IT-Fachleuten gilt der elektronische Personalausweis gemeinhin als gut durchdacht und sicher. Dennoch fristet dessen eID-Funktion auch wegen politischer Versäumnisse ein Nischendasein. Zwei Projekte der Sparkassen und des Föderalen IT-Architekturboards könnten das nun ändern.
Online ein Auto mieten oder den Wohnsitz ummelden – das soll der elektronische Personalausweis (auch neuer Personalausweis, nPA) dank eID-Funktion ermöglichen. So war zumindest die Erwartung vieler, als die Bundesregierung unter Angela Merkel im Jahr 2010 den nPA einführte. Doch die damaligen Erwartungen haben sich bis heute nicht erfüllt.
Dabei können die Voraussetzungen für einen Erfolgskurs des nPA kaum besser sein. IT-Sicherheitsexpert:innen und Datenschützer:innen loben die Technologie in höchsten Tönen. Trotzdem ist es um den nPA ruhig geworden. Die meisten haben ihre PIN zum Freischalten der eID-Funktion verlegt oder verloren. Bis vor zwei Jahren konnten sie sich zwar kostenfrei eine neue PIN per Einschreiben auf dem Postweg zusenden lassen. Doch Anfang 2024 beschloss das Bundesinnenministerium unter der Ampel-Koalition, den Service mit Verweis auf die Kosten einzustellen. Wer die eID nutzen will, muss also wieder aufs Amt gehen.
Zwei Projekte könnten dem nPA nun neues Leben einhauchen: zum einen die neuen Services in den Apps der Sparkassen, zum anderen Neo, eine Kommunikationslösung für Bürger:innen und Verwaltung. Neo wird von der FITKO gemeinsam mit dem Bundesdigitalministerium im Auftrag des Föderalen IT-Architekturboards entwickelt.
Sichere Technologie fristet Nischendasein
Die Versäumnisse der Bundesregierung gipfeln in der Einschätzung des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS), die eID sei eine „nationale Sonderlösung“. Der Bundesrechnungshof widersprach (PDF) explizit dieser Auffassung mit Verweis auf die eIDAS-Verordnung der EU, die die eID-Funktion mit Vertrauensniveau „hoch“ notifiziert.
Dass Bürger:innen und selbst die Bundesregierung der Technologie so wenig Bedeutung beimessen, wäre kaum ein Thema, wenn der nPA mehr in der Fläche genutzt würde, sagt Marco Holz. Er ist IT-Architekt bei der Föderalen IT Kooperation (FITKO). Die Bund-Länder-Organisation entwickelt IT-Lösungen für die öffentliche Verwaltung. „Wenn man den Perso höchstens ein Mal im Jahr benutzt, stehen die Chancen schlecht, dass man sich die PIN dauerhaft merkt.“
Privatpersonen können sich mit der AusweisApp gegenüber Dritten ohne große Hürden eindeutig und authentisch ausweisen. Dank NFC-Technologie (Near-Field Communication) ist inzwischen auch ein Kartenlesegerät überflüssig. Nutzer:innen halten ihren Personalausweis einfach an ihr Smartphone und erlauben so die kontaktlose Übermittlung ihrer Daten.
Um die eID-Funktion voranzubringen, müssten jedoch mehr Behörden, Banken und Versicherungen die eID-Funktion in ihre Prozesse einbauen, so Holz. Das erfordert einen hohen Aufwand, den viele Anbieter scheuten.
Hohe Hürden für die eID
Diensteanbieter, die den nPA nutzen möchten, müssen nachweisen, dass sie berechtigt sind, auf bestimmte Datenfelder des nPA zuzugreifen. Dafür brauchen sie ein elektronisches Berechtigungszertifikat, das sie bei der zentralen Vergabestelle beantragen müssen. Auf diese Weise können nur berechtigte und vertrauenswürdige Anbieter die Daten der Personalausweise auslesen. Jedoch verlangt das Bundesverwaltungsamt für die Berechtigungszertifikate hohe Gebühren. Auch Behörden erhalten sie nicht kostenfrei.
Ist diese erste Hürde genommen, benötigen Diensteanbieter dann einen eID-Server. Den betreiben sie entweder selbst und integrieren ihn direkt in ihre Anwendungen. Oder sie nutzen den eID-Server eines externen Dienstleisters, etwa von Governikus oder adesso. Einen eigenen eID-Server zu betreiben, sei sehr komplex, sagt Holz. „Für Diensteanbieter kommt erschwerend hinzu, dass keine der Server-Implementierungen unter einer Open-Source-Lizenz verfügbar ist.“
Außerdem sei es teuer, einen eigenen Server zu betreiben. Gerade für kleine Kommunen sei das kaum zu stemmen, erklärt Holz.
Sparkassen setzen auf eID
„Die Nutzer sollen sich die PIN ihres nPA für die Nutzung der eID irgendwann genauso gut merken wie die PIN zu ihrer Kreditkarte oder ihrem Smartphone“, so die Vision von Oliver Lauer. Lauer ist Leiter des digitallabor.berlin und Chief Digital Officer des Deutschen Sparkassen- und Giroverbands (DSGV). Zusammen mit dem digitallabor.berlin und Expert:innen der Sparkassen Finanzgruppe hat er die eID-Funktion des nPA in die Apps „tief integriert“. Damit will Lauer ein Vorzeigeprojekt für die eID schaffen.
Kund:innen der Sparkassen können ihren Zugang zum Online-Banking nun einfacher wiederherstellen, wenn sie ihre Zugangsdaten verloren haben, das Smartphone defekt oder abhanden gekommen ist. Bisher mussten sie dafür auf den Freischaltbrief warten, in die Filiale oder an den Geldautomaten gehen. Nun laufe der Reset über die Apps automatisch.
eID lohnt sich
Warum nutzen die Sparkassen ausgerechnet die eID-Funktion des nPA? „In einer digitalen Welt ist der Moment, in dem man sich ausgesperrt hat, in meinen Augen einer der schlimmsten“, sagt Lauer. Für Kund:innen sollte daher ein Weg geschaffen werden, um möglichst schnell aus diesem „Katastrophen-Moment“ herauszukommen.
Jedes Jahr sperrten sich Millionen Bankkund:innen aus, sagt Lauer. Daher lohne sich die eID in der Sparkassen-App, nicht zuletzt auf der Kostenseite. Seit Ende Januar ist die App im Einsatz. Und schon jetzt zeichne sich ab, dass sie zuverlässig laufe und Kosten einspare, auch weil die Sparkassen einen eigenen eID-Server betreiben.
Briefe zur Freischaltung oder persönliche Besuche in den Filialen seien mit erheblichen Kosten verbunden. Ebenso würden sich die Kosten für das VideoIdent-Verfahren auf 10 bis 12 Euro pro Transaktion belaufen.
Auch aus Sicht der IT-Sicherheit bleibt das VideoIdent weit hinter der eID zurück. Denn die eID hat eine physische Komponente, den Chip im Ausweis. Das Vertrauen werde immer zwischen dem eigentlichen physischen Personalausweis und dem eID-Server hergestellt, erklärt Holz. Und die Daten würden immer an den Server geschickt, der das entsprechende Berechtigungszertifikat hat. „Das vermeidet schon sehr viele Angriffspunkte.“
Mit der eID sicher mit Behörden kommunizieren
Gemeinsam mit dem BundID-Team des BMDS entwickelt Holz unter dem Arbeitstitel „Neo“ außerdem eine Kommunikationsinfrastruktur für die öffentliche Verwaltung. Damit sollen Privatpersonen einfacher online mit ihrem Stadtbüro oder Rathaus kommunizieren können, etwa nachdem sie einen Antrag gestellt haben.
Um sicherzustellen, dass eine Behörde personenbezogene Daten an den richtigen Thomas Müller oder die richtige Sandra Müller herausgibt, müssen sich Privatpersonen authentifizieren. Dafür nutzt auch Neo die eID-Funktion des nPA. „Das Ziel ist, dass sich Bürger:innen mit ihrem Personalausweis direkt und so einfach wie möglich in der App einloggen können“, so Holz. „Also Ausweis an das Smartphone halten, die PIN des Persos eingeben und direkt mit dem Rathaus kommunizieren oder den Bearbeitungsstatus der eigenen Anträge einsehen.“
Ähnlich wie in der App der Sparkasse hat auch das Neo-Team das Software Development Kit (SDK) der Ausweis-App direkt in den Dienst integriert. Damit sind sie nicht auf Anbieter von Authentifizierungssystemen angewiesen. Mit Blick auf Privatsphäre, Benutzbarkeit und Datenschutz sei der direkte Weg über die eID ein Gewinn. „Denn ich muss mich nicht mehr gegenüber einem Dritten authentifizieren, der dann meine ganzen Login-Daten kennt und weiß, wann ich mich zum Beispiel bei der Sparkasse oder bei Neo eingeloggt habe.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
