Blamage digitaler Führerschein »Verantwortungslos und gefährlich«

Die ID Wallet für den digitalen Führerschein ist nicht nur technisch unausgereift. Regierungsangaben zeigen: Die Vergabe war intransparent, Sicherheitschecks waren unvollständig – und die mögliche Ausrichtung ist fragwürdig.
Zurückgezogene App ID Wallet: Vertrauen »massiv verspielt«

Zurückgezogene App ID Wallet: Vertrauen »massiv verspielt«

Foto: Christoph Dernbach / dpa

Dieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.

Die ID Wallet für den digitalen Führerschein hatte einen digitalen Unfall: Eine Woche vor der Bundestagswahl wurde sie von Verkehrsminister Andreas Scheuer (CSU) der Öffentlichkeit vorgestellt, knapp eine Woche später war sie schon wieder aus den App-Stores von Apple und Google verschwunden.

Das lag unter anderem an Sicherheitsbedenken, die Mitglieder des Chaos Computer Clubs (CCC) geäußert hatten : Zum einen hätten Angreifer demnach nachweislich eine Subdomain des ID-Wallet-Betreibers übernehmen und sich damit als dieser ausgeben können. Daraus hätten sich weitere Angriffs- und Bedrohungsszenarien ergeben, sagt der Sicherheitsexperte, der die App zusammen mit Lilith Wittmann analysiert hat. Die Probleme deuteten auf »eine schwache Systemadministration« hin.

Zum anderen sei unter Umständen ein Daten- und Identitätsdiebstahl möglich gewesen, wie Lilith Wittman beschreibt . Das galt allerdings nicht für die Führerscheinkontrolle, sondern nur für andere Einsatzszenarien der ID Wallet, etwa das digitale Einchecken im Hotel.

Dennoch war das – zusammen mit einem Überlastungsproblem – genug, um die App vorübergehend vom Markt zu nehmen, auch wenn die noch amtierende Bundesregierung zunächst klein anfangen wollte. Mit dem in der ID Wallet aufbewahrten digitalen Führerschein wollte sie fürs Erste die Anmietung von Mietwagen oder die Nutzung von Carsharing-Angeboten erleichtern. Langfristig sollte das digitale Abbild des Führerscheins auf dem Smartphone analoge Ausweispapiere vollständig ersetzen können. Dafür hatte sich vor allem die Staatsministerin für Digitalisierung, Dorothee Bär (CSU), starkgemacht.

»Maximal intransparent«

Für Anke Domscheit-Berg, netzpolitische Sprecherin der Bundestagsfraktion der Linken, ist das Thema mit den angekündigten Nachbesserungen längst nicht erledigt. »Es handelt sich dabei eben nicht nur um einen temporären Rückschlag und ein weiteres Einzelbeispiel für ein fehlgeschlagenes Projekt bei der Digitalisierung«, sagt sie dem SPIEGEL. Vielmehr habe die Bundesregierung das für derartige Vorhaben nötige Vertrauen der Bevölkerung »massiv verspielt«. Dabei geht es ihr nicht nur um die mangelhafte IT-Sicherheit der ID Wallet, sondern auch um die Vergabepraxis der Regierung sowie die zukünftige Organisation des Projekts.

Domscheit-Berg hatte der Bundesregierung mehrere schriftliche Fragen  dazu gestellt. Die noch nicht veröffentlichten Antworten von Dorothee Bär liegen dem SPIEGEL vor, Domscheit-Berg hält sie für alarmierend.

Auf die Frage etwa, wie viele Anbieter sich in der Ausschreibung für das Projekt ID Wallet beworben haben, antwortete Bär, dass es keine Ausschreibung gegeben habe. Sie drückte das so aus: Die Bundesregierung habe sich entschieden, einen bestehenden Rahmenvertrag mit der System Vertrieb Alexander GmbH (SVA) zu nutzen, »in dem die IBM Deutschland GmbH sowie die Esatus AG als Unterauftragnehmer im Projekt tätig sind«: »Die Digital Enabling GmbH ist als Tochterunternehmen der Esatus AG Herausgeberin der von der Esatus AG entwickelten ID Wallet.« Domscheit-Berg hält die Praxis, eine »völlig unbekannte« Tochterfirma eines Unterauftragnehmers zur Herausgeberin zu machen, für »maximal intransparent«.

Überrascht ist sie auch von der möglichen zukünftigen Rolle der Firma. Denn Bär schrieb: »Derzeit laufen Gespräche zwischen BReg (Bundesregierung – Anm. der Red.) und den am Gesamtprojekt beteiligten Unternehmen über eine dauerhafte Governance für das Gesamtökosystem Digitale Identitäten.« Dazu werde »die Gründung eines öffentlich-privaten Joint Ventures angedacht, das zu je 50 Prozent im Eigentum der öffentlichen Hand einerseits und der Wirtschaft andererseits stehen und die Betriebsverantwortung für das Ökosystem übernehmen soll.«

Die angedachte Gründung einer solchen Public-private-Partnership (PPP) hält Domscheit-Berg »für einen gravierenden Fehler«. Denn in PPP-Gesellschaften würden »häufig Risiken einseitig auf den öffentlichen Partner und Gewinne einseitig auf den privaten Partner verteilt«, zudem fehle es »fast immer an hinreichenden Kontrollmöglichkeiten und ausreichender Transparenz, die Folgen kennen wir von teuren Verlustgeschäften wie bei Toll Collect«.

Für die Abgeordnete steht fest: »Verifizierte Fahrerlaubnisdaten oder vergleichbare Daten aus staatlichen Dokumenten sollten wie hoheitliche Dokumente behandelt werden, sie gehören nicht in die Kontrolle privater Unternehmen, an denen der Staat nicht einmal Anteile hält.«

»Keine Betrachtung oder Prüfung der konkreten Implementierung«

Domscheit-Berg wollte auch wissen, ob das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesdatenschutzbeauftragte die App vor deren Veröffentlichung überprüft haben. Bärs Antwort: Das BSI habe nur einen anderen Anwendungsfall der ID Wallet überprüft, den digitalen Hotel-Check-in. »In diesem Zusammenhang wurden zahlreiche Verbesserungen implementiert«, heißt es. »Es wurde darüber hinaus notwendiger Weiterentwicklungsbedarf am System-Konzept festgestellt, bevor die Pilotanwendung in einen offenen Wirkbetrieb übergeht. Daran wird gearbeitet.«

Zum digitalen Führerschein sei der Behörde nur die Dokumentation zur Verfügung gestellt und »in mehreren Fragerunden erläutert« worden. Das BSI habe aber »keine Betrachtung oder Prüfung der konkreten Implementierung durchgeführt, da es aufgrund seiner Zuständigkeit hierzu nicht aufgefordert war«.

Der Bundesdatenschutzbeauftragte wiederum berate die Bundesregierung zum übergeordneten Projekt »sichere digitale Identitäten«. Aber er biete »keine Prüfung oder Zertifizierung isolierter Apps an, insbesondere nicht von privaten Herausgebern«.

Dass der Hotel-Check-in, nicht aber die Führerschein-Anwendung vom BSI geprüft wurde, hält Anke Domscheit-Berg für »völlig unverständlich«: »Dass sich die Bundesregierung damit herausredet, dass der Bundesdatenschutzbeauftragte die App nicht geprüft habe, weil es ja eine ›private App‹ sei, ist verantwortungslos und gefährlich.«

In einigen Wochen soll die App wieder verfügbar sein.

Die Wiedergabe wurde unterbrochen.