eID – Bestandsaufnahme


eID ist eine Funktion des neuen Personalausweises. Mit dieser Funktion kann man sich online sicher ausweisen. Der Dienste-Anbieter kann dann sicher sein, dass er es auch tatsächlich mit der Person zu tun hat, die sich anmeldet.

Das Verfahren soll recht sicher sein, das habe ich nicht weiter geprüft. Darum soll es hier auch nicht gehen. Mich interessiert das Thema schon seit langem. Eigentlich seit ich mich mit sicheren Login-Verfahren auseinandersetze. Das fing schon während der Ausbildung an, als ich mit Online-Banking – damals noch im BTX – und mit TANs zu tun hatte. Ich finde nichts lästiger als TANs. Da helfen auch PhotoTAN, MobilTAN und so weiter nicht.
Also stieg ich so schnell es geht auf HBCI-Banking mit einer Chipkarte um. Hier wird mittels eines RSA-Verschlüsselungsverfahren sämtliche Kommunikation mit der Bank mit Hilfe eines auf einer Chipkarte gespeicherten Schlüssels verschlüsselt. Man braucht keine TAN mehr. Wenn man einen Klasse 3 Chipkartenleser hat, findet die Verschlüsselung sogar auf dem Chipkartenleser statt und man braucht keine Angst vor Key-Loggern zu haben, da die PIN der Karte den Kartenleser nie verlässt. Allerdings ist das Austauschen des Schlüssels mit der Bank recht kompliziert. Außerdem braucht man je Bank einen neuen Schlüssel – also eine eigene Chipkarte mit einer eigenen PIN.

Damals beschäftigte ich mich auch mit PGP und anderen Verschlüsselungsmechanismen. Emails zu verschlüsseln habe ich während des Studiums mit Kommilitonen ausprobiert. Festplatten-Verschlüsselung mit Truecrypt ebenfalls.

Dazu kamen Experimente mit OpenID irgendwann um 2005 herum. Wieder ein guter Ansatz. Um nicht mit 200 verschiedenen Online-Accounts zu hantieren. Aber das Web of Trust war nie groß genug. Außerdem hatten alle Verschlüsselungs- und Authentifizierungsmechanismen einen entscheidenden Nachteil: Sie sind zu kompliziert. Die Einrichtung war nur mit tiefen technischen Wissen möglich. Das Nutzungserlebnis (UX) war von Nerds designt – und so fühlte es sich auch an.
Dann kam der Trend zur Cloud. Alles wurde in RIA (Rich Internet Applications) direkt im Browser abgehandelt, wodurch die Handhabung von Private-Keys problematisch wurde.

Hui. Jetzt hab ich etwas weit ausgeholt. Was hat das alles mit eID und dem Personalausweis zu tun?

Personalausweis Text logo Neben der komplizierten Verwendung war ein weiteres großes Problem, dass man den Schlüsseln nicht trauen konnte. Woher weiß ich, dass der  Schlüssel von Herbert Meier auch wirklich Herbert Meier gehört und sich nicht Klausi Hinterseer als Herbert Meier ausgibt? Es gab keine Garantie. Es gab vereinzelte Versuche ordentliche Zertifikate auszugeben. Die Deutsche Post – mein ehemaliger Arbeitgeber – bot mit der Signtrust ein solches Trustcenter an. Die Zertifikate waren allerdings für den Otto-Normal-Nutzer viel zu teuer und es gab zu wenig Anwendungsfälle.

Die Bundesregierung hat sich Anfang der 2000er also gesagt, dass man eine Möglichkeit bräuchte, dass sich Bürger auch im Netz ausweisen können. Und ich finde sie hat recht. Es gibt so viele Services, die eine verlässliche Identifikation benötigen (Banken, Ü18 Angebote, selbst für Shops ist das interessant). Alle hantieren mit PostIdent oder inzwischen mit obskuren „Zeig mir Deinen Ausweis über die Webcam“-Methoden. Das geht alles irgendwie, ist aber ziemlich lästig.

eID im neuen Personalausweis soll diese Lücke nun schließen. Fieberhaft entwickelt musste das Projekt zum Jahre 2010 eingeführt werden. Warum? Damit der Ausweis gleich eine angemessene Verbreitung hat. 1990 war die Wiedervereinigung. Mit einem Schlag bekamen alle Bürger der damals neuen Bundesländer einen Personalausweis. Dieser ist 10 Jahre gültig. Musste also 2010 zum 2. Mal erneuert werden. Man hätte so mit einem Schlag einen große Menge der neuen Personalausweise unters Volk gebracht.
Leider war es offenbar ein typisches Projekt der Bundesregierung. Technisch mehr oder weniger einwandfrei, wurde scheinbar an der Schulung der Mitarbeiter in den Ordnungsämtern und an der Kommunikation in die Öffentlichkeit gespart. Die Bürger hatten Angst vor der eID Funktion und die Mitarbeiter auf den Ämtern können die Funktion nicht richtig erklären. Ich hörte schon von Fällen, wo den Bürgern auf den Bürgerämtern explizit davon abgeraten wurde die eID-Funktion frei zu schalten.

Also – was ist eID denn jetzt?

eID ist – wie oben erwähnt – eine Funktion des neuen Personalausweises um sich online sicher auszuweisen. Das ganze funktioniert mit Personalausweis, Kartenlesegerät und einer entsprechenden Anwendung (AusweisApp). Diensteanbieter müssen sich eine entsprechende Zertifikats-Infrastruktur zulegen und in ihre Services einbinden. Und hier ist der Haken derzeit. Ein typisches Henne-Ei-Problem: Die Diensteanbieter wollen die Aufwände nicht betreiben, weil zu wenig Bürger die eID freigeschaltet haben. Die Bürger wollen den Ausweis nicht nutzen, weil es zu wenig Services gibt und es wegen der mangelnden Kommunikation Sicherheitsbedenken gibt. Zur Zeit gibt es nur 40 Services, wovon 20 Bürgerdienste von öffentlichen Stellen sind. Einer davon ist mein jetziger Arbeitgeber: die Techniker Krankenkasse. Wir bieten den gesicherten Login in den Mitgliederbereich mittels eID auf dem Personalausweis an.
Bis Anfang des Jahres war die obligatorische AusweisApp eine absolute Katastrophe – klar, ein Produkt des Bundes, der Bundesdruckerei, Siemens und der Telekom… Seit Anfang des Jahres steht die neue Version AusweisApp2 der Firma Governikus im Auftrag des BMI zur Verfügung. Diese ist deutlich besser. Sie ist für Windows und Mac verfügbar und arbeitet mit allen gängigen Browsern zusammen.Bildschirmfoto 2015-04-01 um 22.50.35

Problem weiterhin: Man braucht einen Kartenleser. Bisher gibt es nur ein paar brauchbare. Ich hab mit den Komfort-Leser von ReinerSCT gegönnt, da ich damit auch mein HBCI-Onlinebanking nutzen kann. Damit funktioniert das Ausweisen ganz gut. Das könnte nun wohl auch meine Mutter anwenden. Aber warum sollte sie? Es gibt ja kaum Services.

Wir sind jetzt also auf einem Stand, bei dem man das ganze auch tatsächlich nutzen könnte. Leider 5 bis 10 Jahre zu spät. Es gibt für den Desktop/Laptop Einsatz inzwischen haufenweise Alternativen (Webcam-Ausweis-Zeigen, Postident uvm). Shops leben damit, dass sie erst nach der ersten Bestellung sich einigermaßen sicher sein können, ob ihr Kunde auch existiert. Außerdem hat sich das Internet in Internet-Geschwindigkeit weiterentwickelt. Da kommt der Bund nicht mit.

Inzwischen ist alles mobile. 

Mit dem Tablet oder dem Smartphone ist der Kartenleser bisher nicht zu verheiraten. Der Personalausweis arbeitet zwar mit NFC um seine Daten kontaktlos zu übertragen. In einer mir bekannten – nicht öffentlichen – Bachelorarbeit aus dem Jahre 2012 wurde aber herausgefunden, dass mit modernen NFC-Schnittstellen in Handies nicht zuverlässig gearbeitet werden kann, da die Datenpakete zu groß sind. Inzwischen konnten wir herausfinden, dass es vereinzelt Geräte gibt, die diese Kommunikation unterstützen könnten (Samsung Galaxy S5, LG G3, Sony Xperia Z3).

Dieser Entwicklung trägt nun auch die Bundesregierung Rechnung und hat mit der Firma Governikus einen Feldtest gestartet um herauszufinden, wie man mobil den Personalausweis nutzen kann. An diesem Test nehme ich teil. Bevor der Test startete, war ich guten Mutes, dass es endlich voran gehen könnte. Inzwischen bin ich zurück auf dem Boden der Tatsachen.

Governikus stellte mir einen Bluetooth-Kartenleser Reiner SCT cyberJack Wave zur Verfügung. Diesen solle ich mit meinen Smartphones bzw Tablets verbinden. Dazu gibt es eine App (AusweisApp2 für Android bzw. iOS) welche den gleichen Funktionsumfang haben soll wie die Desktop-Variante.

Die App ist leider für einen öffentlichen Beta-Test absolut unbrauchbar.

2015-03-27 S5 Screen 1

2015-03-27 S5 Screen 2

2015-03-27 NoteEdge Screen 1

2015-03-27 NoteEdge Screen 2

2015-03-27 NotePro Screen 3

Die UI ist eine absolute Katastrophe. Die Actionbar zu klein, die Icons nicht skaliert. Auf dem Note Pro verschwand die Actionbar sogar hinter der Notification-Leiste. Die Buttons waren damit nahezu unbenutzbar, erst mit einer Bluetooth-Maus konnte ich den Button zum Auslesen des Ausweises drücken. Die UI ist missverständlich aufgebaut. Man versteht nicht, was zu tun ist. Mit dem Samsung Galaxy Note 8.0 ließ sich der cyberJack zwar koppeln, aber die AusweisApp2 wollte den Kartenleser nicht erkennen. Tests mit weiteren Android Geräten stehen noch aus. Dazu muss ich erst wieder ins Büro und dort die Testgeräte anzapfen… Immerhin wurde versprochen, dass die App nach dem Feldtest überarbeitet werden soll. Warten wir’s mal ab.

Das Handling mit dem Bluetooth-Kartenleser ist ebenfalls nur für einen Test zu gebrauchen. Das Gerät ist schön klein und handlich. Ich könnte mir fast vorstellen es dauerhaft mit mir herum zu tragen. Allerdings ist es ziemlich umständlich den Kartenleser erst zu verbinden um ihn dann aus der App heraus anzusprechen. Das ist definitiv nicht „mobile“. Mit dem Tablet am Schreibtisch oder auch am Wohnzimmertisch geht das einfacher.

IMG_0001 IMG_0002

Unter iOS sieht es zwar ein bisschen, aber nicht viel besser aus. Es wird Testflight verwendet um die Beta-Version zu verteilen. Das klappt übrigens nur, wenn man die Apple Mail App verwendet. Ich hab es erstmal mit Google Inbox versucht, da öffnete sich Testflight nicht richtig.

Leider lies sich der ReinerSCT cyberJack wave sich bisher nicht dazu bewegen sich mit dem iPhone5 zu verbinden, weshalb ich die Funktion noch nicht testen konnte.

Der Feldtest hat mich also wie vorhin schon erwähnt auf den Boden der Tatsachen zurück geholt. Wir werden wohl noch weiter auf eine vernünftige Ausweismöglichkeit im Internet warten müssen. Einen Ausblick gibt es aber schon: Mit dem Samsung Galaxy S5 konnte ich via NFC-Schnittstelle ohne Bluetooth-Kartenleser den Personalausweis auslesen. So stelle ich mir das Handling mit dem Personalausweis vor. Ich halte ihn einfach hinten an mein Smartphone und kann mich dann direkt damit online ausweisen. Hier lauern natürlich weitere Sicherheitsrisiken wie Screenlogger, gerootete Smartphones etc. Aber das wird die Zeit zeigen. Leider klappte das gleiche mit dem Samsung Galaxy Note Edge nicht. Was mich wunderte, da es ja neuer ist, hätte ich vermutet, dass es die entsprechende Infrastruktur ebenfalls verbaut hat.

Weiterer Nachteil ist zur Zeit, dass der Personalausweis mit der eID Funktion noch eine deutsche Insellösung ist. Damit haben große Unternehmen wie Google, Facebook oder Amazon wenig Interesse diese Technologie einzusetzen – der Vorteil ist auf die Masse der User gesehen viel zu gering. Das könnte sich mit der European Citizen Card (ECC) ändern. Aber ob die in absehbarer Zukunft kommt, wage ich mal stark zu bezweifeln…


2 Antworten zu “eID – Bestandsaufnahme”

  1. Toller Artikel! Weiter so Herr S! Hab inzwischen auch den neuen Ausweis, und hab die Funktion auch deaktivieren lassen. Warum? Weil ich der Bundesregierung einfach nicht zutraue diese Technologie bombensicher und unangreifbar umzusetzen. Aufklärung im Bürgerbüro = NULL und Testkaninchen wollte ich nicht werden.

    • Hi Diane,

      genau das ist das Problem. Die Damen und Herren im Bürgerbüro haben vermutlich deutlich weniger Ahnung, als wir. Sie werden vermutlich überhaupt nicht geschult.

      Bombensicher ist kein IT System. Grundsätzlich nicht. Meiner Meinung nach ist eID eine der zur Zeit sichersten Möglichkeiten um sich im Netz zu identifizieren.