Digitaler Identitätsnachweis

Ausweis, bitte! Bald auch per Handy?

14. Januar 2022, 8:00 Uhr | Autorin: Diana Künstler | Kommentar(e)

Fortsetzung des Artikels von Teil 1

Das Henne-Ei-Problem

Natallia Karniyevich, Bird & Bird
Natallia Karniyevich ist als Associate im Commercial-Team der Wirtschaftskanzlei Bird & Bird auf IT-Sicherheits- und Datenschutzrecht spezialisiert und berät nationale und internationale Mandanten in den Bereichen Cybersicherheit, Datenschutz sowie bei Technologietransaktionen.
© Bird & Bird

Derzeit ist man gerade dabei, die technischen Voraussetzungen für die Smart-eID zu schaffen.  Elementar sei dabei der Schutz der Identitätsdaten. Dafür sollen Sicherheitsanforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Rechnung tragen, welche die Hardware der Smartphones im Fokus haben und auf einen Sicherheits-Chip, den sogenannten „Secure Element“, setzen. Dass sowohl BSI als auch Bundesdruckerei hier ins Boot geholt worden sind, sieht Lölfing positiv. Das bürge für eine hohe Sicherheit und halte auch die digitale Souveränität hoch. Auch den Fokus auf eine Hardware-basierte Lösung befürwortet er aus sicherheitstechnischer Sicht – vor allem wenn man bedenkt, dass der digitale Führerschein, der schlussendlich floppte, Software-basiert aufgesetzt war. „Der Grund ist unter anderem auch der, dass bei einer Hardware-basierten Lösung viel besserer Schutz besteht, weil nicht alles unmittelbar an das Betriebssystem oder die Software gekoppelt ist, die ein größeres Einfallstor für Viren usw. darstellen“, so Lölfing. Natürlich kämen, so Karniyevich, auch andere Sicherheitsfaktoren dazu – wie zum Beispiel der Smartphone-Nutzer oder das Mobilgerät selbst, das möglicherweise verloren gehen oder verliehen werden kann. Es entstünden also parallel viele weitere Fragestellungen, die gelöst werden müssten. Zunächst sollen im Folgenden Geräte aus der Reihe Samsung Galaxy S unterstützt werden, denn Samsung setzt als Projektpartner in ersten Smartphones Secure Elements mit den vom BSI definierten Sicherheitsanforderungen ein. Die ersten BürgerInnen sollen damit die Smart-eID bereits im Dezember 2021 nutzen können. Der CCC hingegen sieht seiner Stellungnahme vom Mai 2021 zufolge hierin ein Versäumnis seitens der Regierung.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass
Lölfing: „Sicherheit ist schön und gut, aber damit bekommen wir keine Nutzerakzeptanz. Sicherheit ist allerdings auch nicht verhandelbar, zumindest nicht in dem Bereich. Deswegen finde ich das Setup mit BSI und Bundesdruckerei richtig und auch wichtig, um da letztlich auch die digitale Souveränität hochzuhalten. Was hat man davon, wenn Lösungen schlussendlich unsicher sind und wie der digitale Führerschein zurückgenommen werden müssen?“

Markus Drenger: „Anstatt das Thema der Authentifizierung einmal ordentlich zu lösen, wird eine weitere Insellösung geschaffen. Die Bundesregierung sollte aufhören, ständig das Rad neu erfinden zu wollen. ‚Mit 100 Millionen Euro gegen die Wand‘ scheint hier das Motto der Bundesregierung zu sein.“ Ein wenig scheint man sich die Kritik zu Herzen genommen zu haben, denn parallel arbeitet das Bundesministerium des Innern, für Bau und Heimat (BMI) nach eigener Aussage mittlerweile daran, die Anzahl der unterstützten Geräte zu erhöhen. Zielsetzung sei es, in der ersten Jahreshälfte 2022 die Smart-eID auf den meisten im Handel verfügbaren Smartphones nutzbar zu machen. Eine entscheidende Rolle wird hierbei spielen, dass man weitere Verschlüsselungslösungen – auch fernab vom Secure Element – zulässt (siehe auch „Drei Varianten für den E-Perso“). Die Umsetzung wird sicherlich eine Herausforderung werden. Denn dass bisher nur Samsung mit an Bord ist, aber andere Endgerätehersteller nicht, ist von Nachteil. „Hier herrscht das Henne-Ei-Problem“, so der Associate . „Wenn es noch kein digitales Ökosystem gibt, keine Dienstleister, die so etwas anbieten. Wo ist der Anreiz für die Smartphone-Hersteller zu sagen, unsere Kunden wollen das auch? Wie finanzieren wir das jetzt und nehmen die zusätzlichen Kosten in Kauf?“ Interessant ist dabei auch die Frage, wie man seitens der EU möglichst breite Bevölkerungsschichten dazu animieren will, die eID-Funktion zu nutzen. Lölfing: „Was ist, wenn diese hohen Sicherheitsstandards möglicherweise zunächst nur von sehr hochpreisigen Smartphone-Modellen erfüllt werden können?“ Hier sei von besonderer Relevanz, dass alle Bevölkerungsteile mitgenommen und bestimmte sozial schwächere Gruppen nicht ausgeschlossen würden. Auch für Rainer Rehak vom FIfF würden sich daran trotz diverser IT-Sicherheitsgesetze erneut die allgemeinen Versäumnisse der deutschen Digitalpolitik abzeichnen: „Sozio-ökonomische Ungleichheiten in der Gesellschaft werden weiter zementiert. Sichere und erschwingliche Endgeräte sind weder aktuell noch in naher Zukunft für die breite Bevölkerung vorhanden, weil Mindeststandards fehlen und politisch-wirtschaftliche Verantwortlichkeiten nicht gesetzt werden. Letztlich entscheidet dann der Geldbeutel der Nutzenden, und die Früchte der Digitalisierung bleiben bei den ohnehin Privilegierten. Unter diesen Versäumnissen leiden natürlich alle Digitalisierungsvorhaben.“

Anreize schaffen, strategisch-digital denken

Entscheidend für die Nutzung der Smart-eID (und im Grunde auch der originären Online-Funktion des Ausweises) wird neben dem Sicherheitsfaktor vor allem die Akzeptanz durch den Nutzer sein. Und diese kann nur mit entsprechenden Anwendungsfällen gefördert werden, die den Alltag eines jeden erleichtern. „Jetzt geht es darum, Use Cases zu generieren und die richtige Balance beim Einbinden weiterer Anbieter und Smartphone-Hersteller zu finden. Nur wenn wir das schaffen – die Nutzung von Smart-eID attraktiv zu machen und gleichzeitig Sicherheit zu gewährleisten –, werden wir einen enormen Schritt in die richtige Richtung der Digitalisierung machen können“, unterstreicht Natallia Karniyevich. Neben E-Government-Dienstleistungen sieht die Bird & Bird Associate auch die Altersverifikation als potenziellen Anwendungsfall. „Weitere Use Cases können Bankenleistungen, aber auch der digitale Führerschein sein“, so Karniyevich.

„Ein Treiber kann sicherlich das Onlinezugangsgesetz (kurz OZG) sein“, wirft Nils Lölfing ein. Es verpflichtet Bund, Länder und Kommunen, bis Ende 2022 ihre Verwaltungsleistungen über Verwaltungsportale auch digital anzubieten. Insgesamt wurden knapp 600 gemäß OZG zu digitalisierende Verwaltungsleistungen (sogenannte OZG-Leistungen) identifiziert. „Stand jetzt ist rund ein Fünftel umgestellt worden. Es ist also noch sehr viel zu tun“, gibt Karniyevich zu bedenken. „Auch wenn viele bezweifeln, dass der Staat es bis dahin schaffen kann, ist es wichtig, dass so etwas gesetzgeberisch forciert wird. Und selbst wenn es erst ein wenig später als ursprünglich anvisiert umgesetzt würde, wäre das ein großer Schritt für das sogenannte E-Government“, ist Nils Lölfing überzeugt.

Viel Zeit bleibt allerdings – wie bereits angesprochen – nicht. Und auch an den Grundlagen für die Etablierung müsste laut Chaos Computer Club noch einiges geändert werden. Klar erkennbar sei das auch daran, dass im Entwurf diverse Umsetzungsaufwände fehlen würden, etwa um als Service- oder App-Anbieter aufzutreten. „Auch hier wird ersichtlich, dass dem Gesetz keine digitale Vision zugrunde lag, sondern in analoger Verwaltungsdenke verharrt worden ist“, heißt es in der gemeinsamen Stellungname von CCC und FldF vom Mai 2021. Für Markus Drenger fungieren das Thema Personalausweis und Führerschein auf dem Smartphone in dem Kontext als Negativbeispiele dafür, „wie notwendige Planung und Konzeption vernachlässigt werden, wenn ein Minister eine Forderung aufstellt“. Seiner Meinung nach könnten ÖPNV-Tickets, Heilberufsausweise im E-Health-Bereich, Anmeldungen an Ladesäulen in neuen Energienetzen, Signaturkarten für Anwälte und Notare sowie sichere 2FA-Anmeldungen auf eine gemeinsame technische Basis stellen. Hier liegt enormes Potenzial, das bisher noch nicht gehoben worden ist. „Der Staat könnte als Plattform enorme Netzwerkeffekte erzeugen, wenn strategisch gedacht würde“, so der CCC-Sprecher.


  1. Ausweis, bitte! Bald auch per Handy?
  2. Das Henne-Ei-Problem
  3. Hintergrund: Drei Varianten für den E-Perso

Das könnte Sie auch interessieren

Verwandte Artikel

BITKOM e. V., Bundesamt für Sicherheit in der Informationstechnik (BSI), funkschau

Anbieterkompass