Personalausweis sichere Lösung für digitale Identifizierung
Berlin: (hib/HAU) Der vor mehr als zwölf Jahren eingeführte neue Personalausweis (nPA) mit seiner eID-Funktion (elektronische Identität) stellt aus Expertensicht eine eIDAS-notifizierte und sichere Lösung für die digitale Identifizierung dar, wird aber zu wenig genutzt. Das wurde während einer öffentlichen Anhörung des Ausschusses für Digitales zum Thema „Digitale Identitäten“ am Montagnachmittag deutlich. Grundlage der Anhörung war ein Verordnungsvorschlag des Europäischen Parlaments und des Rates zur Änderung der EU-Verordnung im Hinblick auf die Schaffung eines Rahmens für eine europäische digitale Identität sowie ein Bericht der Kommission an das Europäische Parlament und den Rat über die Bewertung der EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS).
Die Bundesregierung verfolge die Weiternutzung und -entwicklung des vorhandenen eID-Systems, hieß es von Seiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die eID-Infrastruktur des deutschen Personalausweises solle um die Nutzungsmöglichkeit der ID-Funktion auf dem Smartphone, der Smart-eID-Funktion, und um eine Wallet-Funktion für weitere Nachweise ergänzt werden, so BSI-Vertreterin Silke Bargstädt-Franke. Gleichzeitig sollen die rechtlichen und sicherheitstechnischen Vorgaben der bestehenden Datenschutz- und IT-Sicherheitsstandards erhalten werden.
Die geringe Verbreitung des elektronischen Identitätsnachweises in der Bevölkerung „war und ist nicht die Folge datenschutzrechtlicher Anforderungen“, betonte Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Vielmehr dürfe sie mit den geringen Anwendungsmöglichkeiten, den Kosten für die teilnehmenden Stellen und „jahrelang fehlender PR für dieses ambitionierte Projekt“ zu tun haben, befand er.
Offensichtlich sei der 2010 eingeführte nPA seiner Zeit so sehr voraus gewesen, „dass das Potential nicht erkannt und verstanden werden konnte“, sagte Christian Kahlo als Vertreter der netzpolitischen Zivilgesellschaft. Beigetragen dazu hätten sicherlich auch vergangene Bundesregierungen, welche die Mittel für Öffentlichkeitsarbeit, um das Potential des nPA zu kommunizieren, „mindestens zweimal ersatzlos gestrichen haben“. Ein Bruchteil der Gelder, die bisher für Forschungsvorhaben im Bereich sogenannter Buzzwordtechnologien (SSI, Blockchain, DLT, Wallets) aufgewendet wurden, hätte seiner Ansicht nach vollständig ausgereicht, um das technische Potential des nPA allen an Digitalisierung interessierten Akteuren in Wirtschaft, Verwaltung und Bevölkerung zu kommunizieren.
Ähnlich sah das Carl Fabian Lüpke vom Chaos Computer Club (CCC). Anstatt die breite Verfügbarkeit dieses eID-Systems praktisch nutzbar zu machen, was kurzfristig möglich wäre, evaluiere die Bundesregierung eine neuartige Technologie, die so genannte „Self Sovereign Identity“ (SSI). Die darauf basierende ID Wallet App habe aber strukturelle Sicherheitsschwachstellen und eine mangelhafte Leistungsfähigkeit. Lüpke forderte die Politik auf, die Forschungsvorhaben zur SSI-Technologie einzustellen und auf die vorhandene solide Technologie des nPA zu setzen.
Mit der eID des Personalausweises verfügt Deutschland laut Isabel Skierka von der European School of Management and Technology (ESMT) über eine der weltweit technologisch sichersten und ausgereiftesten Identitätslösungen und -infrastrukturen. Die eID sei bisher aber weder besonders einfach nutzbar, noch breit anwendbar gewesen. Deutschland verfügt aktuell über kein Ökosystem für digitale Identitäten, das die aktuellen Bedürfnisse der Nutzer und Anwendungsanbieter abdeckt. Eine Strategie der Bundesregierung für digitale Identitäten sei noch nicht klar erkennbar, sagte Skierka.
Digitale Identitäten würden von der Bevölkerung genutzt, wenn sich dadurch für sie Prozesse deutlich vereinfachen, sagte Marian Margraf vom Institut Fraunhofer AISEC. Hierzu sei es aber erforderlich, dass auch eine große Anzahl von Dienstleistungen bereitsteht. Ein Treiber hierfür könnte das Online-Zugangsgesetz sein, das Bund, Länder und Kommunen verpflichtet, ihre Verwaltungsleistungen auch digital anzubieten, auch wenn die Umsetzung sich deutlich verzögert. Untersuchungen vom Fraunhofer AISEC zeigten: Die Bürger stehen digitalen Identitäten sehr positiv gegenüber, kritisieren aber die wenigen Anwendungsfälle.
Der deutsche nPA gelte in Europa als hochsichere eID „mit geringer Nutzung“ und sei im eIDAS-Notifizierungsverfahren als elektronisches Identifizierungsmittel hoch anerkannt worden, sagte Peter Parycek vom Institut Fraunhofer FOKUS. Allerdings könnten hochsichere Systeme, die nicht genutzt werden, im Ergebnis zu einem unsicheren gesellschaftlichen Gesamtsystem führen. Aus dieser Perspektive sei nicht nur die technische Sicherheit zu beurteilen, sondern mit der Benutzerfreundlichkeit in Balance zu bringen, forderte Parycek.
Kim Nguyen, Geschäftsführer der D-Trust GmbH, einem Tochterunternehmen der Bundesdruckerei, sprach sich dafür aus, die gut etablierte und einfach nutzbare eID-Funktion des Personalausweises für Verwaltung und Wirtschaft zu fördern und die Nutzerfreundlichkeit über die Smart eID im mobilen Kontext zu verbessern. Eine einheitliche EU-Lösung ist laut Nguyen aktuell nicht in Sicht. Um die europäische Dimension im Blick zu behalten, sollte der Bund eine nationale hoheitliche Rolle mit der Smart eID als Kernidentität aber mit offenen Schnittstellen als nutzbare Referenzimplementierung zur Verfügung stellen.
Aus Sicht von Rebekka Weiß vom Branchenverband Bitkom hat man sich im vergangenen Jahrzehnt in zu vielen nicht koordinierten Einzelprojekten „verfranzt“. Aufgrund unübersichtlicher Zuständigkeiten seien zu schnell zu viele neue Projekte gestartet worden, „ohne das es je eine kohärente ID-Strategie national oder auf EU-Ebene gegeben hat“. Diese müsse nun schnellstmöglich auf Basis der bereits geleisteten Arbeit entwickelt werden, forderte Weiß. Die seit mehr als einen Jahrzehnt existierende eID-Funktion des nPA sei als Lösung für die digitale Identität schon im Mark. Die noch nicht vollständige Marktdurchdringung und nicht flächendeckende Verwendung habe jedoch dazu geführt, dass Deutschland mittlerweile von anderen EU-Mitgliedstaaten überholt worden sei.