Wenige Tage vor der Bundestagswahl wurde in Deutschland der digitale Führerschein auf Basis der sogenannten ID-Wallet der Öffentlichkeit vorgestellt. Die Smartphone-App wurde in kurzer Zeit etwa 300.000 Mal heruntergeladen. Offenbar war die Systemarchitektur jedoch auf diesen Andrang nicht vorbereitet, sodass die Nutzung der App nach kurzer Zeit nicht mehr möglich war. Zudem wurden schnell grundlegende Sicherheitsbedenken geäußert (Tagesspiegel Background berichtete). Damit reiht sich der digitale Führerschein in der Berichterstattung nahtlos ein in die lange Reihe gescheiterter öffentlicher IT-Projekte in Deutschland.
Trotz des fatalen Gesamteindrucks lohnt sich jedoch ein genauerer Blick auf das kritisierte Konzept der ID-Wallet. Denn insbesondere die Pandemie hat wie in einem Brennglas die Schwächen des heutigen digitalen Identitätsmanagements deutlich gemacht: Erstens haben Nutzer zunehmend Schwierigkeiten, die verschiedenen Passwörter für ihre steigende Anzahl von Accounts sicher zu verwalten. Zweitens ist die populäre Einmalanmeldung („Single Sign-on“) von Identitätsanbietern wie Google, Facebook oder Apple mit dem Ziel einer für Nutzer komfortablen und sicheren übergreifenden Identität anfällig für Datenpannen gigantischen Ausmaßes und führt zu Abhängigkeit von den großen Internetplattformen. Drittens werden verifizierbare und einfach zugängliche elektronische Identitätsdokumente immer relevanter; allein das Onlinezugangsgesetz sieht etwa vor, 600 Behördengänge bis Ende 2022 digital verfügbar zu machen.
Voraussetzungen für die Entstehung eines Ökosystems gegeben
Eine Wallet-App erlaubt, digitale Identitäten bequem, effizient und anbieterübergreifend zu verwalten, ohne Sicherheit und Datensouveränität zu opfern. Politik und Wirtschaft in der EU und Deutschland haben das Potenzial dieses Ansatzes erkannt, bei dem Nutzer unterschiedliche Dokumente, wie etwa Personalausweis, Führerschein und Zeugnisse in Form von digitalen Zertifikaten gemeinsam verwalten und bei Bedarf Teile davon in Kombination vorzeigen können. Für das Entstehen eines ganzen Ökosystems entsprechender Anwendungen sind die wesentlichen Voraussetzungen gegeben: Datenhoheit gewinnt zunehmend an Relevanz und rechenstarke Smartphones mit Möglichkeiten zur sicheren Speicherung kryptographischer Schlüssel und Kameras zum Aufbau bilateraler Kommunikation mittels QR-Codes oder NFC sind allgegenwärtig.
Technisch setzt die ID-Wallet auf bekannten Konzepten für digitale Signaturen auf, gestaltet diese nutzerfreundlich und ergänzt sie durch neue, innovative Technologien. So ermöglichen Zero-Knowledge-Proofs im Vergleich zu etablierten Verfahren zur Verifikation digitaler Zertifikate ein zusätzliches Maß an Datenschutz. Zero-Knowledge-Proofs sind Mechanismen, mit denen eine Person beweisen kann, dass eine Information wahr ist – allerdings ohne die Information selbst preiszugeben. Blockchains wiederum empfehlen sich als dezentrale Alternative zu den von Webseiten bekannten sogenannten Certificate Authorities, um die Zuordnung von Signaturschlüsseln und Institutionen zu veröffentlichen. Entsprechend wird diese Technologie aktuell nicht nur in Deutschland von Unternehmen und Forschungseinrichtungen erprobt.
Sicherheitslücken kommen durch handwerkliche Fehler
Die Implementierung des Führerscheins als digitales Zertifikat in der ID-Wallet weist ohne Zweifel Sicherheitslücken auf. Es handelt sich aber um handwerkliche und damit leicht zu behebende Fehler aufgrund eines vorzeitigen Releases. Die grundsätzliche Kritik am Konzept der ID-Wallet ist in unseren Augen nicht berechtigt und es wäre fatal, wenn nun wegen des vorzeitigen Rollouts des digitalen Führerscheins sämtliche innovative Lösungen für ein zertifikatsbasiertes digitales Identitätsmanagement in Misskredit gebracht werden: Europa und Deutschland benötigen dringend eine Alternative zu einem digitalen Identitätsmanagement, das von Big Tech dominiert oder über eine überforderte zentrale, staatlich organisierte Datenbank mit allen bedenklichen Implikationen für die Privatsphäre organisiert wird. Denn es geht nicht mehr nur um sichere, maschinen-verifizierbare digitale Identitäten von Personen, sondern zunehmend auch um digitale Identitäten für Unternehmen, Geräte und Sensoren, die innerhalb und übergreifend für das Lieferkettenmanagement, das Gesundheitswesen oder die Energiewirtschaft genutzt werden.
Forschungsprojekte wie die Schaufensterprojekte Sichere Digitale Identitäten des Bundeswirtschaftsministeriums, Pilotierungsprojekte wie beim Bundeskanzleramt, die Nutzung von Experimentierklauseln wie für den digitalen Hotel-Check-in oder die digitale Legitimitätsprüfung beim Eröffnen eines Bankkontos oder das Blockchain Machine Identity Ledger der Dena sind erfolgreiche und wichtige Schritte. Diesen müssen jetzt konsequent weitere folgen, etwa durch ein starkes Engagement der nächsten Bundesregierung bei der Gestaltung der „European Digital Wallet“, der Überarbeitung der eIDAS-Verordnung, und der praktischen juristischen Gleichstellung von digital signierten Dokumenten.
Rückschläge wie beim digitalen Führerschein sollten uns nicht veranlassen, innovative Lösungen wie die ID-Wallet wie das „Kinde mit dem Bade auszukippen“: Unsere europäischen Identitätslösungen mit höchsten Anforderungen an die Datensouveränität unterscheiden sich grundsätzlich von den Angeboten US-amerikanischer und chinesischer Internetkonzerne. Geben wir der ID-Wallet die Unterstützung, die sie verdient.
Jens Strüker ist Professor für Wirtschaftsinformatik und Digitales Energiemanagement an der Universität Bayreuth und stellvertretender Leiter der Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT.
Johannes Sedlmeir beschäftigt sich im Rahmen seiner Promotion an der Universität Bayreuth und als Mitarbeiter am Fraunhofer Blockchain-Labor mit Lösungen für digitale Identitäten.