Die Verwaltung war nicht nur im Wahlkampf eine der wichtigsten „Baustellen“ in Sachen Digitalisierung. Um Behördengänge und Verwaltungsverfahren zu optimieren und zu beschleunigen, braucht es jedoch zunächst einen sinnvollen – digitalen – Zugang zu Verwaltungsleistungen. Dazu sollte eigentlich die App „ID Wallet“ beitragen. Doch infolge massiver Sicherheitslücken und zahlreicher Probleme bei der Anwendung muss nun erst einmal nachgebessert werden.
Online ausweisen kann so einfach sein – oder?
Die ID Wallet-App wurde als „digitale Brieftasche“ für das Smartphone angepriesen. Personalausweis, Führerschein und andere Identifikationsdaten sollten dort einfach und sicher importiert und anschließend für Legitimationszwecke genutzt werden können.[1] Beteiligt waren an der Entwicklung unter anderem das Bundesverkehrsministerium sowie das Bundeskanzleramt, parallel dazu wurde das Projekt „Digitale Identitäten“ initiiert.[2]
Zum 23. September 2021, kurz vor der Bundestagswahl, wurde die App veröffentlicht und ermöglichte zunächst den Upload eines digitalen Führerscheins sowie einer „Basis-ID“.[3] Letztere kann, gekoppelt an die ID Wallet-App, auf Grundlage des Personalausweises bei der Bundesdruckerei beantragt und für digitale Hotel-Check-Ins bei Geschäftsreisen genutzt werden.[4] Doch die App wurde nur wenige Tage nach ihrer Einführung bereits zurückgenommen. Auch die vom Kraftfahrt-Bundesamt auszustellende digitale Kopie des Führerscheins gibt es vorerst, d.h. bis zum Re-Release, nicht mehr.[5]
Verbesserte Version angekündigt
Es soll möglich gewesen sein, die gesamte Konfiguration an Subdomains zu einer Domain auszulesen und diverse Hostnamen anzuzeigen, die für einen Subdomain-Takeover verwundbar waren; Man habe eine vermutlich zu Testzwecken eingerichtete Subdomain über eine virtuelle Maschine bei Azure kontrollieren können.[6] Kritik wurde auch am generellen Einsatz der Blockchain-Technologie in dieser Situation geübt – und speziell an deren konkreten Implementierung bei der ID Wallet-App:[7] Beim Zugriff auf digitale Ausweise sei keine überprüfbare Verifizierung des Empfängers vorgesehen. Zudem könne die langfristig nachweisbare Richtigkeit der Ausweisdaten auch im Rahmen des Verkaufs gehackter Daten als „Qualitätsmerkmal“ genutzt werden. So könnten unberechtigte Datenbanken mit echten Daten geschaffen werden – die Folge wäre ein unwiederbringlicher Kontrollverlust.
Die Bundesregierung bedankte sich für die zahlreichen Hinweise der Nutzerinnen und Nutzer in Bezug auf Sicherheits- und Vertrauensfragen sowie Usability der App und kündigte eine eingehende Untersuchung und Verbesserung – unter anderem Design und Kapazität betreffend – an.[8]
Wann die neue Version in den App- und Play Stores verfügbar sein wird, ist noch unklar. Angesichts der erheblichen Sicherheitslücken ist jedenfalls auch ein erheblicher Überarbeitungsbedarf anzunehmen.
Fazit
Eine vertrauenswürdige Identifikations-App, die von möglichst vielen öffentlichen wie auch privaten Stellen als Nachweis akzeptiert wird, ist eine Grundvoraussetzung für weitere Digitalisierungsbestrebungen. Doch digitale Ausweise werden nur dann auf Akzeptanz stoßen, wenn Sicherheitsmängel – zumindest derartig gravierende wie in diesem Fall – weitestgehend ausgeschlossen werden können. Umfassende IT-Sicherheit by Design und by Default ist nicht nur im Interesse der Unternehmen und Behörden, die sich auf einen vertrauenswürdigen Identitätsnachweis verlassen können müssen, sondern gerade mit Blick auf möglichen Identitätsdiebstahl auch im Interesse der Nutzerinnen und Nutzer.
[1] Vgl. Bundesregierung, Nachweise für die digitale Brieftasche, 29.09.2021.
[2] Vgl. CCC-Cybersicherheitsexpertin Lilith Wittmann bei Biselli, Interview zu ID Wallet. Konzeptionell kaputt und ein riesiger Rückschritt, Netzpolitik.org, 03.10.2021; BMI, Das Projekt Digitale Identitäten.
[3] Vgl. Bundesregierung, Nachweise für die digitale Brieftasche, 29.09.2021.
[4] Vgl. Bundesdruckerei, Online-Ausweis: der Personalausweis im technologischen Wandel, 23.09.2021.
[5] Vgl. KBA, Digitale Kopie des Kartenführerscheins.
[6] Vgl. Böck, Digitaler Führerschein nicht mehr im Appstore, Golem.de, 29.09.2021.
[7] Vgl. Wittmann, Mit der ID-Wallet kannst Du alles und jeder sein, außer Du musst Dich ausweisen, Medium.com, 30.09.2021, dort auch zum Folgenden.
[8] Bundesregierung, Nachweise für die digitale Brieftasche, 29.09.2021.
Sämtliche Links wurden zuletzt am 06.10.2021 abgerufen.