ID Wallet: Weitere Blamagen um den „digitalen Führerschein“ kommen ans Tageslicht

Quelle: BMVI

Unser Bundesminister für Verkehr und digitale Infrastruktur, Andreas Scheuer, wollte sich mit dem ID Wallet zum voraussichtlichen Ende seiner Amtszeit nochmal profilieren. Als Resultat ist ihm wohl ein ähnlicher Flop gelungen, wie anno dazumal mit dem PKW-Maut-Desaster. So hatte ich schon darüber gebloggt, dass es seitens der Sicherheitsforscherin Lilith Wittman scharfe Kritik an der technischen Basis des ID Wallets gegeben hatte. Jetzt sind noch weitere Blamagen ans Licht gekommen.

Generell fing es schlecht an: Die App wurde veröffentlicht und kurz darauf schon wieder aus den Stores entfernt. Der Spiegel hat nun tiefer recherchiert und ist auf weitere Missstände gestoßen. So sei die Vergabe für die Entwicklung intransparent gewesen und die Sicherheit wurde unzureichend geprüft. Grundlegend sei die gesamte Ausrichtung fragwürdig. Der Chaos Computer Club (CCC) hatte da ja bereits bemängelt, dass es für Angreifer möglich gewesen wäre, eine Subdomain des Betreibers zu übernehmen und sich als dieser auszugeben, um zahlreiche Angriffsszenarien durchzuführen.

Im ID Wallet sollten ja nicht nur Dokumente wie der Führerschein und später auch der Personalausweis digital verwahrt werden, auch das Einchecken in Hotels oder bei Veranstaltungen hätte damit möglich sein können. Allerdings ergab sich hier eine Gefahr des Identitätsdiebstahls, den Wittman ausführlich bemängelte. Allerdings sind das noch nicht einmal alle Probleme: Nicht nur die Sicherheit des ID Wallets sei mangelhaft, der Vergabeprozess lässt die Augenbrauen hochziehen, wie die Antwort auf eine Anfrage der Linken ergeben hat.

So habe es gar keine klassische Projektausschreibung gegeben. Stattdessen habe die Bundesregierung sich entschieden, einen bestehenden Rahmenvertrag mit der System Vertrieb Alexander GmbH (SVA) zu nutzen. In dem war die Esatus AG als Unterauftragnehmer tätig, dessen Tochter, die Digital Enabling GmbH, schließlich das ID-Wallet entwickelte. Anke Domscheit-Berg, die netzpolitische Sprecherin der Linken, hält das für „maximal intransparent“.

Viele dürften da auch eher erschrocken sein, dass die noch amtierende Bundesregierung nach der Kritik am ID-Wallet weitere Gespräche führt, um eventuell dauerhaft die Verantwortung für das Gesamtökosystem der digitalen Identitäten an die Projektpartner zu übergeben. Da wäre dann ein Joint-Venture angedacht, das zu 50 % privat und zu 50 % in öffentlicher Hand wäre. Sollte man dann die „Arbeitsqualität“ des ID Wallets fortführen, würde sicherlich mancher Leser des Blog zurecht alle weiteren Projekte des Bundes in Richtung digitaler Identität abschreiben.

Außerdem sei ein Problem solcher Public-private-Partnerships (PPP) laut Domscheit-Berg, dass häufig die Risiken einseitig auf den öffentlich Partner abgewälzt würden, während das privatwirtschaftliche Unternehmen auf Kosten der Steuerzahler Profit mache. Zumal solche Konstellationen schwer zu kontrollieren seien. Generell seien das ID Wallet sowie mögliche weitere Zusammenarbeiten ein Fehler. Denn Daten aus staatlichen Dokumenten sollten nicht in irgendeiner Form der Kontrolle und Verantwortung privater Unternehmen überlassen werden.

Domscheit-Berg fragte auch nach, ob das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesdatenschutzbeauftragte die App vor der Veröffentlichung überprüft hätten. Das treffe aber nur auf den digitalen Hotel-Check-In zu. Hier sei dann Überarbeitungsbedarf attestiert worden. Das BSI habe auch Dokumentation zum digitalen Führerschein erhalten, sei aber nicht für eine Prüfung beauftragt worden, da es hier nicht zuständig sei. Auch der Bundesdatenschutzbeauftragte berate die Bundesregierung zwar generell, führe aber keine derartigen Prüfungen durch.

Letzten Endes klingt das alles wie ein Scheuer-Projekt, das nach einem Regierungswechsel hoffentlich komplett neu angegangen wird. Ich selbst sehe hier leider ein Musterbeispiel dafür, was beim Thema Digitalisierung in Deutschland falsch läuft. Leider steht da wohl der Profilierungsgedanke Einzelner mehr im Vordergrund, als ein fachgerecht durchgeführtes IT-Projekt. So erschüttert man das Vertrauen der Bürger in die digitale Infrastruktur des Bundes leider weiterhin.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

32 Kommentare

  1. Vor allem interessant da es ja bereits Lösungen am Markt gibt mit Verimi, die auch vom BSI mit dem Vertrauensniveau „substanziell“ bewertet werden.

    • Die hast das Ausschlusskriterium ja schon genannt:“..am Markt gibt…“
      Wie soll man sich denn mit sowas profilieren?
      Dann doch lieber „alles auf die 0“ setzen und den Casinobesitzer kennen.

      Aber selbst wenn Andi Scheuer den Roulette-Tisch selbst gebaut hätte, würde er es vermasseln.

      So isser halt…hoffentlich verantwortet er zukünftig nur noch Projekte in seinem eigenen Garten.

    • Naja Vermimi ist nichts weiter als ein ganz großer Datensammlungdienst unter dem Deckmantel „Ein Login für alles“

  2. Eine staatliche Cloud mit Ende-zu-Ende-Verschlüsselung und 1 TB Speicher für jeden Menschen mit einer Steuernummer. Das wär’s.

  3. Nicht überraschend für diesen (ex)Verkehrsminister. Dennoch natürlich wieder einfach nur erbärmlich.

  4. Solche Aktionen stärken ungemein das Vertrauen in den Staat, wenn es um die Digitalisierung persönlicher und personenbezogener Daten geht. Hoffentlich macht die neue Bundesregierung es besser. Die Arbeitsweise des BSI und des Datenschutzbeauftragten der Bundesregierung sollte grundsätzlich reformiert werden. Anstatt nur zu prüfen wenn man dazu beauftragt wurde, sollte das BSI und der Datenschutzbeauftragte immer proaktiv tätig werden und das ungebunden an Weisungen der Regierung.

  5. Die Auftragsvergabe stinkt nach Korruption. Warum wird da nicht hart ermittelt, als Anfangsverdacht sollte das doch reichen!? Scheuer und sein Umfeld einmal „auf Links drehen“ und schauen, woher die Motivation kam. Kontodaten von den Banken abrufen für ihn und seine engeren Vertrauten reicht vielleicht ja schon.

    • Man man, spannend wenn ein paar Handy Interessierte plötzlich über die große IT Projekte Welt herziehen. Mit ein paar Bier und am Stammtisch sicherlich unterhaltsam.

      Im Artikel steht doch, dass es einen geltenden Rahmenvertrag mit SVA gab (und der wurde nach EU Recht ausgeschrieben). Genau dafür macht man so etwas um dann Entwicklungsarbeiten zu vergeben.

      Bei einem Projekt des Bundes schauen schon sehr viele (oft zu viele) Augen hin. Nicht zuletzt der Bundesrechnungshof.

      Das was man der Lösung vorwerfen muss ist sicherlich die fehlende Abnahme durch das BSI.

  6. Naja, dass sich ausgerechnet die Linken zum Thema Wirtschaft äußern, ist nun ja auch maximal lächerlich. In deren Weltbild gäbe es ohnehin nur VEBs.

    • Dir war beim Betätigen des Senden-Buttons sicherlich selbst klar, dass Dein Whataboutism großer Unsinn ist.

    • Es gibt bei den Linken durchaus Sachverstand (z.B. Fabio de Masi). Nicht jeder ist auf dem VEB-Trip. Wobei ich – soweit ich als Wessi dies beurteilen kann – hier durchaus im Rahmen der Bedingungen bei den VEBs zum Teil erstaunliches geleistet wurde.
      Aber zurück zur Kritik. Unsere liebe Anke. Unsere ehm. Vorzeige-Piratin. Die wie soviele ihrer ehm. Parteigenossen irrlicht durch die Parteienlandschaft. In der Hoffnung auf Aufmerksamkeit.
      Nachdem akt. Stand der Dinge ist Andi S. bald Geschichte. Selbst sein Chef (Hr. Söder) hat ihn zum Abschuss freigegeben. Ob hier Korruption vorliegt? Ich weiss es nicht. Es wird auch schwierig dies zu beweisen. Und Dummheit ist bei MinisterInnen nur bedingt strafbar.
      Es liegt leider in der Natur der Sache, dass MinisterInnen gerne zum Schluss noch einmal die Gießkanne auspacken und gutes Tun. Da werden Mitarbeiter befördert, da werden noch schnell irgendwelche Ortumgebungen im Wahlkreis forciert und irgendwelche Projekt vergeben.
      Leider ist halt die Halbwertszeit solcher Kritik in der Regel überschaubar. In der Opposition werden halt gerne Punkte kritisiert. Ist man dann in der Regierung, ist dies schnell vergessen hat.

  7. Also was anderes als Korruption aka „maximal intransparent“, fällt mir dazu nicht mehr ein. Warum gibt es niemanden der das wirklich weiter Bohrt und das Mal aufklärt.

    • Sohnkarlsruhe says:

      Es besteht kein Interesse… was soll man schon anderes von der korrupten €DU erwarten? In ein paar Wochen /Monaten interessiert sich niemand mehr dafür und die gleichen Versager werden wieder gewählt… Herr Scheuer hat übrigens seinen Wahlkreis gewonnen…

  8. Wenn schon ohne Ausschreibung hätte ich an die Bundesdruckerei gedacht. Die ist ja nach Ausflügen in die Privatwirtschaft vom Bund wieder zurückgekauft worden.

  9. Auch wenn es viele nicht wahrhaben wollen: Wir können es einfach nicht, nicht in Deutschland und auch nicht in Europa. Wirklich gut funktionierende Lösungen kommen in aller Regel aus den USA, immer öfter auch aus China. Die wiederum werden von vielen erstmal pauschal abgelehnt. Sicher, dafür gibt es auch Gründe, aber trotzdem, so kommen wir hierzulande in Sachen Digitalisierung nie voran. 🙁

    • Hallo Chris R. , warum sollten wir nicht auch ohne maschinenlesbaren Ausweis oder Paßß oder die klassische „AOK“-Krankenkassenkarte auskommen – die haben bislang gut und sicher funktioniert. Ja Pässe und Ausweise kann man fälschen – aber dazu ist einiges an Expertise notwendig . Was ist gewonnen wenn ich meinen Ausweis dinglich , also auf Papier oder als karte , vorzeige? Warum soll ihn nicht ein Mensch lesen , mein Gesicht mit dem Konterfei auf dem Dokument vergleichen und im zweifelsfall dann genauer abchecken ob die Person auch zum Dokument paßt. Muß man sowas denn unbeding an Automaten delegieren?Vielleicht einfach wieder mehr und gut ausgebildetes Personal bei den Sicherheitsbehörden und öffentlichen Dienststellen generell schulen und einstellen. Dann kann man auch sein Auto wieder persönlich anmelden und muß das nicht per App oder Webformular tun. Warum soll man Sonntagabend um 20:00 ein Auto anmelden können oder einen Perso verlängern? Dafür gibt es Arbeitstage und Bürozeiten und – ja, Menschen ! Ein bisschen Entschleunigung und weniger schneller tanz um das digitale Kalb ist vielleicht die bessere Lehre aus den Desastern die bislang mit solchen Modellen passiert sind – sihe e-Rezept. Mein papierenes oder der „gelbe zettel“ für den Arbeitgeber tun es auch wunderbar analog.

      • >>Warum soll man Sonntagabend um 20:00 ein Auto anmelden können oder einen Perso verlängern? Dafür gibt es Arbeitstage und Bürozeiten und – ja, Menschen !<<
        Was soll das denn für ein Argument sein? Sag das mal dem Pflegepersonal im Krankenhaus, den Feuerwehrleuten und Polizistinnen und Polizisten. "Leider haben Sie außerhalb unserer Arbeitstage die 112 gewählt. Bitte versuchen Sie ihren Notfall selbst zu bewältigen und melden sich an unseren Arbeitstagen, von Montag bis Freitag zwischen 9 und 16 Uhr, wieder." – Ach ja, das sind auch Menschen und die sind 24/7 für uns da und werden zu allem Überfluss noch schlecht bezahlt.

        • Hallo Mr. P., ich habe nichts dergleichen geschrieben daß ich die Arbeit die Menschen bei Feuerwehr, Polizei etc. tun gering schätze. Ich habe mich nur gegen den Anspruch gewandt eine 24/7-Gesellschaft zu haben in welcher durch alle möglichen Bots und digital-Spielereien alles jederzeit verfügbar ist. Und wenn man dann Besorgungen hat die dinglich erledigt weerden müssen nimmt man sich eben mal einen halben oder ganzen Tag frei – urlaubstage haben wir wirklich zur Genüge. hab ich in meinem Job nicht anders gemacht – was nicht in der Mittagspause kurz zu erledigen war – Bankgeschäfte, mal zum Optiker ne ‚Brille rausholen usw. – dafür hab ich mir eben nen freien Tag genommen . Geht das heute nicht mehr?

      • Achtung: Die folgenden Zeilen können Spuren von Ironie enthalten.
        „Ein bisschen Entschleunigung und weniger schneller tanz um das digitale Kalb „. Lernt man solche Sätze im VHS-Workshop „Wie tanze ich achtsam meinen Gemütszustand“?
        Hallo, Digitalisierung ist das Zauberwort. Und ohne Wachstum kann unsere Wirtschaft nicht leben und ohne Digidingsdums kein Wachstum und ohne Führschein-Projekt keine Digit und ohne … [Leider hat sich von unserem Sprachroboter Andi S. gerade SSD verrabschiedet]
        Wer will den heute noch in der Führerschein und in der KFZ-Zulassung arbeiten. Der Job ist doch viel zu trival. Da kann man ja keine Successtories auf TikTok posten. Doch dann lieber irgendetwas mit Geisteswissenschaft studieren und weil der Markt für den Bereich überschaubar ist einen Bullshitjob im Callcenter annehmen.
        Somit ist es ja gerade zu notwendig, dass wir sonntags kurz vorm Tatort noch schnell ein KFZ zulassen. Genauso wie sonntags mittag Brötchen kaufen + den oblig. Coffee to run (ist der eigentl. Gretakonform?)
        Vor einiger Zeit hat hier im Forum einer für GF-Anschlüsse geworben – jenseits der 1Gbit. Weil er Spiele schneller downloaden will/muss/kann. Das erinnert mich an meinen Berufsschullehrer. Der hat mal als EW-Helfer in Afrika gearbeitet. Vor einem unbeschrankten Bahnübergang hat er auf schlechter Strasse mal Vollgas gegeben und das Auto durch die Schlaglöcher gejagt. Er wollte nicht 10min vor dem Übergang warten bis der langsamfahrende, ellenlange Güterzüge vorbeigetuckert ist. Sein afrik. Mitfahrer fragte ihn: Was machst du mit den 10min?
        Ich möchte das Buzzword Digitalisierung nicht verbieten. Sonst wären die Rede von Regierungs- und Wirtschaftsverbänden noch hilfloser und inhaltsleerer. Ein ehm. Kollege aus der IT hat mal zu einer Blondine (doppelt blond: Haarfarbe / IQ) erwidert auf ihre Vorfreude, dass jetzt alles besser wird, weil die Schreibmaschine wegkommt und sie einen PC bekommt: Eine gute Sek. wird mit dem PC besser, aber eine schlechte Sek wird keine gute.:-) Nur weil ich was digitalisiere, wird es zwangsläufig nicht besser.
        Ich habe vor über 20 Jahren bereits die Vorzüge der Digitalisierung erleben dürfen. Befreiung von Routinejobs. Mehr Zeit für strateg. Aufgaben. Heutzutage: Platz schaffen für mehr Verdichtungen.
        Insofern werden wir – wie du zurecht hinweist – versklavt durch die Digitalisierung. Anstatt dass wir nur 30h pro Woche arbeiten, hetzen wir durch schlechtkoordierte Projekte (trotz Monday.com) und reiben uns in 50h pro Woche max. auf.

    • Das ist aber zu einfach gedacht. Welche Lösungen kennst du aus China oder den USA welche eine hoheitliche Sicherheitsarchitektur in den USA abbilden?
      Was die amerikanischen Firmen können sind hyperscaler Angebote in der Cloud (da will aber niemand seine dt personenbezogenen Daten speichern)

      Man darf eines nicht vergessen – ja ein (oder mehrere) fähige Entwickler können so eine (ähnliche) App schnell zusammen klimpern und in den App Store bringen. Aber da schaut auch niemand so genau hin und die haben keine solche Last auf dem System wie eine staatliche Lösung. Die müssen auch nicht auf sämtliche Datenschutz oder Barrierefreiheiten acht geben. Denen sitzen auch keine 20 Berater (Aufpasser) im Nacken.

    • Was können wir nicht?
      Wieso ganz Europa?

  10. Man muss nur mal schauen, wo die ausführende Firma her stammt. Die ist jetzt zwar in Hessen gemeldet, bei der Gründung im Frühjahr diesen Jahres war die zufälligerweise noch ganz in der Nähe von Passau. Und was ist in Passau? Zufällig der Wahlkreis vom Scheuer Andi. Kann jetzt zwar Zufall sein, aber bei Scheuer glaube ich an keine Zufälle.

  11. Leute wie Andi Scheuer lassen mich am System der Demokratie Zweifeln.
    Die Mehrzahl der Politiker sind reine Opportunisten.
    Sollte Herr Scheuer sein Amt verlieren, wechselt er bestimmt in den Vorstand der Esatus AG.
    Dafür gab es in der Vergangenheit viele Beispiele. Zum Beispiel Schröder mit Gazprom.

    • Sie werden Gas-Gerd noch auf Knien danken für seine Weitsicht.
      Gas ist in Zeiten zunehmender Zappelenergie (ohne auch nur ansatzweise hinreichende Glätter und Speicher!) ‚Dank‘ Abschaltung auch der CO2-neutralen Kernkraftwerke unser letzter Rettungsanker vor dem Blackout.

      P.S. Grundsätzlich verstehe ich den Widerstand in DE gegen eine weitere Gasbezugs-Option nicht (NordStream 2 stellt ja keine Verpflichtung für DE dar, (daraus) Gas abzunehmen – lediglich die Option, (mehr) Gas zuverlässiger zu erhalten).

      • Russland baut eine Gasleitung ohne Abnahmegarantie? Soweit ich weiß hat z.B. Wintershall Garantien übernommen

        • Meines Wissens ja, die Garantie ist implizit:
          – 2024 läuft der Durchleitungsvertrag mit UA aus, danach könnte man komplett über NS2 liefern
          – jeder Mensch mit wachem Verstand konnte vorhersehen, dass DEs ‚Energiewende‘ (bei gleichzeitigem Kohle- und KKW-Ausstieg) fehlschlägt und der Gasbedarf deshalb steigt.

          Ich habe im Übrigen von keinem der NS2-Gegner je das Argument „Vertragsbindung“ gelesen – es ging/geht immer nur um (faktische) Abhängigkeit von RU.

          Wenn Sie (andere) Quellen haben wäre ich begierig, sie zu lesen.

          P.S. Die (staatsnahe (DE, nicht RU)) SWP stellt es so dar:
          https://www.swp-berlin.org/publikation/nord-stream-2-deutschlands-dilemma

          • D hatte in der Vergangenheit als rohstoffarmes Land immer eine Abhängigkeit zu seinen Rohstofflieferanten – egal ob die nun in auf der arab. Halbinsel sitzen oder in Moskau.
            Generell gilt es dieses Abhängigkeit zu minimieren. Egal, ob es sich um Rohstoffmärkte oder Absatzmärkte (China, USA) handelt.
            Ich bin daher Verfechter von autonomen Lösungen. Die EW Schönau leben dies uns bereits vor. Es gibt ähnlich Beispiel auch im Kommunikationsmarkt. Unabhängig von DT oder VF zu sein. Da ziehen Bürger schon mal ihr eigens Ding durch (https://www.sueddeutsche.de/bayern/internet-glasfaser-breitband-halsbach-1.4318206)

  12. Bei den Projekten des schönen Andi wird regelmäßig auf vorgeschriebene Prozeduren oder Ausschreibungen verzichtet. Immer wieder stinkt es zum Himmel. Aber auch Finanzminister Scholz hat das alles geduldet.

    Es wundert niemand, dass wieder einmal merkwürdige Firmenkonstellationen alles verschleiern. Die App war so miserabel, dass die meisten User sich nicht einmal einloggen konnten. Eine sicherheitskritische App, die noch nicht einmal den Login gebacken bekommt.

    Das klingt wie ein Projekt zum Absaugen von Geld ohne geringste Ambitionen eine funktionierende Software zu liefern. Hauptsache die Rechnung konnte noch in dieser Legislatur geschrieben werden.

    • „Die App war so miserabel, dass die meisten User sich nicht einmal einloggen konnten.“

      Was meckern Sie denn? Das ist ’security by design‘!
      Wer sich nicht anmelden/einloggen kann kann auch nicht ungewollt seine Daten an finstere (öffentliche oder private) Gestalten herausgeben. 😀

  13. Aber die App hat doch die sichere Blockchain genutzt. Das kann doch nur gut sein.
    Ohne die Blockchain wäre es viel unsicherer und weniger Hype gewesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.