Beiträge

Meine Kleine Anfrage zur ID-Wallet: viele Fragen, wenig Antworten, keine Klarheit

, , , , , ,
Das Bild ist freundlicherweise von @maxxoid (twitter) bereitgestellt – Danke dafür.

Wer erinnert sich noch an Andy Scheuers zahlreiche digitalpolitischen Fehltritte? Okay, das ist viel verlangt, es waren schließlich viele – aber sein letzter blieb zumindest mir nachhaltig in Erinnerung: das digitale Totalversagen rund um den digitalen Führerscheinnachweis, ein Projekt, das er gemeinsam mit dem Kanzleramt in den Sand setzte.

Weiterlesen
/von

Meine Kleine Anfrage „Digitaler Führerschein, ID-Wallet und der Einsatz von Blockchain/DLT im Teilprojekt ‚Ökosysteme digitale Identitäten'“

, , ,
  1. Wird die Bundesregierung – im Zusammenhang mit der o. g. Anwendung – auch weiterhin eine Blockchain-basierte Lösung zugrunde legen (falls ja, bitte Begründung beifügen)?
    a) Falls ja, welches Problem löst die Blockchain-Technologie nach Ansicht der Bundesregierung, das es ohne sie nicht gäbe und das nicht durch andere Technologien (einfacher) lösbar ist?
    b) Wie bewertet die Bundesregierung die inhaltlich übereinstimmende und voneinander unabhängige Kritik des BfDI, des BSI sowie von Expertinnen und Experten aus der Zivilgesellschaft an dieser Lösung?
    c) Wer zeichnete verantwortlich für die grundsätzliche Entscheidung für die Technologie und die letztliche Auswahl der konkreten Blockchainbasierten Lösung (bitte die Namen, Position), Abteilungen bzw. Organisationseinheiten, Bundesbehörden und das Bundesministerium angeben)?
    d) Welche technische und funktionale Bewertung lag dieser Entscheidung zugrunde?
    e) Welche alternativen Technologien wurden dabei ggf. in Betracht gezogen, und warum wurde gegen sie entschieden (je betrachtete Alternative bitte begründen)?
  2. a) Welche technischen Änderungen bzw. Verbesserungen plant die Bundesregierung hinsichtlich der ID-Wallet-App, und bis wann soll die ID-Wallet-App wieder verfügbar sein?
    b) In welcher Weise wird die Bundesregierung das BSI, den BfDI und die Zivilgesellschaft in die weiteren Arbeitsprozesse einbinden?
  3. a) Wird die amtierende Bundesregierung die Gespräche zwischen der vorherigen Bundesregierung und den am Gesamtprojekt beteiligten
    Unternehmen über eine dauerhafte Governance für das Gesamtökosystem Digitale Identitäten fortsetzen (siehe Antwort auf die Schriftliche Frage 2 auf Bundestagsdrucksache 19/32661, Antwort bitte begründen?
    b) Welche Anforderungen stellt die Bundesregierung an Unternehmen, die potentiell an einer dauerhaften Governance Digitaler Identitäten beteiligt sein sollen, vor allem mit Blick auf die nationale Souveränität?
  4. Welche Verbesserungen plant die Bundesregierung zur bestehenden eIDLösung (z. B. durch die Schaffung eines Grundrechts auf digitale Identität, durch vereinfachte Zugänglichkeit, modernisierte Protokolle, reduzierte Kostenstruktur, Zusatzfunktionen wie z. B. FIDO u. a.)?
    Antwort: Die Fragen 1 sowie 4 bis 6 werden aufgrund ihres Sachzusammenhangs gemeinsam beantwortet. Über die konkrete Ausgestaltung einer Weiterentwicklung der 09/2021 veröffentlichten ID Wallet wurde noch nicht entschieden.
  1. a) Weshalb und auf welcher rechtlichen Grundlage wurde für die Nutzung eines bestehenden Rahmenvertrages mit der SVA entschieden, anstatt einer öffentlichen Ausschreibung?
    b) Wie bewertet die amtierende Bundesregierung diese Art der Vergabe? Rahmenverträge dienen dazu, bestimmte, häufiger benötigte Leistungsarten vergaberechtskonform und schnell in Anspruch nehmen zu können. Vor dem Abschluss eines Rahmenvertrages findet eine öffentliche Ausschreibung statt.
  2. Inwiefern (inklusive genauer Angabe des Zeitpunkts sowie der konkreten Art und Weise) wurden das BSI und der BfDI in die Prüfung der App „ID Wallet“ (also nicht nur allgemein beim Projekt Digitale Identitäten) vor sowie nach der Veröffentlichung der App einbezogen, und zu welcher Bewertung kamen diese jeweils (bitte eventuelle Stellungnahmen und Einschätzungen beider Behörden im Wortlaut und mit Datum des Eingangs angeben)? Falls das BSI und der BfDI vor bzw. nach der Veröffentlichung nicht spezifisch zur ID-Wallet eingebunden wurden, bitte jeweils begründen, warum nicht?
    Antwort: Es wird auf die Antwort der Bundesregierung zu Frage 4 auf Bundestagsdrucksache 19/32661 verwiesen. Zum Systemkonzept für den Digitalen Führerscheinnachweis gab es vom 4.Juli 2021 bis zum 18. August 2021 wöchentliche Sitzungen. Das in den Arbeitssessions abgestimmte Abschlussdokument wurde am 19. August 2021 an das BSI geschickt. Das BSI sah auf dieser Grundlage zwei „Einschränkungen“ bzgl. der Sicherheit des Systems. Diese bezogen sich erstens auf das Fehlen einer Prüfung des QR-Code/E-Mail und enthaltener Links beim Einsprung in Prozesse (Abruf der Registerauskunft oder Vorzeigen des daraus erzeugten Wallet-Credentials) und der daraus resultierenden Notwendigkeit, dass etwaige
    Angriffsversuche durch die Nutzerin oder den Nutzer eigenständig erkannt werden können. Zweitens merkte das BSI an, dass hinsichtlich der Nutzung von
    Deeplinks die Prozesse (Abruf der Registerauskunft oder Vorzeigen des daraus erzeugten Wallet-Credentials) nicht erkennen können, ob es sich tatsächlich um
    den erwarteten Deeplink oder um einen unerwarteten aber dennoch akzeptierten Deeplink handle. Angesichts der Tatsache, dass die Liste der akzeptierten
    Deeplinks im Code der Wallet eingebettet sind und, aufgrund der zu diesem Zeitpunkt überschaubaren Zahl an Anwendungen, schätzte das BSI das Angriffspotenzial in diesem Zusammenhang als gering ein, wies allerdings darauf hin, dass mit einer steigenden Anzahl an Anwendungen die Liste der akzeptierten Deeplinks unübersichtlicher werde und damit die Wahrscheinlichkeit des Auftretens bösartiger Deeplinks/Anbieter steige. Einordnend kann dazu ergänzt werden: Punkt 1 betrifft unter anderem den
    QR-Code, welcher dazu dient, den Initialisierungs-Prozess anzustoßen. Dieser befindet sich für die Ausstellung des Führerscheinnachweises auf der Webseite
    des Kraftfahrt-Bundesamts (KBA). Aufgrund der im Rahmen der Initialisierung genutzten Online-Ausweisfunktion kann von der Nutzerin oder vom Nutzer erwartet werden, dass sie oder er keinen potenziell gefälschten QR-Code einer gefälschten KBA-Webseite nutzt. Um zu unterstützen, dass Angriffsversuche eigenständig erkannt werden, wird der Endpunkt (URL) angezeigt, sodass – analog wie bei den vielen Bürgerinnen und Bürgern bekannten OnlineBanking-Verfahren durch massive Awareness-Kampagne inzwischen in der
    Breite bekannt – die Adresse als valider Indikator für die Authentizität der Gegenseite steht („grünes Schloss“ in der Adressleiste). Bezüglich der Deeplinks wird mit weiterem Ausbau des Ökosystems die Nachprüfbarkeit der Verifizierer über den Ledger evaluiert, so dass der Nutzerin oder dem Nutzer angezeigt werden kann, ob es sich um einen vertrauenswürdigen, registrierten Verifizierer handelt. Dazu werden Gespräche mit dem BSI geführt. Mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gibt es regelmäßigen Austausch zum Ökosystem Digitaler Identitäten und der Funktionsweise aller Komponenten (einschließlich der ID Wallet). Dabei ist im Rahmen des übergeordneten Projekts „sichere digitale Identitäten der BfDI mit dem Ökosystem einschließlich der ID Wallet befasst. Der BfDI berät die Bundesregierung auf ihren Wunsch. Der BfDI bietet als oberste Bundesbehörde keine Prüfung oder Zertifizierung isolierter Apps an, insbesondere nicht von privaten Herausgebern. Wenngleich dem BfDI in der Konstellation der Akteure also kein formaler Prüfauftrag oblag, gab es mit BfDI nach einem Auftaktgespräch im September 2020 im Zeitraum Februar bis Juni 2021 einen regelmäßigen Jour Fixe. Zudem war BfDI im August und September 2021 an einem Workshop zur Zusammenführung von elektronischem Personalausweis und SSI-Ökosystem beteiligt. Der Fokus lag auf der Einbindung von Identifikationsdaten aus dem Personalausweis in die SSI-Infrastruktur. Auf Grundlage der Vorprüfung hatte der BfDI empfohlen, für Identifikationsdaten die bestehende Infrastruktur des elektronischen Personalausweises in Ergänzung zum SSI-Ökosystem zu nutzen. Dabei kann auch bei einer kombinierten Nutzung von Smart-eID und SSI Basis-ID je nach Anforderungen der jeweiligen Anwendungsfälle und konkreten Ausgestaltung der SSI-Infrastruktur ein hoher Grad an Nutzerschutz erreicht werden. Diese Vorprüfung hatte keinen Zusammenhang zum Führerschein-Nachweis. Eine Beratung zur Einbindung des Führerschein-Nachweises in das SSI-System durch den BfDI hat nicht stattgefunden.
/von

Schriftliche frage zu schnittstelle bei job-suche-app

, ,

Frage

War die Vorabveröffentlichung der Schnittstelle und ihrer Dokumentation auf bund.dev (siehe Berichterstattung unter https://netzpolitik.org/2021/open-data-arbeitsagentur-kaempft-gegen-offene-schnittstelle/) ein wesentlicher Grund für die Anfang November erfolgte Überarbeitung der Schnittstelle der Job-Suche-App durch die Bundesagentur für Arbeit (wenn nein, bitte andere wesentliche Gründe detailliert ausführen), und welche Ressourcen wurden für die Schnittstellenänderung aufgewendet (bei externer Beauftragung bitte Kosten angeben, bei interner Erledigung Aufwand in Personentagen)? (BT-Drucksache 20/235, Frage 52)

Antwort der Parlamentarischen Staatssekretärin Anette Kramme vom 8. Dezember 2021

Die Bundesagentur für Arbeit bietet in ihrem Online-Portal www.arbeitsagentur.de für Arbeit- und Ausbildungssuchende mit der „Jobsuche“ eine digitale Stellenbörse zur Stellensuche an. Die Jobsuche steht ebenfalls als App zur Verfügung. Bei der veröffentlichten Schnittstelle handelt es sich um eine rein interne Kommunikationsschnittstelle, die dem Datenaustausch zwischen der Jobsuche-App auf mobilen Endgeräten und dem IT-System der Bundesagentur für Arbeit dient. Über die Schnittstelle ist weder ein Zugriff auf nicht-veröffentlichte Daten noch ein Zugriff auf Datenbanken möglich. Darüber hinaus ist diese Schnittstelle nicht für eine massenhafte Auswertung mit technischen Mitteln konzipiert. Da die Bundesagentur für Arbeit das sogenannte „Crawlen“, also das Durchsuchen von Dokumenten im Internet, unterbinden möchte, um insbesondere Kontaktdaten von Arbeitgebern und Arbeitgeberinnen zu schützen, wurde ein sogenannter Anti Automatisierungsservice in der Jobsuche eingeführt. Um Kontaktdaten von Arbeitgebern und Arbeitgeberinnen anzeigen zu lassen, muss manuell, also durch den Nutzer der Jobbörse, ein sog. „CAPTCHA“ gelöst werden. Damit wird sichergestellt, dass es sich nicht um eine automatisierte Abfrage handelt, sondern die Abfrage durch eine reale Person erfolgt ist. In der Webanwendung „Jobsuche“ ist der Anti-Automatisierungsservice bereits seit Jahren integriert. In der Jobsuche-App war dies zunächst nicht der Fall, da die Stellenangebote in der Regel auf einem mobilen Endgerät von einer realen Person aufgerufen und nicht „gecrawlt“ werden. Durch die Veröffentlichung der Schnittstelle auf bund.dev im Juli 2021 musste mit gezielten Zugriffen über diese Schnittstelle zum Abgreifen von Daten gerechnet werden. Vorsorglich wurde daher im August 2021 auch in der App der Anti-Automatisierungsservice eingeführt. Die notwendigen Änderungen an der Schnittstelle zur Unterstützung der CAPTCHA-Funktionalität beanspruchten geschätzt maximal einen Personentag.

/von

Antwort der Bundesregierung zum Flop der ID-Wallet zeigt: BSI und BfDI zu wenig einbezogen, Vergabe intransparent

, , , , , ,
Bild: „Führerschein in Hosentasche“ by Tim Reckmann | a59.de is licensed under CC BY 2.0

Das  digitale  Totalversagen rund  um  den  digitalen  Führerscheinnachweis  machte  viele  Schlagzeilen  und  ich  hatte  viele  Fragen.  Diese  Fragen  habe  ich  der  Bundesregierung  gestellt  und  deren  Antworten  werden  Euch  verunsichern…  aber  der  Reihe  nach.

Wer  es  nicht  mitbekommen  hatte:  Kurz vor der diesjährigen Bundestagswahl sollte es endlich soweit sein, Bundesverkehrsminister Andreas Scheuer (CSU) gab den Startschuss für den digitalen Führerschein-Nachweis in Deutschland bekannt. Dieser solle ab sofort in der Smartphone-App “ID Wallet” für alle bereitstehen und  in  bestimmten  Situationen  das analoge Papier ersetzen  können – z.B. bei der Nutzung von Carsharing,  bei  Autovermietungen oder bei Ausweiskontrollen. Die  Umsetzung übernahm der Dienstleister Digital Enabling GmbH, ein bis dato  völlig  unbekanntes Unternehmen.

Weiterlesen
/von

Rede: Zu wenig Verbraucherschutz, zu viel Überwachung bei Telemedien

, ,
Anke Domscheit-Berg, DIE LINKE: Zu wenig Verbraucherschutz, zu viel Überwachung bei Telemedien

Mit dem überfälligen Telekommunikation-Telemedien-Datenschutzgesetz hätte die Große Koalition Verbraucher:innen und ihre Daten besser schützen und gleichzeitig Europarecht in nationales Recht umsetzen können. Statt nutzerfreundlicher Alternative zum Cookie Terror findet sich im Gesetz nur eine neue Bestandsdatenauskunft, die von Karlsruhe sicher auch beim 3. Versuch für verfassungswidrig erklärt wird.

Weiterlesen
/von

Rede: Digitaler Verbraucherschutz + transparenter Staat

, , ,

Was mit öffentlichem Geld finanziert wurde, muss auch der Allgemeinheit zur Verfügung stehen: Das gilt für Daten der Verwaltung genauso wie für Bildungsmaterialien, amtliche Werke und Forschungsergebnisse. In der IT-Sicherheit fordern wir eine konsequente Ausrichtung am Verbraucherschutz.

Meine Rede im Wortlaut:

Weiterlesen
/von

Medienecho

Was hilft gegen den Cookieterror im Internet?

/von

„Cookie-Banner werden von Tech-Konzernen missbraucht“

/von

Corona-Warn-App: „Vertrauen ist das A und O“

/von

Anke Domscheit-Berg – Folge 347

/von