Die App „ID Wallet“ sollte unter anderem den digitalen Führerschein für einfacheres Carsharing bringen, kurz nach dem Start war sie aber bereits wieder aus den App-Stores verschwunden. Zuvor hatten IT-Sicherheitsexpert:innen wie Lilith Wittmann auf Twitter auf Probleme hingewiesen: eine konzeptionell kaputte Blockchain-Technologie, DNS-Server mit Zonentransfer und Probleme bei der Einrichtung.
Doch was heißt das eigentlich und wie kaputt ist das alles wirklich? Immerhin soll die App bald wieder verfügbar sein. Wir haben Lilith Wittmann dazu interviewt.
netzpolitik.org: Was ist ID Wallet und wofür braucht man das?
Lilith Wittmann: ID Wallet ist eine App, mit der man Ausweise in einer Smartphone-App importieren und sich danach gegenüber anderen identifizieren kann. Das soll zum Beispiel für den Personalausweis oder Führerschein gehen und für ganz viele andere Ausweise in der Zukunft. Dadurch soll es genauso einfach sein, seine Identität mit einem Smartphone zu bestätigen wie ein Check-In mit QR-Code – sowohl im analogen wie im digitalen Raum.
netzpolitik.org: Wer hat sich das ausgedacht?
Lilith Wittmann: Das war ein Projekt, an dem verschiedene Ministerien beteiligt waren, zum Beispiel das Bundeskanzlerinnenamt und das Verkehrsministerium. Es ist aus dem BMWi-Projekt „Schaufenster Sichere Digitale Identitäten“ hervorgegangen. Parallel zum dem Projekt wollte die Bundesregierung bereits Anwendungsfälle für die eID veröffentlichen. Deswegen entschied man sich dazu, parallel das Projekt „Digitale Identititäten“ zu initieren. Dieses soll primär die Möglichkeit zu Check-Ins in Hotels mithilfe der elektronischen ID ermöglichen. Die Digital-Enabling GmbH, die zur esatus AG gehört, hat das dann kurz vor der Wahl ID Wallet rausgebracht.
netzpolitik.org: Aber kurz nach der Veröffentlichung war ID Wallet schon wieder weg. Was ist an ID Wallet alles kaputt?
Lilith Wittmann: Das teilt sich grob in drei Bereiche: Das eine waren grundlegende Infrastrukturprobleme – ein schlecht konfigurierter Domain-Name-Server, was eine Gefahr darstellte. Es sieht so aus, als hätten sie ID Wallet offline genommen, nachdem dieses Problem öffentlich wurde.
Gesprächige Domain-Name-Server und Subdomain-Übernahmen
netzpolitik.org: Was ist das Problem mit dem DNS-Server und was macht der überhaupt?
Lilith Wittmann: Im Internet gibt es ein Namenssystem: Wenn ich auf google.de gehe, dann ist das der Name. Daraus muss ich eine Adresse machen, unter der ich den Server erreichen kann. Dafür ist der Domain-Name-Server zuständig. Man schickt einen Namen oder eine Adresse im Internet, der DNS-Server sagt dann: „Dieser Server, jene IP-Adresse ist zuständig – frag da nach Informationen.“ Die DNS-Server von Digital Enabling haben einen Zonentransfer zugelassen: Wenn ein Zonentransfer angeschaltet ist, dann bedeutet das, dass ich alle Daten, die in einem DNS-Server drinstehen, auslesen kann. Ich bekomme also alles, was an Namenseinträgen auf dem Server vorhanden ist.
Das wird kritisch, wenn da Zonen drinstehen, die auf einen Cloud-Anbieter verweisen. Wenn ich eine Domain habe, die zeigt auf den Cloud-Service Azure und die wird aber bei Azure gar nicht mehr benutzt, dann kann die sich bei Azure jeder nehmen und einen eigenen Service betreiben.
Wenn es also eine Subdomain wie personalausweis.digital-enabling.de gibt und die jeder übernehmen könnte, würden die Nutzer:innen denken: Das ist eine Seite, die zu Digital Enabling gehört, der kann ich vertrauen. Aber weil die auf den Cloudanbieter verwiesen hat, konnte sich die Subdomain jeder schnappen und da etwas machen.
Das ist kritisch, wenn das in einem Domain-Name-Server drinsteht. Wenn der das dann auch noch proaktiv verrät, ist das richtig kritisch. Dann kann ich als Angreiferin leicht schauen, welche Domains ich übernehmen kann. Das haben auch Personen bei ID Wallet ganz praktisch demonstriert.
netzpolitik.org: Das war eines der Probleme. Welche gab es noch?
Lilith Wittmann: Das zweite war ein Lastproblem, die Server waren von den Nutzer:innen überfordert. Das dritte Problem: Anscheinend hat niemand nachgedacht, zumindest kann ich es mir anders nicht erklären. Wenn ich jemandem meine digitale Identität gebe, kann ich bei ID Wallet nicht sehen, wer das gerade nachfragt. Wenn mir auf der Straße jemand in normalen Klamotten sagt: „Ich bin Polizist, zeig mal deinen Ausweis!“, würde ich zuerst nach dem Dienstausweis fragen, bevor ich irgendetwas zeige oder sage. Dieser Mechanismus von „Wer ist das eigentlich, der nach meiner Identität fragt?“, der war überhaupt nicht implementiert.
Bei ID Wallet hat man die erste Version des sogenannten DIDComm-Protokolls genutzt. Das grundlegende Problem ist, dass das nur ganz grob ein Protokoll beschreibt und nicht so richtig auf denn Anwendungsfall für digitale Identitäten bezieht. Auf viele Dinge legt das DIDComm-Protokoll nicht so viel wert. Eines davon ist dieser initiale Vertrauensaufbau. Da fehlt, dass sich die Gegenstelle authentifiziert. Man ging also davon aus, dass irgendwo im Internet ein QR-Code ist und der sagt: „Hallo, ich bin die Polizei.“
Die Nutzer:innen können nicht nachprüfen, wer da wirklich fragt. Man könnte also einfach die persönlichen Daten abziehen. Und wenn die einmal weg sind, ist es zu spät, weil die in einer Blockchain signiert abgelegt sind. Da ist für immer und ewig klar, dass das echte Daten sind. Das lässt sich nicht mehr rauslöschen.
Blockchain: Cool, modern – und fehl am Platz
netzpolitik.org: Warum hat man dann Blockchains genutzt?
Lilith Wittmann: Für mich gibt es keine sinnvolle Begründung, so ein Projekt mit einer Blockchain umzusetzen. Außer, jemand sagt: „Das ist super cool und modern und wir haben die richtigen Kontakte.“ Das wirkt wie ein riesiger Rückschritt in der Debatte der letzten zehn Jahre, wie digitale Identitäten sicher und sinnvoll funktionieren könnten.
Bei der benutzten Distributed-Ledger-Technologie gibt ist eine Datenbank, bei der der letzte Eintrag sich auf den vorherigen Eintrag bezieht und signiert ist. Diese Daten sind verteilt – „distributed“. Es gibt mehrere Datenbank-Server, die an verschiedenen Orten stehen und die müssen sich über einen Konsens-Algorithmus darüber einig werden, was der nächste Eintrag in der Datenbank ist und wie der signiert ist.
Diese Datenbank soll dann bei verschiedenen Unternehmen repliziert stehen und nicht nur bei staatlichen Stellen. Warum diese Daten bei privatwirtschaftlichen Unternehmen landen werden, erschließt sich mir nicht. Digitale Identitäten werden ja eigentlich vom Staat ausgestellt.
netzpolitik.org: Wenn es so viele Probleme gibt: Kann man das noch fixen oder sollte man neu anfangen?
Lilith Wittmann: Es gibt konzeptionelle Probleme. Es gibt aber auch eine Firma, die einfachste Infrastrukturdinge nicht hinbekommt. Beides deutet für mich darauf hin, dass es sehr schwierig wird, so ein Projekt sinnvoll umzusetzen. Ich glaube auch, dass es nicht der richtige Weg ist, die Daten in eine Blockchain zu schreiben. Hoffentlich erkennt man bald, dass man das Projekt am besten einfach einstellen sollte.
netzpolitik.org: Ist ein digitaler Ausweis denn immer eine schlechte Idee oder ginge das auch richtig?
Lilith Wittmann: Ich glaube, dass das grundsätzlich geht und man hat auch schon viele Erfahrungen damit gemacht. Dabei hat man auch gelernt, dass Kryptografie in Software nicht ausreicht, sondern dass sie in Hardware gegossen sein muss, so wie wir das beim neuen Personalausweis haben. Über den haben wir eigentlich seit zehn Jahren eine digitale Identität. Wir können sie nur leider nicht so gut nutzen. Das hat vor allem damit zu tun, dass sie nicht zugänglich genug ist.
Wir könnten neue Personalausweise relativ einfach für digitale Identifizierung online benutzen, es müsste nur von der Bundesdruckerei her einfacher werden, sich als Software-Hersteller in dieses Ökosystem einzubringen. Das ist momentan unglaublich teuer und komplex und nur wenige Monopolisten haben da ihre Hände drauf.
Es ist noch viel Arbeit übrig
netzpolitik.org: Wie waren die Reaktionen als du und andere auf Probleme bei ID Wallet hingewiesen haben?
Lilith Wittmann: Danke gesagt hat von den Projektverantwortlichen offiziell natürlich noch niemand. Mir ist zugetragen worden, dass man von einer „Zusammenrottung auf Twitter“ redet, die das Projekt und die Firma zerstören will. Ich glaube, dass wir eher damit helfen, dass wir die Probleme gleich in den ersten Tagen aufzeigen. Lobenswert ist natürlich, dass sie das nach den Hinweisen so schnell offline genommen haben.
Es ist also gelaufen wie immer. Ich habe noch keine Anzeige im Briefkasten wie bei der CDU-Connect-App, aber das dauert ja auch ein paar Monate. Ich hoffe einfach, dass das diesmal nicht passiert.
netzpolitik.org: Warum tust du dir das eigentlich noch in deiner Freizeit an?
Lilith Wittmann: Die positive Rückmeldung aus der Zivilgesellschaft treibt mich viel mehr an als wenn sich jemand aus einem Ministerium oder einer Firma bei mir bedankt.
Ich habe auch das Gefühl, wenn man da nicht raufschaut, macht es erstmal niemand. Und der Prozess, da reinzuschauen, macht ja auch Spaß. Es ist eher die Kommunikation danach, die stressig ist. Ich finde es wichtig, das zu machen – auch wenn es nicht auf so viel Gegenliebe stößt. Mittlerweile treibt mich das eher an, weil ich dann weiß: Da ist noch ganz viel Arbeit übrig.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires