Wie sicher ist die eID in der Praxis?

Die kommende Smart-eID bringt den Personalausweis aufs Smartphone. Lesen Sie hier, wie sicher die praktische Funktion wirklich ist.

Mai 2, 2022 - 2 Min.
Picture of: Adrian Straub
Adrian Straub

Die Zukunft von Personalausweis, Führerschein und Co. ist keine Plastikkarte mehr: Ihre Ausweisdokumente sollen die Nutzer zukünftig in digitaler Form selbst verwalten – aufbewahrt in einer sogenannten „Wallet“, also „Brieftasche“, die auf dem Smartphone gespeichert wird. Sowohl in den EU-Ländern als auch in der Schweiz wird das Verfahren der sogenannten eID (elektronische Identität) derzeit heiss diskutiert oder bereits in Pilotprojekten auf seine Praxistauglichkeit getestet. Aber wie sicher ist die eID eigentlich?

Beispiel Deutschland: Im September 2021 wurde vom Parlament mit dem „Gesetz zur Einführung eines elektronischen Identitätsnachweises mit einem mobilen Endgerät“ die gesetzliche Grundlage dafür geschaffen, Dokumente wie Personalausweis, Aufenthaltstitel oder Führerschein in elektronischer Form auf dem Smartphone speichern zu können. Die praktische Einführung der sogenannten Smart-eID hat sich in den vergangenen Jahren mehrfach verschoben: Der zuletzt angepeilte Start im Dezember 2021 wurde verfehlt. 

Vorläufiges Scheitern von ID Wallet

Ein Grund für die jüngsten Verzögerungen bei der Smart-eID dürfte das Scheitern der App „ID Wallet“ im September 2021 sein. In der digitalen Brieftasche sollte ursprünglich eine aus dem Personalausweis abgeleitete „Basis-ID“ sowie eine digitale Version des Führerscheins gespeichert werden – „ID Wallet“ wäre damit eine Art „Smart-eID light“, die weder alle geplanten Funktionen der Smart-eID umfasst noch alle hierfür vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten Sicherheitsanforderungen erfüllt.

Wie unsicher die „ID Wallet“ tatsächlich war, stellten unabhängige Sicherheitsexperten bereits kurz nach Veröffentlichung der App am 23. September 2021 fest: Statt etwa bei der Prüfung des Führerscheins auf einen fest eingestellten Server des Kraftfahrbundesamt (KBA) zuzugreifen, liess sich das Programm mithilfe manipulierter QR-Codes auf einen beliebigen Rechner im Internet umleiten – ein Idealfall für Kriminelle, um Identitätsdaten zu stehlen. Angesichts dieser Anfälligkeit für die sogenannten „Man in the Middle“-Angriffe musste die Bundesregierung die „ID Wallet“ nach wenigen Tagen aus den App-Stores entfernen lassen. Seither befindet sich das Projekt offiziell wieder in der Entwicklung und Erprobung; ein neues Startdatum gibt es nicht.

Eingebaute Sicherheit? Die Smart-eID

Das vorläufige Scheitern von „ID Wallet“ zeigt: beim Thema E-Government lauern viele Fallstricke. Wenn, wie in diesem Fall, elementare Sicherheitsgrundsätze nicht beachtet werden, ist nicht nur die einzelne App betroffen – das Vertrauen von Bürgerinnen und Bürgern in die neuartigen digitalen Ausweise droht auch insgesamt Schaden zu nehmen. Die Smart-eID ist angetreten, hier vieles besser zu machen. Insbesondere in puncto Sicherheit sollen sich vergangene Fehler nicht wiederholen.

Dazu setzt das Smart-eID-Verfahren unter anderem auf das sogenannte Secure Element – einen Chip, der in neueren Smartphones verbaut ist und der zur verschlüsselten Speicherung vertraulicher Daten genutzt werden kann. Dieser „Hardware-Vertrauensanker“ wird zunächst im Rahmen einer Testphase von den Samsung-Smartphones S20 und S21 unterstützt. Im Laufe der weiteren Entwicklung der Smart-eID will das BSI die Liste zugelassener Endgeräte kontinuierlich erweitern.

Von der Karte aufs Smartphone

Aber wie kommt der Personalausweis nun aufs Handy? Voraussetzung ist auch bei der Smart-eID immer noch der Ausweis in Form eines Plastikkärtchens, bei dem zudem die eID-Funktion freigeschaltet sein muss. Auf dem Smartphone wird die für Smart-eID ausgelegte „AusweisApp2“ installiert. Jetzt können Nutzerinnen und Nutzer in der App die einmalige Übertragung ihrer persönlichen Daten starten: Dazu wird die Ausweiskarte an der NFC-Schnittstelle des Smartphones positioniert. Die Bestätigung der Datenübertragung erfolgt mithilfe der persönlichen sechsstelligen PIN, die jeder Ausweisinhaber zur Sicherung der ID-Funktion erhalten hat. Für die mobile Identität auf dem Smartphone muss jetzt nur noch eine neue sechsstellige PIN vergeben werden – dann ist die Übertragung abgeschlossen und die Smart-eID einsatzbereit.

Zwar müssen sich Interessenten derzeit noch etwas gedulden, doch die Smart-eID steht für 2022 in den Startlöchern. Dass sich die deutsche Bundesregierung mit der Einführung Zeit lässt, ist angesichts der Schwierigkeiten mit der „ID Wallet“ verständlich. Die im Vergleich weitaus besser konzipierten Sicherheitsfunktionen lassen bereits jetzt erahnen, dass die Smart-eID das ausgereiftere Produkt ist. Wie sie sich in der Praxis schlagen wird – und insbesondere, ob der Online-Ausweis auch von den Menschen angenommen wird –, wird sich aber erst in den Jahren nach der Einführung zeigen.

 

Mit (C)IAM Gesetzesänderungen 2022 sicher umsetzen