Das digitale Totalversagen rund um den digitalen Führerscheinnachweis machte viele Schlagzeilen und ich hatte viele Fragen. Diese Fragen habe ich der Bundesregierung gestellt und deren Antworten werden Euch verunsichern… aber der Reihe nach.
Wer es nicht mitbekommen hatte: Kurz vor der diesjährigen Bundestagswahl sollte es endlich soweit sein, Bundesverkehrsminister Andreas Scheuer (CSU) gab den Startschuss für den digitalen Führerschein-Nachweis in Deutschland bekannt. Dieser solle ab sofort in der Smartphone-App “ID Wallet” für alle bereitstehen und in bestimmten Situationen das analoge Papier ersetzen können – z.B. bei der Nutzung von Carsharing, bei Autovermietungen oder bei Ausweiskontrollen. Die Umsetzung übernahm der Dienstleister Digital Enabling GmbH, ein bis dato völlig unbekanntes Unternehmen.
Nach wenigen Tagen – also kurz NACH der Bundestagswahl – mußte die App aus den App-Stores genommen werden, denn sie war ein völliger Flop, funktionierte nicht, Server brachen zusammen und gravierende Sicherheitslücken wurden bekannt (https://lilithwittmann.medium.com/mit-der-id-wallet-kannst-du-alles-und-jeder-sein-au%C3%9Fer-du-musst-dich-ausweisen-829293739fa0). So kann ein unberechtigter Dritter sich in den Prozess der Datenabfrage einmischen und verifizierte Personendaten abziehen, die dann auf immer und ewig in der Blockchain stehen, die technisch hinter der App steht. Solche besonders wertvollen Daten können dann auf schwarzen Märkten verkauft werden und Betroffene haben nach aktuellem Konzept der App keine Möglichkeit, die Authentizität der datenabfragenden Stelle zu prüfen.
In öffentlichen Erklärungen der Bundesregierung hieß es lapidar: Man hätte die große Nachfrage unterschätzt und für den Führerschein-Nachweis spielten die Sicherheitsrisiken gar keine Rolle, kleinere technische Anfangsschwierigkeiten würde man jetzt schnell bewältigen und bald sei die App wieder verfügbar.
Ich wollte dazu aber mehr wissen: waren denn das Bundesamt für Sicherheit in der IT und der Bundesbeauftragte für den Datenschutz nicht vorab hinreichend einbezogen worden? Wie kam es überhaupt zu der Vergabe an diese neugegründete GmbH? Wer waren Wettbewerber bei der Ausschreibung und wie wurde unter ihnen ausgewählt? Gab es vernünftige vorab-Tests zur IT-Sicherheit, sogenannte Pen-Tests? und was war ihr Ergebnis?
Die Antworten der Digitalstaatsministerin Dorothee Bär auf meine Schriftlichen Fragen (https://mdb.anke.domscheit-berg.de/2021/10/schriftliche-fragen-zur-smartphone-app-id-wallet/).
Das Vergabeverfahren der GroKo zur Umsetzung der ID-Wallet war maximal intransparent, weil es ohne Ausschreibung über einen bereits bestehenden Rahmenvertrag ging und dann über drei Ecken ging. Zunächst ging der Auftrag an die System Vertrieb Alexander GmbH (SVA), deren Unterauftragnehmer die IBM Deutschland und die Esatus AG sind. Die Esatus wiederum gab den Auftrag an die Digital Services GmbH, eine von ihr erst wenige Wochen vor der Vergabe gegründete Unternehmenstochter.
Eine indirekte Vergabe über die SVA an Drittunternehmen war übrigens schon einmal Grund zur Kritik, als sich ein Untersuchungsausschuss mit der sogenannten „Berateraffaire“ des Verteidigungsministeriums beschäftigte.
Damals nutzte das Verteidigungsministerium einen Rahmenvertrag für IBM-Bestandskunden, der zwar mit der Firma SVA abgeschlossen wurde, letztlich aber dazu diente, das Unternehmen Accenture zu beaufragen. Selbst der Bundesrechnungshof monierte, dass diese Nutzung des Rahmenvertrags unzulässig war (https://www.vergabeblog.de/2019-06-13/berateraffaere-untersuchungsausschuss-nimmt-vergabe-eines-millionen%C2%ADschweren-auftrags-unter-die-lupe/)
Neben der intransparenten Vergabe ist aber auch die mit mehrstufigen Unterauftragnehmern verbundene komplexe Governance ein Problem, denn jede Änderung von Anforderungen, wie sie in IT-Projekten üblich ist, muss mit diversen Vertragspartnern abgestimmt und ggf Kosten nachverhandelt werden. Das verhindert frühzeitige Korrekturen, Probleme werden zu spät adressiert, was dann zu so eklatanten Fehlentwicklungen führt, wie wir sie bei der ID-Wallet erlebt haben. Dieses Problem kann man sehr gut beschrieben in einem Text von Kristian Köhntopp nachlesen. (https://blog.koehntopp.info/2021/10/01/projektschmerzen.html)Dorothee Bär kündigt in ihrer Antwort auch die Gründung einer Public Private Partnership an, um künftig die ID-Wallet zu betreiben. Das halte ich für einen gravierenden Fehler, denn viele Beispiele aus der Vergangenheit zeigen, dass in PPP Gesellschaften häufig Risiken einseitig auf den öffentlichen Partner sowie Gewinne einseitig auf den privaten Partner verteilt werden und eine gemeinwohlorientierte Umsetzung von Funktionen nicht erste Priorität ist. Außerdem fehlt es dabei fast immer an hinreichenden Kontrollmöglichkeiten und ausreichender Transparenz, die Folgen kennen wir von teuren Verlustgeschäften wie bei der Maut-Gesellschaft Tollcollect.
Außerdem gehören sensible Daten aus staatlichen Dokumenten nicht in die Kontrolle privater Unternehmen, an denen der Staat nicht einmal Anteile hält.
BSI und BfDI nicht hinreichend einbezogen
Es ist mir völlig unverständlich, warum nach Antwort der Bundesregierung auf meine Fragen zwar das BSI die Hotel Check-In App auf Basis der ID-Wallet Anwendung geprüft hat, aber ausgerechnet die Führerschein-Anwendung nicht. Noch unverständlicher ist, dass das BSI offensichtlich die Gefahr von sogenannten “Machine in the Middle” Angriffen bei der Hotel Check-In App erkannt hat, diese Sicherheitslücke aber vor dem Start der ID-Wallet Führerschein-Nachweisfunktion nicht geschlossen wurde. Die ID-Wallet hat also mit ihrer Werbung durch den Verkehrsminister Andi Scheuer für die Führerschein-Anwendung quasi ein Vertrauenssiegel der Bundesregierung erhalten, obwohl sie nachweislich und bekanntermaßen gefährliche Sicherheitslücken aufweist.
Dieses Vorgehen und dass sich die Bundesregierung damit herausredet, dass der Bundesdatenschutzbeauftragte die App nicht geprüft hätte , weil es ja eine “private App” sei, ist verantwortungslos und gefährlich.
Bundesregierung fördert öffentliches Misstrauen in IT-Sicherheit:
Die Bundesregierung geht fahrlässig mit dem Vertrauen der Bürger:innen um, das einmal verspielt nur sehr schwer zurückzugewinnen ist. Dass die Anwendung nach wenigen Tagen wieder aus den App-Stores genommen wurde und wohl nicht nur Wochen, sondern Monate vergehen werden, bis sie nach grundsätzlicher Überarbeitung wieder Bürger:innen zur Nutzung empfohlen werden kann, ist eben nicht nur ein temporärer Rückschlag und ein weiteres Einzelbeispiel für ein fehlgeschlagenes Projekt bei der Digitalisierung, sondern hier geht es um digitale Identitäten, die eine Grundlage für viele elektronische Prozesse sind und nur mit einem hohen Grad an Vertrauen auf Basis eines hohen Sicherheits- und Datenschutzniveaus Verbreitung finden werden. Dieses Vertrauen hat die Bundesregierung nun massiv verspielt. Ohne Vertrauen ist jedoch auch kein digitaler Staat zu machen, weil es der digitalen Verwaltung dann auch künftig an Akzeptanz und an Nutzer:innen mangeln wird.
Es ist höchste Zeit für mehr Digitalkompetenz in der Bundesregierung, denn der angerichtete Schaden durch grobe Fehler ist mittlerweise höher als die bereits bestehenden Nachteile durch den fehlenden Fortschritt.PS: meine explizite Frage nach Durchführung und Ergebnissen eines Pen-Tests hat Dorothee Bär leider nicht konkret beantwortet, ich habe daher erneut um Beantwortung dieser Frage gebeten.
