Der Start erfolgt mit großer Fanfare. „Die Technik steht – jetzt geht es in die Anwendungen“, sagt Minister Andreas Scheuer beim Start der „ID Wallet“-App im September. Dem CSU-Minister und seiner Parteikollegin Dorothee Bär kommt die freudige Verkündigung wenige Tage vor der Bundestagswahl wohl gerade recht. Smart, bürger:innenfreundlich und sicher soll die neue App sein – und ermöglichen, Führerschein und später auch andere Identitätsdokumente auf dem Handy vorzuzeigen. Scheuer, der in den vergangenen Jahren für gescheiterte Vorhaben oft mediale Prügel einsteckte, hofft wohl auf positive Schlagzeilen.
Doch das Projekt scheitert krachend: Binnen weniger Tage weisen IT-Sicherheitsexpert:innen massive technische Probleme nach. Hackerin Lilith Wittmann ätzt: „Mit der ID Wallet kannst Du alles und jeder sein, außer Du musst Dich ausweisen.“ Denn jeder mit ein bisschen technischem Know-How konnte Identitäten in der App abfragen. Nur eine Woche nach dem Start zieht das Ministerium die Reißleine, depubliziert die App und will sie reparieren.
Durch eine Informationsfreiheitsanfrage kommt nun raus: Die grundlegenden Sicherheitsprobleme der App waren dem Bundesinnenministerium schon lange bekannt. In einem Schreiben warnt das dem Ministerium unterstellte Bundesamt für Sicherheit in der Informationstechnik im Juni sogar ausdrücklich vor der Verwendung der App. Warum sie trotzdem an den Start ging, bleibt unklar.
Stirnrunzeln über Blockchain-Verwendung
Die Expert:innen des BSI testen eine Pilotversion der App, die für Hotel-Check-ins gedacht ist. Dort tauchen einige der grundsätzlichen Probleme auf, die später für Ärger sorgen: Etwa führt der Einsatz von Blockchain-Technologie zu Stirnrunzeln. Deren Verwendung steigere „die Komplexität und damit einhergehend die grundsätzliche Anfälligkeit für Sicherheitslücken des gesamten Systems bei unklarem Nutzen“, heißt es im Bericht. Für den Betrieb des Blockchain-Netzwerkes und den Identätsnachweis würden kryptographische Protokolle mit teils experimentellem Charakter verwendet, die nicht standardisiert seien und die das BSI nicht empfiehlt.
Auch für IT-Expertin Wittmann ist klar, dass die App auf einer „absolut ungeeigneten technologischen Basis gebaut“ wurde und „konzeptionell kaputt“ sei. Warum die App Blockchain verwendet, kann auf kurzfristige Anfrage von netzpolitik.org beim Bundesverkehrsministerium niemand erklären.
Doch nicht nur die Blockchain der digitalen Ausweis-App steht in der Kritik. Weil es keine Überprüfung der Endpunkte gibt, welche – wie ein Hotel oder ein Autoverleiher – eine Identität abrufen, können potentielle Angreifer einen solchen Endpunkt erstellen und dann an die Identitätsdaten von App-Benutzer:innen gelangen, warnt die vom BSI beauftragte Firma, welche die App getestet hat.
Benutzer:innen könnten daher nicht sicher beurteilen, ob sie „mit der richtigen Stelle kommunizieren“, heißt es in dem ausführlichen Bericht. Ein Punkt, der auch von Wittmann kritisiert wird. Es sei für jemanden, der die App nutzt, „absolut nicht nachvollziehbar, wem er da gerade seine verifizierten Daten gegeben hat.“
Vor Lachen fast vom Stuhl gefallen
Wittmann sagt gegenüber netzpolitik.org, sie sei „vor Lachen fast vom Stuhl gefallen“, als sie die nun öffentliche Einschätzung des BSI gelesen habe. Dabei sind Millionenausgaben wenig lustig für ein Projekt, dessen Mängel den Behörden lange bekannt seien. Die Hackerin hofft, dass der gescheiterte ID-Wallet-Ansatz damit „endgültig für die Verwaltung tot ist“.
Wir haben beim Verkehrsministerium und beim Bundeskanzleramt nachgefragt, ob man dort von den Einschätzungen des BSI wusste. Doch die Verantwortlichen zieren sich. Das Verkehrsministerium sagt, mit einer Antwort sei nicht vor Montag zu rechnen. Auch verweist es darauf, dass die Verantwortung für das Projekt beim Bundeskanzleramt liege. Das Bundeskanzleramt antwortet bislang nicht auf die Anfrage.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires