Aktualisierung (Stand 29.09.2021): 

Die “ID Wallet” wurde inzwischen wieder aus den App Stores genommen (mehr hier). 

Wir begrüßen den Schritt und freuen uns, dass die Bundesregierung den Hinweisen aus der Community zur Verbesserung der IT-Sicherheit und Nutzerführung folgt und weiter nachgehen will. Unsere Befürchtung, dass dieser misslungene erste Aufschlag  auf die SSI Community und deren enormes Potenzial abfärben könnte, wird sich damit hoffentlich nicht bestätigen. 

Wir hoffen, dass in der Weiterentwicklung des “Ökosystem Digitaler Identitäten” intensiver mit den Schaufenstern “Sichere Digitale Identität” und der übergreifenden Begleitforschung zusammengearbeitet wird. Wir bringen unsere Expertise hier gerne ein. 

———————————–

Seit dem 23.9.2021 ist die “ID Wallet” in den App Stores welche es Bürger:innen erlauben soll ihre digitale Identität zu verwalten. Die „ID Wallet“ der Bundesregierung wurde im Rahmen des Projekts “Ökosystem digitaler Identitäten” vom Bundeskanzleramt entwickelt und von der bisher unbekannten Digital-Enabling GmbH (Tochterunternehmen der esatus AG) entwickelt. Sie soll Nutzer:innen die Möglichkeit bieten Ihren Personalausweis und Führerschein auf Basis der Self-Sovereign Identity Technologie auf ihrem Smartphone zu nutzen.

Hintergrund

Die vorgestellte  „ID Wallet“ hatte ursprünglich den Zweck ein Pilotprojekt um den Anwendungsfall des Hotel-Checkins abzubilden. Der Pilot wurde auf Basis Hyperledger indy / ARIES 1.0 implementiert. Für einen temporären Piloten war diese Entscheidung verständlich. In der Fachcommunity wird dies inzwischen als überholt angesehen, da sich gerade im Blick auf eine Anwendung in der Breite (mit großen Nutzer:innenzahlen und Anbietern) Probleme ergeben. Für den Roll-out auf Bundesebene ist die eingesetzte Technologie daher nicht geeignet.

Ein Schnellschuss der nach hinten losging

Der Start der „ID Wallet“ App verlief äußerst holprig und wurde mit Stand 27.09. auch ausgesetzt. So hat die App bisher zwar zehntausende Downloads, aufgrund des medialen Echos, zugleich startet die App aber bei einem Großteil der Nutzer nicht einmal oder bricht im späteren Prozess ab. Das Rating von 1,x von 5 Sternen bei über 7000 Bewertungen spricht hier Bände. 

Der Vertrauensvorschuss, den diese Nutzer:innen der App mit dem download gegeben hatten, ist damit verspielt worden, was sich auch in einschlägigen Foren, den sozialen Netzwerken und Kommentarspalten nachlesen lässt.

Die Kritik im Detail 

Es gibt neben der eingeschränkten Funktionsfähigkeit, die ärgerlich und dem anfänglichen Vertrauensaufbau zu einer neuen Technologie nicht dienlich ist, noch weitere und weitaus wichtigere Punkte die bislang bei der Beleuchtung des Debakels der „ID Wallet“ App nicht ausreichend Berücksichtigung fanden! Die Punkte sind:

Offenheit und Transparenz: 
Die eingesetzte “ID Wallet” ist nicht open source, man kann also nicht unabhängig überprüfen was wirklich mit den Daten geschieht. Bei anderen Projekten wie der Corona Warn App wurde hier deutlich besser gearbeitet. Ähnliches gilt auch für den Herausgeber der Wallet, der wider Erwarten nicht die Bundesregierung ist, sondern eine bisher unbekannte Firma.

Infrastruktur: 
Eine zukunftsfähige Identitäts-Infrastruktur muss in jedem Fall als offene und dezentrale Infrastruktur angelegt sein. Nur so lassen sich die Risiken für Datenschutz und Kontrolle durch Dritte ausreichend eingrenzen. Ein “Ökosystem digitaler Identitäten” wie es vom Bundeskanzleramt im März 2021 beschrieben wurde sollte nicht allein als Kooperation zwischen Regierung und Privatwirtschaft verstanden werden. Vielmehr muss sichergestellt sein, dass die Bevölkerung und Zivilgesellschaft an diesem Prozess beteiligt wird.   

Standards: 
Um die oben genannten Punkte zu erreichen, muss auf einheitlichen Standards aufgebaut werden. Die Piloten des Bundeskanzleramts bauen auf der Technologie Hyperledger Indy in der Version 1.0 auf, die diverse Probleme in Bezug auf Standard Compliance und Skalierbarkeit hat. International laufen die Abstimmungen für einen skalierbaren und auf Interoperabilität hin ausgerichteten Stack bereits auf Hochtouren. Offene Gremien wie der W3C, Decentralized Identity Foundation und Linux Foundation spielen hier eine wichtige Rolle.  

Einbindung: 
Bei einem solchen Vorhaben, muss so früh wie möglich die Zivilgesellschaft eingebunden werden (z.B.: Chaos Computer Club), da ansonsten das Risiko besteht  die Akzeptanz der Lösung massiv zu verringern. Einen einmaligen Verlust des Vertrauens kann man in diesem Bereich schwer wieder herstellen.

“Schaufensterprojekte” der nachhaltigere Weg

Das BMWi hat 2019 das Schaufensterprojekt „Sichere Digitale Identitäten“ als Forschungsprojekt ausgeschrieben. Im Rahmen des Innovationswettbewerbs „Schaufenster Sichere Digitale Identitäten“ möchte das BMWi herausragende Ansätze für interoperable und einfach nutzbare ID-Ökosysteme fördern, die in Modellregionen anwendungsnah erprobt werden sollen. Nach einer Wettbewerbsphase 2020, an der 11 Konsortien teilnahmen, hat seit April 2021 die 3-jährige Umsetzungsphase begonnen. 

Inzwischen arbeiten die 4 ausgewählte Konsortien an der Umsetzung von selbstbestimmten digitalen Identitäten (ONCE, ID-Ideal , SDIKA, und ID-Union). In über 40 Anwendungsfällen wollen die 60+ Konsortialpartner die technologische Infrastruktur selbstbestimmte Identitäten weiterentwickeln und für Bürger:innen nutzbar machen. Auch Führerschein und Personalausweis sollen hier digital in einer Wallet App auf dem Smartphone abgebildet werden.

Eine wesentliche Vorgabe des Projektträgers ist Interoperabilität aller im Schaufenster verwendeten Technologie Bausteine für selbstbestimmte Identitäten (SSI = Self Sovereign Identity). Um dies sicherzustellen, gibt es zusätzlich zum Schaufenster die Begleitforschung, die diesen Prozess unterstützt.

Das BMWi hat die SDI Projekte auf einen realistischen Zeithorizont von 3 Jahren ausgelegt. Man hat sich bewusst gegen eine vorschnelle Einführung dieser innovativen Technologie entschieden, da diese sich immer noch in einem Forschungs- und Erprobungs-Stadium befindet. Ein wesentlicher Anspruch der SDI Projekte ist, dass diese komplexe Aufgabe als eine gemeinsame verstanden wird, die von allen Beteiligten sauber aufgesetzt werden will und muss. Nur so lässt sich das volle Potenzial selbstbestimmter Identitäten erschließen, sowie die Lernkurve exponentiell steigern. Dieser Ansatz wurde von Bundeskanzleramt und Verkehrsministerium mit dem vorschnellen Release der “ID Wallet” weitestgehend in den Wind geschlagen.

Debatte um Walletanbieter

Wie das aktuelle Debakel der „ID Wallet“ zeigt, ist es weder im Interesse der BürgerInnen nur auf eine Wallet angewiesen zu sein, noch ist dies für den öffentlichen und privaten Sektor von Interesse. Wesentlich ist die Implementierung globaler Standards unter Open Source (Quelloffener Code), denn nur diese werden es ermöglichen, dass wir unsere digitalen Identitäten weltweit einsetzen und selbstbestimmt verwalten können.

Der Ansatz nur einer exklusiven Wallet, oder nur eines Blockchain (Ledgers) gefährdet Sicherheit und Rechte der Bürger:innen, und verhindert das Entstehen einer selbstbestimmten globalen Kommunikations-Infrastruktur, die gerade in diesen Zeiten so essenziell wie nie zuvor ist.

Selbstbestimmte Identitäten sind nur dann selbstbestimmt, wenn Bürger:innen eine Wahl haben und frei entscheiden können, welche Standard konforme Wallet sie zu welchen Bedingungen nutzen wollen. 

Unsere Empfehlung

Wir empfehlen dem Bundeskanzleramt und der neuen Regierung einen Schulterschluss mit den Schaufensterprojekten Sichere Digitale Identität des BMWi und der übergreifenden Begleitforschung zu suchen, vor allem im Hinblick auf:

• Ausrichtung und Mitarbeit an internationalen Standards (DIF, W3C).
• Unabhängigkeit von einem spezifischen Ledger (oder anderen PKI Services), Anbietern, Software und Lizenzen
• Interoperabilität (national und international) und
• Schaffung einer öffentlichen digitalen Infrastruktur (offenes Netzwerk statt geschlossener Plattform) für BürgerInnen und Unternehmen um gesellschaftliche und volkswirtschaftliche Vorteile zu generieren
• Die gesamte Infrastruktur muss Open-Source sein

Die “ID Wallet” App sollte umgehend zurückgezogen werden, um die Reputation der dezentralen Identitäten nicht weiter zu schädigen. Die eingesetzte Lösung ist nicht sauber implementiert und getestet, noch auf internationale Standards aufgebaut, und somit auch nicht zukunftsfähig.

All dies sind jedoch Grundvoraussetzungen um eine Europäische und globale Anschlussfähigkeit sicherzustellen. Der Zeithorizont von 2 bis 3 Jahren der SDI Projekte ist ambitioniert, scheint hierfür jedoch realistisch und sinnvoll.