Wer erinnert sich noch an Andy Scheuers zahlreiche digitalpolitischen Fehltritte? Okay, das ist viel verlangt, es waren schließlich viele – aber sein letzter blieb zumindest mir nachhaltig in Erinnerung: das digitale Totalversagen rund um den digitalen Führerscheinnachweis, ein Projekt, das er gemeinsam mit dem Kanzleramt in den Sand setzte.
Wenige Tage vor der Bundestagswahl 2021 verkündete noch-Bundesverkehrsminister Andreas Scheuer (CSU) den Start des digitalen Führerschein-Nachweises in Deutschland. Dieser solle ab sofort in der Smartphone-App “ID Wallet” verfügbar sein und in bestimmten Situationen den Papierausweis ersetzen können – z.B. bei der Nutzung von Carsharing oder bei Autovermietungen, aber nicht bei bei polizeilichen Kontrollen. Die Umsetzung übernahm der Dienstleister Digital Enabling GmbH, das niemand kannte – kein Wunder, es war erst ein paar Monate vorher von der Esatus GmbH gegründet worden. Kurz nach der Wahl verschwand die angepriesene App wieder aus den App-Stores, erst hieß es, die Nachfrage sei so hoch, das hätten die Server nicht verkraftet, aber Tatsache war: die App funktionierte kaum und vor allem hatten zwei Sicherheitsforscher:innen (Lilith Wittmann und @fluepke) gravierende Sicherheitslücken aufgedeckt.
Durch die Sicherheitslücke konnte sich ein unberechtigter Dritter in den Prozess der Datenabfrage einmischen und signierte Personendaten stehlen. Quasi amtlich beglaubigte Personendaten sind in der Datenhändlerszene Gold wert, damit läßt sich auf digitalen Schwarzmärkten viel Geld verdienen. Wie verantwortungslos die Betreiber-Firma Digital Enabling GmbH mit der IT-Sicherheit rund um die IT-Wallet umging, zeigte sich auch in einem ihrer Dokumente, in dem sie die Sicherheitsforscher:innen als „politische Hacker-Zusammenrottung“ diskreditierte, anstatt sich ernsthaft mit dem Sicherheitsproblem zu beschäftigen. Bereits im Oktober fragte ich dazu die Bundesregierung, auch da gab es nur ausweichende Antworten, aus denen dennoch hervorging, dass man BSI und BfDI zu wenig einbezog und die Vergabe höchst intransparent ablief. Auf meiner HP schrieb ich darüber.
Aber nach der Bundestagswahl gab es ja eine neue Regierungskoalition und so hatte ich Hoffnung, dass der Rohrkrepierer ID-Wallet wieder in der Versenkung verschwindet. Denn das digitale Elend, das die GroKo mit diesem auf der Blockchain Technologie basierenden Projekt fabrizierte, beschädigt (mal wieder) das öffentliche Vertrauen in die IT-Sicherheit weit über dieses eine Projekt hinaus. Weil einerseits die alte Bundesregierung gar nicht mehr alle meine Fragen beantwortete und andererseits die neue Bundesregierung ja vielleicht etwas klüger und transparenter agiert, stellte ich im Januar 2022 etliche neue Fragen in einer Kleinen Anfrage zur ID-Wallet. Anlass waren außerdem Berichte, wonach die Blockchain ID-Wallet für den Führerschein nicht vom Tisch sein soll, sondern schon in ein paar Wochen (die Rede war vom April 2022) wiederkäme. Die Antwort der Bundesregierung hat mich gleich auf mehreren Ebenen enttäuscht. Die Ampel wollte mit einem anderen Geist die Regierungsgeschäfte führen, aber ihre Antworten auf meine K.A. waren oberflächlich, ausweichend und nichtssagend. Auch fachlich sehe ich kein Licht am Horizont. Eine Absage an die sinnlose Blockchain für die ID-Wallet? Fehlanzeige.
Wenn man diese Antwort optimistisch interpretiert, bedeutet sie mindestens, dass es keine Rückkehr dieser ID-Wallet in den nächsten Wochen und Monaten geben wird, da ja noch nicht einmal grundsätzliche Entscheidungen zur technischen Ausgestaltung getroffen wurden. Will man sie besonders positiv auslegen, könnte man herauslesen, dass ja zumindest keine Festlegung auf die Blockchain drin steht. Ich bin durchaus eine Optimistin, finde das allerdings dennoch etwas wenig.
So hätte ich gern die Antwort auf meine Frage gelesen, welches Problem die Blockchain Technologie bei der ID-Wallet mit digitalem Führerschein löst, das es ohne diese Technologie gar nicht gäbe und das nicht besser und einfacher mit anderen Technologien lösbar ist. Auch diese Frage wurde mit Verweis auf fehlende Grundsatzentscheidungen nicht beantwortet. Sollte es später bei der Blockchain bleiben, frage ich einfach noch mal, aber ich hoffe, dass die Bundesregierung sich selbst diese Frage stellt, denn wenn sie das ehrlich macht, ist die Blockchain raus. Aber eins erfuhr ich doch aus der Antwort der Bundesregierung, nämlich dass man den Bundesbeauftragten für den Datenschutz immer noch nicht konkret einbezogen hat (what can possibly go wrong?). Nach dem großen Reinfall beim Start der ID-Wallet, durch den viel Vertrauen in Anwendungen mit staatlichem Bezug verloren ging, ist es absolut unverständlich, dass nicht einmal jetzt eine enge und kontinuierliche Einbeziehung des BfDI zur ID-Wallet mit Führerschein erfolgt. Dabei hat Ulrich Kelber immer wieder darauf hingewiesen, wie wichtig eine frühzeitige Beratung durch seine Behörde ist, gerade wenn es um Richtungsentscheidungen geht. Ein derartiges Vorgehen halte ich für fahrlässig, bei aller Anerkennung der notwendigen Einarbeitungszeit für die neue Regierung.
Die Blockchain-Technologie ist und bleibt ein trauriger Hype, der sich (leider) prima für die Einwerbung von Investoren- und Fördergeldern eignet, aber nicht dafür, die Herausforderungen rund um digitale Identitäten zu erfüllen. Hoffen wir also, dass die neue Bundesregierung einfach ein wenig länger braucht, um das auch festzustellen und nicht weiter ein totes Pferd reitet, das eben nicht nur tot, sondern auch hoch riskant ist.
Frischer Wind im parlamentarischen Fragerecht?
Die Ampel-Koalition hatte mehrfach angekündigt, auch mit einer anderen Kultur zu regieren und ich hatte da durchaus Hoffnung und Erwartungen, gerade was die Transparenz der Regierungsführung angeht. Doch die Antworten auf eine Vielzahl meiner Kleinen Anfragen und schriftlichen Fragen ist bisher enttäuschend. Immer wieder bleiben eine Reihe Fragen komplett unbeantwortet oder werden einfach mit einer faktischen Nicht-Antwort beschieden. Ich meine damit explizit nicht nur die hier thematisierte Anfrage.
Vielleicht ist man bei der ID-Wallet ja tatsächlich noch am Grübeln, aber ganz generell frage ich mich, ob man wirklich so oft, wie es in den letzten Monaten vorkam, die Antworten auf meine Fragen nicht geben kann, oder ob man bewusst Informationen aus dem öffentlichen Diskurs raushalten möchte. Transparenz ist jedoch die Basis für Vertrauen in staatliches Handeln. Noch sind die ersten 100 Tage nicht vorbei, aber bisher fehlt mir der erkennbare Wille, wirklich anders arbeiten zu wollen, auf IT-Sicherheit und Datenschutzfreundlichkeit zu setzen und innovative Lösungen zu fördern, die eine hohe Akzeptanz finden, weil die Zivilgesellschaft einbezogen wurde, ein öffentlicher Diskurs stattfand und Entscheidungen mit Fokus auf das Gemeinwohl getroffen wurden und nicht, weil irgendein Buzzword auf die nächste Millionenförderung hoffen kann. Das Thema werde ich weiter begleiten, ich bin gespannt und hoffe immer noch, dass die Blockchain-ID-Wallet beerdigt wird.