Unser Bundesminister für Verkehr und digitale Infrastruktur, Andreas Scheuer, wollte sich mit dem ID Wallet zum voraussichtlichen Ende seiner Amtszeit nochmal profilieren. Als Resultat ist ihm wohl ein ähnlicher Flop gelungen, wie anno dazumal mit dem PKW-Maut-Desaster. So hatte ich schon darüber gebloggt, dass es seitens der Sicherheitsforscherin Lilith Wittman scharfe Kritik an der technischen Basis des ID Wallets gegeben hatte. Jetzt sind noch weitere Blamagen ans Licht gekommen.
Generell fing es schlecht an: Die App wurde veröffentlicht und kurz darauf schon wieder aus den Stores entfernt. Der Spiegel hat nun tiefer recherchiert und ist auf weitere Missstände gestoßen. So sei die Vergabe für die Entwicklung intransparent gewesen und die Sicherheit wurde unzureichend geprüft. Grundlegend sei die gesamte Ausrichtung fragwürdig. Der Chaos Computer Club (CCC) hatte da ja bereits bemängelt, dass es für Angreifer möglich gewesen wäre, eine Subdomain des Betreibers zu übernehmen und sich als dieser auszugeben, um zahlreiche Angriffsszenarien durchzuführen.
Im ID Wallet sollten ja nicht nur Dokumente wie der Führerschein und später auch der Personalausweis digital verwahrt werden, auch das Einchecken in Hotels oder bei Veranstaltungen hätte damit möglich sein können. Allerdings ergab sich hier eine Gefahr des Identitätsdiebstahls, den Wittman ausführlich bemängelte. Allerdings sind das noch nicht einmal alle Probleme: Nicht nur die Sicherheit des ID Wallets sei mangelhaft, der Vergabeprozess lässt die Augenbrauen hochziehen, wie die Antwort auf eine Anfrage der Linken ergeben hat.
So habe es gar keine klassische Projektausschreibung gegeben. Stattdessen habe die Bundesregierung sich entschieden, einen bestehenden Rahmenvertrag mit der System Vertrieb Alexander GmbH (SVA) zu nutzen. In dem war die Esatus AG als Unterauftragnehmer tätig, dessen Tochter, die Digital Enabling GmbH, schließlich das ID-Wallet entwickelte. Anke Domscheit-Berg, die netzpolitische Sprecherin der Linken, hält das für „maximal intransparent“.
Viele dürften da auch eher erschrocken sein, dass die noch amtierende Bundesregierung nach der Kritik am ID-Wallet weitere Gespräche führt, um eventuell dauerhaft die Verantwortung für das Gesamtökosystem der digitalen Identitäten an die Projektpartner zu übergeben. Da wäre dann ein Joint-Venture angedacht, das zu 50 % privat und zu 50 % in öffentlicher Hand wäre. Sollte man dann die „Arbeitsqualität“ des ID Wallets fortführen, würde sicherlich mancher Leser des Blog zurecht alle weiteren Projekte des Bundes in Richtung digitaler Identität abschreiben.
Außerdem sei ein Problem solcher Public-private-Partnerships (PPP) laut Domscheit-Berg, dass häufig die Risiken einseitig auf den öffentlich Partner abgewälzt würden, während das privatwirtschaftliche Unternehmen auf Kosten der Steuerzahler Profit mache. Zumal solche Konstellationen schwer zu kontrollieren seien. Generell seien das ID Wallet sowie mögliche weitere Zusammenarbeiten ein Fehler. Denn Daten aus staatlichen Dokumenten sollten nicht in irgendeiner Form der Kontrolle und Verantwortung privater Unternehmen überlassen werden.
Domscheit-Berg fragte auch nach, ob das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesdatenschutzbeauftragte die App vor der Veröffentlichung überprüft hätten. Das treffe aber nur auf den digitalen Hotel-Check-In zu. Hier sei dann Überarbeitungsbedarf attestiert worden. Das BSI habe auch Dokumentation zum digitalen Führerschein erhalten, sei aber nicht für eine Prüfung beauftragt worden, da es hier nicht zuständig sei. Auch der Bundesdatenschutzbeauftragte berate die Bundesregierung zwar generell, führe aber keine derartigen Prüfungen durch.
Letzten Endes klingt das alles wie ein Scheuer-Projekt, das nach einem Regierungswechsel hoffentlich komplett neu angegangen wird. Ich selbst sehe hier leider ein Musterbeispiel dafür, was beim Thema Digitalisierung in Deutschland falsch läuft. Leider steht da wohl der Profilierungsgedanke Einzelner mehr im Vordergrund, als ein fachgerecht durchgeführtes IT-Projekt. So erschüttert man das Vertrauen der Bürger in die digitale Infrastruktur des Bundes leider weiterhin.
In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!