihren Bürgern nie ein abhörsichers Kommunikationsmittel in die Hand geben.

    Passiver Widerstand (nicht Nutzung von DE-Mail) bleibt daher erste Bürgerpflicht.

  2. … wie wird eigentlich die Manipulation der Lichtbilder verhindert?
    Wäre es nicht ein cooler Hack, das Bild zu pimpen?

  3. Wahnsinn! Dann können die Staubmumien und Endstufenlobotomierten während ihres Pauschalbesäufnises in der Türkei ja endlich ihr digitales Selfie vom Affenfleischgrill aus dem vertrauenswürdigen Internetzcafe ihrer Wahl via der todsicheren De-Müll ganz easypeasy an das E.M.A. für den noch viel todsicherereresten E-Perso mit dem grandios quadratisch-praktisch-toten RFID-Kartoffelchip schicken. Da kann aber auch wirklich gar nichts mehr schief gehen!1!!1

    Nur ein bißchen schade, daß Friedrich und Pofalla (Stan&Oli) nicht mehr dabei sind. Das wären genau die Richtigen gewesen, um diesen Geniestreich öffentlichkeitswirksam vorzustellen.

  4. Erst hat die Frau kein Gesicht, dann lacht sie freundlich.
    Aber ich dachte beim Passbild muss man biometrisch vermessbar sein?
    Bekommt der Passbildautomat am Bahnhof dann auch die De-Mail-Möglichkeit?
    Kostet mich dann das Bild mehr beim Fotographen?

  5. Das Versenden von Passfotos vom Fotografen zur Ausweisbehörde mit De-Mail ist absoluter Unsinn. Es zeigt, dass es keine sinnvollen Anwendungen für De-Mail gibt und dass der ganze Technoschnickschnack von QualSig, eID, nPA, De-Mail nicht der Effizienz und der Sicherheit dient, sondern ein absurdes Beschäftigungsprogramm für das Rheinland ist, dass Bürokratie aufblühen lässt und Unsinn produziert. Deutschland fällt so immer weiter beim E-Government zurück.

    Die Bahn und die Krankenkassen brauchen für das Verschicken von Passfotos keine solchen Pillepalle-Anwendungen, die vom Markt nicht akzeptiert werden. Ins Gesicht muss man nachher (bei den Krankenkassen und Personalausweis) sowieso sehen.
    In meiner Meldebehörde steht ein Fotograf im Container vor dem Gebäude. Ein De-Mailversenden ist für den, mich und die Kommune teurer.

    In Österreich wurde gestern mitgeteilt, dass dort ein paar hunderttausend Nutzer mit Handy signieren statt dem Bullshit in Deutschland. In den USA kann man seit 15 Jahren den Führerschein online (jährlich!) verlängern. In Deutschland bastelt man an Infrastruktur, kommt nicht zu Potte und kann weder Personalausweis, noch Pass, noch Führerschein, noch Ummeldung online durchführen. Wir sind hinter afrikanische Schwellenländer durch solche Spinnereien zurückgefallen.

    Wer fällt diesen E-Government-Boykotteuren bei uns in den Arm?

    1. Hier noch ein Beispiel, das auf der Cebit nun gepriesen wurde für die Modell-Region NRW.
      Man muss es sich auf der Zunge zergehen lassen:
      Nach 17 Jahren Signaturgesetz, wo wir das erste Mal in Deutschland national höhere Hürden zur Verwaltung errichteten als in anderen Staaten und die öffentliche Verwaltung damit faktisch in der Trutzburg eingemauert haben, sind wir in Aachen nicht weiter, als das wir fünf Dienstleistungen online haben:
      http://www.aachen.de/DE/stadt_buerger/politik_verwaltung/behoerdenwegweiser/dienstleistungen_online/index.html
      Sieht man noch genauer hin, sieht man auch, dass selbst diese ein Hoax sind. Da ist nichts staatlich Hoheitliches bei wie Personalausweisantrag, Aufenthaltsgenehmigungsantrag, An-, Ab- oder Ummeldung in Melderegister, Gewerberegister, Standesregister sondern nur Registerabfragen, die ich auch so bekommen kann und die auch Dritte ohne De-Mail oder eID abfragen könnten wie beim Melderegister.

      Am Rande: selbst in der Grenzstadt Aachen sperren wir EU-Ausländer aus, denn die können weder eID noch elektronischen Aufenthaltstitel noch De-Mail bekommen. Und wir boykottieren damit aktiv die EU-Dienstleistungsrichtlinie, Art. 8, und das auch noch mit vollem Vorsatz.

      Unter dem Strich ist das nationales Elend. Im Ausland fängt man langsam an zu lachen, wie wir Bürger und Verwaltung verarschen und die Verwaltung vom Internet fernhalten mit skurrilen, nicht marktfähigen Technologien. Eine nationale Schande ist der Mist.

      Wen technische oder juristische Details des 17-jährigen Elends interessieren, der kann auch hier nachlesen:
      http://wk-blog.wolfgang-ksoll.de/2012/02/26/e-government-in-der-trutzburg-das-rheingold/

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.