IT-Fachleuten gilt der elektronische Personalausweis gemeinhin als gut durchdacht und sicher. Dennoch fristet dessen eID-Funktion auch wegen politischer Versäumnisse ein Nischendasein. Zwei Projekte der Sparkassen und des Föderalen IT-Architekturboards könnten das nun ändern.

Online ein Auto mieten oder den Wohnsitz ummelden – das soll der elektronische Personalausweis (auch neuer Personalausweis, nPA) dank eID-Funktion ermöglichen. So war zumindest die Erwartung vieler, als die Bundesregierung unter Angela Merkel im Jahr 2010 den nPA einführte. Doch die damaligen Erwartungen haben sich bis heute nicht erfüllt.

Dabei können die Voraussetzungen für einen Erfolgskurs des nPA kaum besser sein. IT-Sicherheitsexpert:innen und Datenschützer:innen loben die Technologie in höchsten Tönen. Trotzdem ist es um den nPA ruhig geworden. Die meisten haben ihre PIN zum Freischalten der eID-Funktion verlegt oder verloren. Bis vor zwei Jahren konnten sie sich zwar kostenfrei eine neue PIN per Einschreiben auf dem Postweg zusenden lassen. Doch Anfang 2024 beschloss das Bundesinnenministerium unter der Ampel-Koalition, den Service mit Verweis auf die Kosten einzustellen. Wer die eID nutzen will, muss also wieder aufs Amt gehen.

Zwei Projekte könnten dem nPA nun neues Leben einhauchen: zum einen die neuen Services in den Apps der Sparkassen, zum anderen Neo, eine Kommunikationslösung für Bürger:innen und Verwaltung. Neo wird von der FITKO gemeinsam mit dem Bundesdigitalministerium im Auftrag des Föderalen IT-Architekturboards entwickelt.

Sichere Technologie fristet Nischendasein

Die Versäumnisse der Bundesregierung gipfeln in der Einschätzung des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS), die eID sei eine „nationale Sonderlösung“. Der Bundesrechnungshof widersprach (PDF) explizit dieser Auffassung mit Verweis auf die eIDAS-Verordnung der EU, die die eID-Funktion mit Vertrauensniveau „hoch“ notifiziert.

Dass Bürger:innen und selbst die Bundesregierung der Technologie so wenig Bedeutung beimessen, wäre kaum ein Thema, wenn der nPA mehr in der Fläche genutzt würde, sagt Marco Holz. Er ist IT-Architekt bei der Föderalen IT Kooperation (FITKO). Die Bund-Länder-Organisation entwickelt IT-Lösungen für die öffentliche Verwaltung. „Wenn man den Perso höchstens ein Mal im Jahr benutzt, stehen die Chancen schlecht, dass man sich die PIN dauerhaft merkt.“

Privatpersonen können sich mit der AusweisApp gegenüber Dritten ohne große Hürden eindeutig und authentisch ausweisen. Dank NFC-Technologie (Near-Field Communication) ist inzwischen auch ein Kartenlesegerät überflüssig. Nutzer:innen halten ihren Personalausweis einfach an ihr Smartphone und erlauben so die kontaktlose Übermittlung ihrer Daten.

Um die eID-Funktion voranzubringen, müssten jedoch mehr Behörden, Banken und Versicherungen die eID-Funktion in ihre Prozesse einbauen, so Holz. Das erfordert einen hohen Aufwand, den viele Anbieter scheuten.

Hohe Hürden für die eID

Diensteanbieter, die den nPA nutzen möchten, müssen nachweisen, dass sie berechtigt sind, auf bestimmte Datenfelder des nPA zuzugreifen. Dafür brauchen sie ein elektronisches Berechtigungszertifikat, das sie bei der zentralen Vergabestelle beantragen müssen. Auf diese Weise können nur berechtigte und vertrauenswürdige Anbieter die Daten der Personalausweise auslesen. Jedoch verlangt das Bundesverwaltungsamt für die Berechtigungszertifikate hohe Gebühren. Auch Behörden erhalten sie nicht kostenfrei.

Ist diese erste Hürde genommen, benötigen Diensteanbieter dann einen eID-Server. Den betreiben sie entweder selbst und integrieren ihn direkt in ihre Anwendungen. Oder sie nutzen den eID-Server eines externen Dienstleisters, etwa von Governikus oder adesso. Einen eigenen eID-Server zu betreiben, sei sehr komplex, sagt Holz. „Für Diensteanbieter kommt erschwerend hinzu, dass keine der Server-Implementierungen unter einer Open-Source-Lizenz verfügbar ist.“

Außerdem sei es teuer, einen eigenen Server zu betreiben. Gerade für kleine Kommunen sei das kaum zu stemmen, erklärt Holz.

Sparkassen setzen auf eID

„Die Nutzer sollen sich die PIN ihres nPA für die Nutzung der eID irgendwann genauso gut merken wie die PIN zu ihrer Kreditkarte oder ihrem Smartphone“, so die Vision von Oliver Lauer. Lauer ist Leiter des digitallabor.berlin und Chief Digital Officer des Deutschen Sparkassen- und Giroverbands (DSGV). Zusammen mit dem digitallabor.berlin und Expert:innen der Sparkassen Finanzgruppe hat er die eID-Funktion des nPA in die Apps „tief integriert“. Damit will Lauer ein Vorzeigeprojekt für die eID schaffen.

Kund:innen der Sparkassen können ihren Zugang zum Online-Banking nun einfacher wiederherstellen, wenn sie ihre Zugangsdaten verloren haben, das Smartphone defekt oder abhanden gekommen ist. Bisher mussten sie dafür auf den Freischaltbrief warten, in die Filiale oder an den Geldautomaten gehen. Nun laufe der Reset über die Apps automatisch.

eID lohnt sich

Warum nutzen die Sparkassen ausgerechnet die eID-Funktion des nPA? „In einer digitalen Welt ist der Moment, in dem man sich ausgesperrt hat, in meinen Augen einer der schlimmsten“, sagt Lauer. Für Kund:innen sollte daher ein Weg geschaffen werden, um möglichst schnell aus diesem „Katastrophen-Moment“ herauszukommen.

Jedes Jahr sperrten sich Millionen Bankkund:innen aus, sagt Lauer. Daher lohne sich die eID in der Sparkassen-App, nicht zuletzt auf der Kostenseite. Seit Ende Januar ist die App im Einsatz. Und schon jetzt zeichne sich ab, dass sie zuverlässig laufe und Kosten einspare, auch weil die Sparkassen einen eigenen eID-Server betreiben.

Briefe zur Freischaltung oder persönliche Besuche in den Filialen seien mit erheblichen Kosten verbunden. Ebenso würden sich die Kosten für das VideoIdent-Verfahren auf 10 bis 12 Euro pro Transaktion belaufen.

Auch aus Sicht der IT-Sicherheit bleibt das VideoIdent weit hinter der eID zurück. Denn die eID hat eine physische Komponente, den Chip im Ausweis. Das Vertrauen werde immer zwischen dem eigentlichen physischen Personalausweis und dem eID-Server hergestellt, erklärt Holz. Und die Daten würden immer an den Server geschickt, der das entsprechende Berechtigungszertifikat hat. „Das vermeidet schon sehr viele Angriffspunkte.“

Mit der eID sicher mit Behörden kommunizieren

Gemeinsam mit dem BundID-Team des BMDS entwickelt Holz unter dem Arbeitstitel „Neo“ außerdem eine Kommunikationsinfrastruktur für die öffentliche Verwaltung. Damit sollen Privatpersonen einfacher online mit ihrem Stadtbüro oder Rathaus kommunizieren können, etwa nachdem sie einen Antrag gestellt haben.

Um sicherzustellen, dass eine Behörde personenbezogene Daten an den richtigen Thomas Müller oder die richtige Sandra Müller herausgibt, müssen sich Privatpersonen authentifizieren. Dafür nutzt auch Neo die eID-Funktion des nPA. „Das Ziel ist, dass sich Bürger:innen mit ihrem Personalausweis direkt und so einfach wie möglich in der App einloggen können“, so Holz. „Also Ausweis an das Smartphone halten, die PIN des Persos eingeben und direkt mit dem Rathaus kommunizieren oder den Bearbeitungsstatus der eigenen Anträge einsehen.“

Ähnlich wie in der App der Sparkasse hat auch das Neo-Team das Software Development Kit (SDK) der Ausweis-App direkt in den Dienst integriert. Damit sind sie nicht auf Anbieter von Authentifizierungssystemen angewiesen. Mit Blick auf Privatsphäre, Benutzbarkeit und Datenschutz sei der direkte Weg über die eID ein Gewinn. „Denn ich muss mich nicht mehr gegenüber einem Dritten authentifizieren, der dann meine ganzen Login-Daten kennt und weiß, wann ich mich zum Beispiel bei der Sparkasse oder bei Neo eingeloggt habe.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Online-Kommunikation mit Behörden ist für Bürger*innen und Unternehmen kompliziert, für Verwaltungen oft teuer und aufwendig. Das soll sich ändern: Eine Arbeitsgruppe von IT-Architekten aus Bund und Ländern schlägt vor, wie alle von einer gemeinsamen Infrastruktur profitieren, und empfehlen das offene Kommunikationsprotokoll Matrix.

Zentrales Bürgerpostfach, BundID, OZG-PLUS-Postfach, MeinJustizpostfach und Elster – um mit Behörden zu kommunizieren, richten sich Bürger*innen, Unternehmen und Organisationen verschiedene Postfächer ein. Denn verschiedene Verwaltungen unterhalten jeweils eigene Kommunikationslösungen.

Die stehen derzeit für sich und sind kaum interoperabel. Denn ob Gerichte, Finanzämter, Gesundheitsämter oder Ausländerbehörden: Alle haben eine eigene IT und IT-Architektur, historisch gewachsen und mit unterschiedlichen technischen und rechtlichen Voraussetzungen.

Das soll sich ändern. Bund und Länder wollen eine „moderne und vertrauenswürdige Kommunikationsinfrastruktur im öffentlichen Sektor, die die bislang isolierten Lösungen schrittweise bündelt und die Interoperabilität stärkt“, so André Göbel, Präsident der Föderalen IT-Kooperation (FITKO).

Die Basiskomponente für die Kommunikation ist Teil der geplanten Deutschland-Architektur (PDF), mit der das Bund-Länder-Gremium IT-Planungsrat neuen Schwung in die Digitalisierung der öffentlichen Verwaltung bringen will. Neben der Basiskomponente Postfächer stehen unter anderem auch Komponenten für Bezahlvorgänge und Authentifizierung an.

Vorteile einer gemeinsamen Infrastruktur

Der Flickenteppich aus verschiedenen Postfach-Lösungen sei sowohl für Bürger*innen und Unternehmen als auch für die Verwaltung selbst unübersichtlich, sagt Dominik Braun gegenüber netzpolitik.org. Er ist Referent für IT-Architekturmanagement bei der FITKO und arbeitet mit Vertreter*innen der Länder Hamburg und Sachsen-Anhalt an der Zielarchitektur für Postfach- und Kommunikationslösungen, kurz ZaPuK.

Das Ziel sei, dass sich die einen besser orientieren können, wo sie welche Post vom Staat bekommen; und die anderen müssten ihre Postfächer nicht getrennt voneinander anbinden und unterschiedliche Schnittstellen, Protokolle und Verschlüsselungsverfahren nutzen.

Das könne finanzielle und personelle Ressourcen einsparen und langfristig auch Vorteile im Bereich IT-Sicherheit bieten. Das sagt Andreas Altmann, Projektmanager beim Ministerium für Infrastruktur und Digitales des Landes Sachsen-Anhalt, und Teil von ZaPuK. Mit einem neuen Beschluss des IT-Planungsrats hat das Team nun das Go für die nächste Phase.

Matrix-Protokoll könnte sich durchsetzen

Die klare Empfehlung der Arbeitsgruppe ist das Matrix-Protokoll. Matrix ist ein Protokoll für die Echtzeitkommunikation, dahinter ein offener Standard für dezentralisierte und interoperable Kommunikation. Damit können Nutzer*innen chatten oder telefonieren, ohne von einem spezifischen Diensteanbieter abhängig zu sein.

Matrix soll den Standard Online Services Computer Interface, kurz OSCI, ablösen, so Altmann gegenüber netzpolitik.org. OSCI gibt es seit dem Jahr 2000. Die „Protokollstandards für den sicheren elektronischen Nachrichtenaustausch über das Internet und andere Netze“ wurden speziell für die öffentliche Verwaltung in Deutschland entwickelt.

Kommunen können entsprechende Standards über das ITZBund beziehen, beispielsweise XMeld für das Ummelden der Wohnungsadresse oder XAusländer für Ausländerbehörden. Laut Bundesmeldedatendigitalisierungs- oder Bundesmeldedatenabruf-Verordnung und Gesetz über das Ausländerzentralregister sind sie sogar dazu verpflichtet, OSCI zu nutzen.

IT-Sicherheit im Vordergrund

Gegenüber Alternativen wie dem international genutzten Matrix-Protokoll wirkt OSCI etwas verstaubt. Derzeit setzt beispielsweise der elektronische Rechtsverkehr für den Transport und die Zwischenspeicherung von Nachrichten auf OSCI auf. Wesentliche Nachteile des Standards: Er sei nicht auf Echtzeitkommunikation ausgelegt und OSCI basiere auf Technologien, die auf dem Markt und in der öffentlichen Verwaltung zunehmend weniger verbreitet sind, so die IT-Architekten von ZaPuK auf OpenCode. Vor allem aber unterstütze die eingesetzte XML-Encryption „keine modernen kryptografischen Anforderungen“.

Zur Ende-zu-Ende-Verschlüsselung empfiehlt die Gruppe die Sicherheitsschicht Messaging Layer Security, kurz MLS. Das sei besonders wichtig, so Dominik Braun gegenüber netzpolitik.org. „Als Bürger will ich nicht, dass jede Behörde nachvollziehen kann, was ich mit einer anderen Behörde kommuniziere.“ Dabei spielten verfassungsrechtliche und Privatsphäreaspekte eine Rolle. „Einzelne Behörden sollen über mich nicht Informationen bei sich bündeln können.“

In Sachen IT-Sicherheit sei laut Braun zudem eine Zero-Trust-Betriebsumgebung geplant. Das entspricht auch der Föderalen Digitalstrategie des IT-Planungsrats (PDF). Danach soll jede technische Instanz „nur die minimalen, absolut notwendigen Rechte bekommen“, um bei einem Angriff die Risiken eines Datenabflusses zu reduzieren.

Eine Lösung für alles wäre schön

Ideal wäre: Bürger*innen, Unternehmen, Organisationen und Behörden nutzen eine Postfach- und Kommunikations-Lösung für alles, so Braun. Daher ist die Empfehlung „die Frontends der bestehenden Lösungen wie MeinJustizpostfach, BundID und OZG-PLUS-Konto in einen Client zusammenzuziehen, der als ein Produkt weiterentwickelt wird“.

Ob es dazu kommt, hänge aber von weiteren Entscheidungen ab, zum Beispiel davon, ob es ein zentrales Verwaltungsportal geben soll. Technisch seien verschiedene Anwendungen denkbar.

Ein paar Designziele stehen jedoch fest: Ende-zu-Ende-Verschlüsselung, Echtzeitverhalten, Mobilfähigkeit und Standards aus offenen und wachsenden Ökosystemen wie Matrix. Außerdem ein Anspruch und rechtliche Vorgabe: Die Kommunikation muss bidirektional verlaufen können – „alles von der Zustellung von Bescheiden bis zu Rückfragen an Behörden über Chat“.

Wichtig sei, dass es im Backend ein koordiniertes einheitliches Produktmanagement gibt, so Braun.

Eine lange Liste von Anforderungen

Das ZaPuK-Team nahm im September seine Arbeit auf. Seither „haben wir alle Postfächer beleuchtet: elektronisches Gerichts- und Verwaltungspostfach, Telematik-Infrastruktur aus dem öffentlichen Gesundheitswesen, zentrales Bürgerkonto, OZG-Plus, De-Mail. Dabei haben wir rund 900 Anforderungen ermittelt und auf 160 konsolidiert“, so Andreas Altmann gegenüber netzpolitik.org. Eine entsprechende Liste ist auf OpenCode öffentlich einsehbar wie auch eine weitere Dokumentation des Vorhabens.

Dort können Interessierte technische Überlegungen des Teams nachvollziehen, bewerten, kommentieren und diskutieren. „Wir sind da für jede Meinung, für jeden konstruktiven Beitrag echt dankbar“, so Altmann.

Teil der Auswertung waren zudem Best-Practice-Beispiele, Dokumente und Interviews mit den Betreibern der bestehenden Postfach-Lösungen. Was sind Gemeinsamkeiten, wo unterscheiden sich die Ansprüche? Organisationskonten müssen andere Anforderungen erfüllen als Privatkonten. „Zeitstempel sind zum Beispiel für den elektronischen Rechtsverkehr wichtig, aber nicht per se in anderen Verwaltungskontexten“, erklärt Braun.

Auch gut 60 Gesetze und Verordnungen bezog das Team für die Zielarchitektur ein, so Altmann, vor allem die Datenschutzgrundverordnung, die Single-Digital-Gateway-Verordnung, eIDAS unter anderem. Die Idee sei, dass die Anforderungen langfristig als MUSS zu lesen sind, erklärt Braun. Für die nächste Phase sei ein juristisches Gutachten zur Frage angedacht, was möglich ist und was verändert werden müsste.

Viele Akteure, viele Gespräche

Dafür hat das Team Zeit bis zur 50. Sitzung des IT-Planungsrats im Sommer 2026. Und auch weitere Fragen soll es bis dahin klären: Wie wird das Vorhaben finanziert? Welche Standardisierungsbedarfe gibt es? Wie wird der Weg für bestehende Lösungen in die gemeinsame Infrastruktur geebnet?

Es gebe riesige IT-Infrastrukturen, so Braun. Da könne man nicht einfach unbedarft an den einzelnen Schrauben drehen. „Unser Ansatz ist maximal konstruktiv. In vielen Domänen funktioniert schon vieles sehr gut.“

Jetzt gelte es, mit den Verantwortlichen der jeweiligen Lösungen zu klären, auszuhandeln, teilweise neu zu erarbeiten, was realistisch möglich sei. Neben vielen anderen sind Gesprächspartner die Betreiber von KONSENS-Verbund (koordinierte neue Softwareentwicklung der Steuerverwaltung), Unternehmenskonto, BundID-Konto, Telematik sowie elektronischem Gerichts- und Verwaltungspostfach.

Braun ist zuversichtlich: „Wir haben mitgedacht, dass die verschiedenen Verwaltungsbereiche ihre eigene Backend-Infrastruktur betreiben können, wenn sie das wollen. Sofern Verwaltungen die Anschlussbedingungen an diese Kommunikations-Infrastruktur erfüllen, kann Behörde X im Land Y sich theoretisch dazu entscheiden, die selbst zu implementieren und sich damit an die Architektur anzuschließen.“

Die Verantwortung für den Betrieb hätten Verwaltungen demnach im eigenen Haus. Für diese dezentral organisierte Infrastruktur seien Matrix, aber auch Mastodon Vorbilder gewesen. Die Hypothese sei: „Wenn jeder für das eigene Backend verantwortlich ist, ist es auch einfacher, diversen rechtlichen Auflagen gerecht zu werden.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.