Was bringen digitale Ausweise?
Digitales Bürgerinnen und Bürger sollen sich nach dem Willen der Bundesregierung künftig nicht mehr nur mit Papier und Karten ausweisen können, sondern auch mit ihrem Smartphone. Doch das ist nicht ohne Risiko
Ein großes Quadrat aus kleineren schwarzen und weißen Quadraten genießt mehr Vertrauen als der gelbe Papierschein, mit dem wir über Jahrzehnte unsere Impfungen dokumentierten. Der digitale Impfausweis gilt als sichere Methode, nachzuweisen, ob man vollständig gegen Corona geschützt ist – zumindest wenn das Gegenüber den Ausweis auch mit der zugehörigen App einscannt. Eigentlich aber – so der vorgesehene, in der Praxis aber selten umgesetzte Weg – müsste dazu auch der Personalausweis vorgezeigt werden – denn ohne Foto kann nun wirklich jeder einen beliebigen schwarz-weißen QR-Code vorzeigen. Der Personalausweis hingegen ist weiter ein analoges Dokument. So ganz verzichten wir auf analoge Ausweise noch nicht. Das könnte sich in Zukunft aber ändern.
Wobei: Bereits seit dem Jahr 2010 verfügt der „neue“Personalausweis im Scheckkartenformat über einen elektronischen Chip, mithilfe dessen
Viele Prozesse sind digital, doch die Identifikation nicht
man sich beispielsweise auch im Internet ausweisen könnte. Durchgesetzt hat sich diese Funktion nie wirklich. Zu groß sei der Aufwand für Unternehmen, eine solche Authentifizierung anzubieten, heißt es von Kritikern. Dabei gäbe es durchaus Anwendungsfälle, der Abschluss eines Handyvertrages etwa. Doch der geht normalerweise anders vonstatten: Um sich gegenüber dem Mobilfunkanbieter auszuweisen, muss man in der Regel zur nächsten Postfiliale laufen, seinen Personalausweis vorzeigen und so mittels des sogenannten Postident–Verfahrens die eigene Identität belegen. Die Post bestätigt dann dem Anbieter, dass sie den Ausweis geprüft hat. Alles ganz analog also.
Das ist nur eines von vielen Beispielen, bei denen die oftmals schon vollständige digitale Kommunikation durch analoge Identifikation unterbrochen wird – die Eröffnung eines Girokontos ist ein anderes. Ganz zu schweigen von Behördengängen, die sich nur selten auf digitalem Weg erledigen lassen. Für das Bundeskanzleramt „stellen fehlende digitale Nachweise eines der größten Digitalisierungshemmnisse unserer Zeit dar“, wie es in einem Konzeptpapier aus dem Frühjahr dieses Jahres heißt. Das langfristige Ziel: Ein mäßig futuristisch klingender Aktenschrank“für Bürgerinnen und Bürger, Unternehmen, Vereine und Behörden, ein „Ökosystems digitaler Identitäten“.
Funktionieren soll das so: Ein Aussteller – beispielsweise das Einwohnermeldeamt – gibt einem Bürger oder einer Bürgerin einen elektronischen Nachweis. Den kann dieser in seiner digitalen Brieftasche speichern. Gleichzeitig wird ein Schlüssel in einem dezentralen Netzwerk hinterlegt. Dezentral bedeutet, dass mehrere Mitglieder dieses Netzwerks sicherstellen, dass die hinterlegten Daten korrekt sind. Weist sich die Person gegenüber einer Behörde, einem Unternehmen oder einer anderen Stelle aus, kann die Identität mithilfe des in dem Netzwerk hinterlegten Schlüssels prüfen. „Self Sovereign Identity“(deutsch: selbstbestimmte Identität) nennt sich dieser Ansatz.
Es soll eine Infrastruktur aufgebaut werden, „die den sicheren Austausch von Identitätsattributen zulässt, europaweit für einen Einsatz geeignet ist und gleichermaßen für Identitäten von Menschen, Institutionen und Dingen funktioniert“. Zunächst sollen „zehn Anwendungsfälle mit hoher Alltagsrelevanz für Bürgerinnen und Bürger“umgesetzt werden. In einem davon sollen Geschäftsreisende leichter in ein Hotel einchecken können. Sie können nach den Plänen der Bun„digitaler desregierung gebündelt die Adresse ihres Arbeitsgebers und ihre Identität mit einem Nachweis der Bundesdruckerei übermitteln. Dieses Modellprojekt ist im kleinen Rahmen mit drei Hotelketten im Frühjahr angelaufen. Die Pläne gehen aber wesentlich weiter. In der digitalen Brieftasche soll nach dem Willen der Bundesregierung „perspektivisch nahezu jeder Identitätsnachweis – angefangen vom Personalausweis über den Führerschein bis zur Geburtsurkunde – abgebildet sein“. Das Projekt soll Deutschland zum Vorreiter in der EU machen.
Ein erster Schritt auf diesem Weg, die App „ID Wallet“, die unter anderem den digitalen Führerdiese schein beherbergen soll, ging offenbar ziemlich daneben: Die App wurde veröffentlicht, kurz darauf aber wieder aus dem Verkehr genommen, nachdem Sicherheitsexpertinnen und -experten auf Probleme hingewiesen hatten. Eine davon war Lilith Wittmann, die ebenfalls Schwächen in der Wahlkampf– App der Union und der bayerischen Lernsoftware „Visavid“enthüllte. Sie sprach gegenüber dem Portal Netzpolitik von „grundlegenden Infrastrukturproblemen“, unter anderem einer kritischen Sicherheitslücke. Wittmann ist nicht generell gegen digitale Ausweise. Die Sicherheitsvorkehrungen müssten aber in Hardware „gegossen sein“wie beim neuen Personalausweis und nicht nur in Form von Software auf einem Smartphone installiert werden.
Ähnlich äußert sich der Chaos Computer Club (CCC), einer Vereinigung von IT–Expertinnen und – Experten, in einer Stellungnahme zu den Plänen der Regierung. Ob ein Smartphone sicher sei, hänge – anders als bei einer einheitlichen
Nicht alle Smartphones sind auf dem neuesten Stand
Chipkarte – von verschiedenen Bedingungen ab: Der Marke und Alter des Gerätes und seiner Software auf der einen Seite, dem Update-Verhalten des Besitzers oder der Besitzerin auf der anderen Seite. Ein digitaler Ausweis ist also auf einem neuen Gerät mit aktueller Software sicherer als auf einem Uralt-Modell, das keine Updates vom Hersteller mehr erhält. Außerdem fordern die Sicherheitsexpertinnen und -experten eine „ganzheitlich gedachte Grundarchitektur“und eine Abkehr von kleinteiligen „Insellösungen“. Zudem kritisiert der CCC, dass keine offene Architektur für die digitale Brieftasche geplant sei, Sicherheitsexperten also nicht den Quellcode begutachten könnten, wie es etwa bei der Corona–Warn–App der Fall war.
Bald soll die App „ID Wallet“nach Betreiberangaben wieder online gehen. Von der Bundesregierung hieß es schon Ende September: „Ab heute können sich Bürgerinnen und Bürger auch eine Basis-ID digital von der Bundesdruckerei ausstellen lassen und in der ID WalletApp speichern.“Auch das ist derzeit nicht möglich. Bei der Bundesdruckerei heißt es, dass die ID Wallet App nicht zur Verfügung stehe. „Damit ist die Ausstellung der Basis ID aktuell nicht mehr möglich.“