Virtuelle Identität
Der aktuelle Stand bei digitalen Ausweisen
Wären Personalausweis und Führerschein digital, könnte das Portemonnaie endgültig zu Hause bleiben. In Deutschland gibt es dafür noch keine alltagstauglichen Apps – aber in Österreich.
Verdammt, die Packstation war schon wieder voll. „Die Sendung wird zur Abholung in die Filiale Limmerstr. 72, 30451 Hannover gebracht“, meldet die DHL-App. Also hinradeln, anstellen, warten. „Haben Sie Ihren Ausweis dabei?“, fragt der nette Mann am Schalter. „Ähhh, Moment … nein, ich hab' mein Portemonnaie vergessen.“ „Dann darf ich Ihnen das Paket leider nicht geben.“
Es sind Momente wie diese, in denen man sich einen digitalen Ausweis wünscht, den man sicher auf dem Handy speichern und bequem vorzeigen könnte. Nicht nur beim Paketabholen, auch bei der Ticketkontrolle in der S-Bahn oder beim Ausleihen eines Mietwagens. Apropos Mietwagen: Praktisch wäre auch ein digitaler Führerschein. Dann könnte das Portemonnaie endlich in der Schublade bleiben.
Plastik ist Pflicht
Um keine allzu großen Erwartungen zu wecken: Bislang gibt es in Deutschland keinen digitalen Ausweis oder Führerschein, der sein Plastik-Pendant komplett oder wenigstens annähernd ersetzt. Ein Grund dafür sind die rechtlichen Regeln. Das Personalausweisgesetz bezeichnet nur den Plastik-Perso als „gültigen Ausweis“. Diesen muss man zwar nicht immer mitführen, aber besitzen und „auf Verlangen einer zur Feststellung der Identität berechtigten Behörde vorlegen“ (siehe ct.de/ytet). Eine digitale Variante für diesen Anwendungsfall kennt das deutsche Recht nicht. Die Polizei will bei Kontrollen stets die Plastikkarte sehen und gibt sich nicht mit irgendeiner App zufrieden. Den Führerschein gibt es offiziell auch nur in Plastikform, die man obendrein bei jeder Fahrt dabeihaben muss.
Einigen Branchen (etwa Banken und Mobilfunkanbietern) schreibt der Staat zudem vor, wie sie die Identität ihrer Kunden überprüfen müssen. Aber selbst dort, wo Unternehmen frei entscheiden dürfen (etwa beim Carsharing), helfen Ausweis-Apps bislang kaum weiter. Im Moment leiden sie noch am Henne-Ei-Problem: Es gibt wenige Nutzer und wenige Anwendungsfälle.
Doch bei dem Thema ist vieles in Bewegung. Die Bundesregierung und die EU-Kommission treiben digitale Ausweise und Wallet-Apps fürs Handy voran, und das private Unternehmen Verimi verspricht bereits jetzt: „Das Ende von Plastikkarten! Mit dem Verimi-Wallet haben Sie Ausweisdokumente und Führerschein immer zur Hand.“ Wir ordnen die Ansätze im Folgenden ein.
Smart-eID fürs Internet
Einen amtlichen digitalen (also körperlosen) Ausweis gibt es in Deutschland bislang nicht. Seit 2010 steckt zwar im Personalausweis ein Chip für die sogenannte eID-Funktion, mit der man sich übers Internet ausweisen kann – doch dafür muss man bei jedem Ausweisvorgang die Karte mit dem Smartphone oder einem Lesegerät per NFC auslesen. 2020 kündigte die Bundesregierung die „Smart-eID“ an, mit der man sich allein mit dem Smartphone ausweisen können soll. Dazu speichert man die Ausweisdaten in einem Sicherheitschip (Secure Element) des Geräts. Verfügbar sein wird die Smart-eID – nach mehreren Terminverschiebungen – wohl frühestens Mitte 2023.
Allerdings sind eID und Smart-eID für das Ausweisen aus der Ferne konzipiert, zum Beispiel für Online-Anträge bei Behörden. Theoretisch könnte die Post in ihren Filialen die Smart-eID akzeptieren, indem sie Wartende per QR-Code auf eine Webseite lotst – doch das wäre für die Nutzer umständlicher als die Plastikkarte zu zücken. Obendrein müssen Unternehmen relativ viel Aufwand treiben, um die eID beziehungsweise Smart-eID in ihre Systeme zu integrieren.
Das Bundesinnenministerium (BMI) hat auch keine Pläne, die Smart-eID zu einem Vor-Ort-Ausweis weiterzuentwickeln. „Diese Funktion vollständig mit dem Smartphone durchzuführen, ist nicht Teil der mittelfristigen Planung“, sagte eine Sprecherin auf Anfrage. Ohnehin wird die Smart-eID anfangs nur mit wenigen Smartphonemodellen kompatibel sein, weil die Hersteller ihr Secure Element dafür freigeben müssen.
Gefloppter Alltagsausweis
Die Zögerlichkeit hat viel damit zu tun, dass die Vorgängerregierung sich mit einem zusammengeschusterten Handy-Ausweis blamierte. Im Herbst 2021 veröffentlichte sie die App „ID Wallet“, mit der man Ausweis- und Führerscheindaten auf allen gängigen Handy-Modellen speichern konnte. Dazu las man den E-Perso-Chip per NFC aus und legte die darauf gespeicherten Daten als „Basis-ID“ im Smartphone ab. Im zweiten Schritt rief man mithilfe der Basis-ID seine Führerscheindaten beim Kraftfahrtbundesamt ab.
Die ID-Wallet-App war als Alltagsausweis gedacht, den Unternehmen einfach integrieren können. Nutzer sollten zum Beispiel am Mietwagenschalter oder an der Hotelrezeption einen QR-Code scannen und die angefragten Daten per PIN freigeben, sodass diese samt überprüfbarer Signatur des Ausweisherausgebers übers Internet etwa zur Mietwagenfirma fließen.
Sicherheitsforscher wiesen allerdings nach, dass die App schlecht vor Identitätsdiebstahl schützte: Nutzer konnten nicht prüfen, ob die Daten wirklich an die Mietwagenfirma gehen oder an einen Angreifer, der sich als Mietwagenfirma ausgab. Nach Bekanntwerden der Vorwürfe zog die Regierung die App zurück (siehe c’t 22/2021, S. 41). Später kam noch heraus, dass das Bundesamt für Sicherheit in der Informationstechnik das Konzept der App schon vor der Veröffentlichung zerpflückt hatte.
Die Ampel-Regierung hat die ID-Wallet-App samt Basis-ID beerdigt, die Bundesdruckerei arbeitet nach Informationen von c’t aber an einer neuen Wallet-App für die Smart-eID und einen digitalen Führerschein. Der Führerschein soll sich nach dem ISO-Standard 18013-5 richten, der auch als Grundlage für die digitalen Führerscheine einiger US-Bundesstaaten dient und von den Wallets von Apple und Google unterstützt wird (siehe ct.de/ytet).
Ohnehin will die EU-Kommission alle Mitgliedsstaaten verpflichten, Wallet-Apps herauszubringen. Zurzeit verhandelt sie mit den Regierungen und dem EU-Parlament über die Anforderungen an solche „EUid“-Apps. Datenschützer wollen dabei verhindern, dass jede App eine eindeutige, dauerhafte Kennnummer erhält, die Tracking und Profilbildungen erleichtern würde.
Verimis Cloud-Wallet
Verimi – ein Joint-Venture zahlreicher Konzerne, unter anderem Deutsche Bank, Telekom, Samsung und VW – bietet bereits jetzt ein Wallet für Ausweisdokumente. Mit der App kann man den E-Perso via NFC auslesen oder geprüfte Identitätsdaten von seiner Bank übernehmen. Den Führerschein erfasst die Anwendung mit einem „Foto-Ident-Verfahren“: Man fotografiert die Karte und nimmt als Vergleichsbild ein Selfie auf. Laut Verimi prüft eine KI die Authentizität des Dokuments und gleicht das Selfie mit dem Foto auf dem Führerschein ab. „Zweifelsfälle werden manuell überprüft“, teilte das Unternehmen mit. Foto-Ident-Verfahren gelten allerdings grundsätzlich als nicht besonders sicher. Im Sommer legte der Sicherheitsforscher Martin Tschirsich in der Verimi-App mehrere digitale Führerscheine unter falschem Namen an. Nach seinen Angaben täuschte er die KI mit großformatig ausgedruckten, per Bildbearbeitung manipulierten Fotos des Führerscheins.
Anders als die Smart-eID und die gefloppte staatliche ID-Wallet speichert Verimi die Daten in der Cloud. Das behagt nicht jedem – Datenschützer sehen eine zentrale Speicherung von Ausweisdaten grundsätzlich kritisch, weil ein erfolgreicher Angriff eine riesige Beute ergeben würde. Im Sommer 2022 wurde bekannt, dass es bei Verimi eine Datenpanne gegeben hatte: Eine Zeit lang speicherte das Unternehmen Nutzernamen und Passwörter aus Versehen im Klartext. Verimi entdeckte das Problem selbst und informierte die zuständige Berliner Datenschutzbehörde darüber.
Verimi eignet sich wie die staatliche eID im Moment in erster Linie fürs Ausweisen aus der Ferne. Nutzer können sich mit der App zum Beispiel bei der Deutschen Bank und bei der Telekom einloggen. Das Unternehmen arbeitet aber auch an Vor-Ort-Szenarien, zum Beispiel für Carsharing.
Anfang 2022 bewarb Verimi sein Wallet als bequeme Möglichkeit für Coronakontrollen, weil man damit den Impfpass-Code und die Ausweisdaten auf dem Smartphone-Bildschirm vorzeigen kann. 13 von 16 Bundesländern verlangten in ihren Coronaverordnungen allerdings, dass Restaurantbetreiber einen „amtlichen“ Ausweis überprüfen – und damit ist stets nur die Plastikkarte gemeint, keine App wie Verimi. Insgesamt wirkt Verimis Werbespruch „Das Ende von Plastikkarten“ bislang reichlich vollmundig: Man kann mit der App zwar Ausweisdaten vorzeigen, im Alltag aber fast nichts damit anfangen.
Österreich machts vor
Einen Schritt weiter ist das Nachbarland Österreich: Dort führte die Regierung im Herbst einen digitalen Führerschein ein. Autofahrer müssen seitdem ihren Plastikführerschein nicht mehr mitführen, es reicht die App „eAusweise“.
Die Ausweisdaten werden lokal im Smartphone gespeichert. Bei einer Kontrolle scannt die Polizei einen QR-Code auf dem Handy des Nutzers und ruft die aktuellen Führerscheindaten aus einer staatlichen Datenbank ab. Außerdem ist eine Offline-Prüfung gemäß dem ISO-Standard 18013-5 möglich, dann fließen die Daten via Bluetooth von Smartphone zu Smartphone, zum Beispiel beim Ausleihen eines Mietwagens. Dabei kriegt der Staat nicht mit, wer wann wo seinen Führerschein vorzeigt.
Mit dem Gesamtkonzept sind selbst Datenschutzaktivisten zufrieden: Das System sei „für Führerscheine eine taugliche Lösung“, urteilte der österreichische Datenschutzverein Epicenter.Works auf Anfrage von c’t. (cwo@ct.de)
Gesetze, Standards: ct.de/ytet