„Führerschein in Hosentasche“ by Tim Reckmann | a59.de is licensed under CC BY 2.0

Das  digitale  Totalversagen rund  um  den  digitalen  Führerscheinnachweis  machte  viele  Schlagzeilen  und  ich  hatte  viele  Fragen.  Diese  Fragen  habe  ich  der  Bundesregierung  gestellt  und  deren  Antworten  werden  Euch  verunsichern…  aber  der  Reihe  nach.

Wer  es  nicht  mitbekommen  hatte:  Kurz vor der diesjährigen Bundestagswahl sollte es endlich soweit sein, Bundesverkehrsminister Andreas Scheuer (CSU) gab den Startschuss für den digitalen Führerschein-Nachweis in Deutschland bekannt. Dieser solle ab sofort in der Smartphone-App “ID Wallet” für alle bereitstehen und  in  bestimmten  Situationen  das analoge Papier ersetzen  können – z.B. bei der Nutzung von Carsharing,  bei  Autovermietungen oder bei Ausweiskontrollen. Die  Umsetzung übernahm der Dienstleister Digital Enabling GmbH, ein bis dato  völlig  unbekanntes Unternehmen.

Nach  wenigen  Tagen  –  also  kurz  NACH  der  Bundestagswahl  –   mußte  die  App  aus  den  App-Stores  genommen  werden, denn sie  war  ein  völliger  Flop,  funktionierte  nicht,  Server  brachen  zusammen  und  gravierende  Sicherheitslücken  wurden  bekannt  (https://lilithwittmann.medium.com/mit-der-id-wallet-kannst-du-alles-und-jeder-sein-au%C3%9Fer-du-musst-dich-ausweisen-829293739fa0).  So  kann  ein  unberechtigter  Dritter  sich  in  den  Prozess  der  Datenabfrage  einmischen  und  verifizierte  Personendaten  abziehen,  die  dann  auf  immer  und  ewig  in  der  Blockchain  stehen,  die technisch hinter  der  App  steht.  Solche  besonders  wertvollen  Daten  können  dann  auf  schwarzen  Märkten  verkauft  werden  und  Betroffene  haben  nach  aktuellem  Konzept  der  App  keine  Möglichkeit,  die  Authentizität  der  datenabfragenden  Stelle  zu  prüfen.

In  öffentlichen  Erklärungen  der  Bundesregierung  hieß  es  lapidar:  Man  hätte  die große  Nachfrage  unterschätzt  und  für  den  Führerschein-Nachweis  spielten  die  Sicherheitsrisiken  gar  keine  Rolle,  kleinere  technische  Anfangsschwierigkeiten  würde  man  jetzt  schnell  bewältigen  und  bald  sei  die  App  wieder  verfügbar.

Ich  wollte  dazu  aber  mehr  wissen:  waren  denn  das  Bundesamt  für  Sicherheit  in  der  IT  und  der  Bundesbeauftragte  für  den  Datenschutz  nicht  vorab  hinreichend  einbezogen  worden?  Wie  kam  es  überhaupt  zu  der  Vergabe  an  diese  neugegründete  GmbH?  Wer  waren  Wettbewerber  bei  der  Ausschreibung  und  wie  wurde  unter  ihnen  ausgewählt?  Gab  es  vernünftige  vorab-Tests  zur  IT-Sicherheit,  sogenannte  Pen-Tests?  und  was  war  ihr  Ergebnis? 

Die Antworten der Digitalstaatsministerin Dorothee Bär auf meine Schriftlichen Fragen (https://mdb.anke.domscheit-berg.de/2021/10/schriftliche-fragen-zur-smartphone-app-id-wallet/).

Das Vergabeverfahren der GroKo zur Umsetzung der ID-Wallet war maximal intransparent, weil es ohne  Ausschreibung  über einen bereits bestehenden Rahmenvertrag ging und  dann  über  drei  Ecken  ging. Zunächst ging der Auftrag an die System Vertrieb Alexander GmbH (SVA), deren Unterauftragnehmer die IBM Deutschland und die Esatus AG sind. Die  Esatus  wiederum  gab  den  Auftrag  an  die  Digital  Services  GmbH,  eine  von  ihr  erst  wenige  Wochen  vor  der  Vergabe  gegründete  Unternehmenstochter. 

Eine  indirekte  Vergabe  über  die  SVA an  Drittunternehmen war  übrigens  schon  einmal  Grund  zur  Kritik,  als sich ein  Untersuchungsausschuss mit der sogenannten „Berateraffaire“  des  Verteidigungsministeriums beschäftigte.

Damals nutzte das Verteidigungsministerium einen Rahmenvertrag für IBM-Bestandskunden, der zwar mit der Firma SVA abgeschlossen wurde, letztlich aber dazu  diente,  das  Unternehmen Accenture  zu  beaufragen. Selbst  der Bundesrechnungshof monierte, dass diese  Nutzung des Rahmenvertrags unzulässig  war (https://www.vergabeblog.de/2019-06-13/berateraffaere-untersuchungsausschuss-nimmt-vergabe-eines-millionen%C2%ADschweren-auftrags-unter-die-lupe/)

Neben  der  intransparenten  Vergabe  ist  aber  auch  die  mit  mehrstufigen  Unterauftragnehmern  verbundene  komplexe  Governance ein  Problem,  denn  jede  Änderung  von  Anforderungen,  wie  sie  in  IT-Projekten  üblich  ist, muss  mit  diversen  Vertragspartnern  abgestimmt  und  ggf  Kosten  nachverhandelt  werden.  Das  verhindert  frühzeitige  Korrekturen,  Probleme  werden  zu  spät  adressiert,  was  dann  zu  so  eklatanten  Fehlentwicklungen  führt,  wie  wir  sie  bei  der  ID-Wallet  erlebt  haben.  Dieses  Problem  kann  man  sehr  gut  beschrieben  in  einem  Text  von Kristian Köhntopp nachlesen.  (https://blog.koehntopp.info/2021/10/01/projektschmerzen.html)Dorothee  Bär  kündigt  in  ihrer  Antwort  auch  die  Gründung  einer  Public  Private  Partnership  an,  um  künftig  die  ID-Wallet  zu  betreiben.  Das  halte  ich  für einen gravierenden Fehler, denn viele Beispiele aus der Vergangenheit zeigen, dass in PPP Gesellschaften häufig Risiken einseitig auf den öffentlichen Partner sowie Gewinne einseitig auf den privaten Partner verteilt werden und eine gemeinwohlorientierte Umsetzung von Funktionen nicht erste Priorität ist. Außerdem fehlt es dabei fast immer an hinreichenden Kontrollmöglichkeiten und ausreichender Transparenz, die Folgen kennen wir von teuren Verlustgeschäften wie bei der Maut-Gesellschaft Tollcollect.

Außerdem gehören sensible Daten aus staatlichen Dokumenten nicht in die Kontrolle privater Unternehmen, an denen der Staat nicht einmal Anteile hält.

BSI  und  BfDI  nicht  hinreichend  einbezogen

Es ist mir völlig unverständlich, warum nach Antwort der Bundesregierung auf  meine  Fragen  zwar das BSI die Hotel Check-In App auf Basis der ID-Wallet Anwendung geprüft hat, aber ausgerechnet die Führerschein-Anwendung nicht. Noch unverständlicher ist, dass das BSI offensichtlich die Gefahr von sogenannten “Machine in the Middle” Angriffen bei der Hotel Check-In App erkannt hat, diese Sicherheitslücke aber vor dem Start der ID-Wallet Führerschein-Nachweisfunktion nicht geschlossen wurde. Die ID-Wallet hat also mit ihrer Werbung durch den Verkehrsminister Andi Scheuer für die Führerschein-Anwendung quasi ein Vertrauenssiegel der Bundesregierung erhalten, obwohl sie nachweislich und bekanntermaßen gefährliche Sicherheitslücken aufweist.

Dieses Vorgehen und dass sich die Bundesregierung damit herausredet, dass der Bundesdatenschutzbeauftragte die App nicht geprüft hätte , weil es ja eine “private App” sei, ist verantwortungslos und gefährlich.

Bundesregierung fördert öffentliches Misstrauen in IT-Sicherheit:

Die  Bundesregierung  geht  fahrlässig mit dem Vertrauen der Bürger:innen um, das einmal verspielt nur sehr schwer zurückzugewinnen ist.  Dass die Anwendung nach wenigen Tagen wieder aus den App-Stores genommen wurde und wohl nicht nur Wochen, sondern Monate vergehen werden, bis sie nach grundsätzlicher Überarbeitung wieder Bürger:innen zur Nutzung empfohlen werden kann,  ist  eben nicht nur ein temporärer Rückschlag und ein weiteres Einzelbeispiel für ein fehlgeschlagenes Projekt bei der Digitalisierung, sondern hier  geht  es  um digitale Identitäten, die eine Grundlage für viele elektronische Prozesse sind und nur mit einem hohen Grad an Vertrauen auf Basis eines hohen Sicherheits- und Datenschutzniveaus Verbreitung finden werden. Dieses Vertrauen hat die Bundesregierung nun massiv verspielt. Ohne Vertrauen ist jedoch auch kein digitaler Staat zu machen, weil es der digitalen Verwaltung dann auch künftig an Akzeptanz und an Nutzer:innen mangeln wird.

Es ist höchste Zeit für mehr Digitalkompetenz in der Bundesregierung, denn der angerichtete Schaden durch grobe Fehler ist mittlerweise höher als die bereits bestehenden Nachteile durch den fehlenden Fortschritt.PS:  meine  explizite  Frage  nach  Durchführung  und  Ergebnissen  eines  Pen-Tests  hat  Dorothee  Bär  leider  nicht konkret beantwortet,  ich  habe  daher  erneut  um  Beantwortung  dieser  Frage  gebeten.