Wer nach Beispielen dafür sucht, wie Digitalisierung nicht gelingen kann, der sollte einen Blick auf den Stand der Einführung elektronischer Identitätsnachweise werfen. Statt lange verfügbare Technik nutzbar zu machen, werden neue Lösungen gesucht, die in absehbarer Zeit aber gar nicht umgesetzt werden können. Davon können auch zahlreiche Unternehmen ein Lied singen.
Seit über zehn Jahren gibt es schon den elektronischen Personalausweis (ePerso). Ein integrierter Mikrochip bringt auch die Voraussetzung für die Nutzung als elektronischen Identitätsnachweis mit, die sogenannte Ausweis-eID. Deren Nutzung gilt auch unter kritischen Sicherheitsprofis als einfach, sicher und datensparsam. Waren für die Nutzung anfänglich noch separate Lesegeräte erforderlich, reicht heute ein Smartphone mit NFC-Funktion.
Lange stand die Nutzung elektronischer Ausweise nicht im Fokus, weil sich kaum relevante Anwendungsfälle entwickelt haben. Vater Staat hat bislang wenig dazu beigetragen, die Nutzung der vorhandenen Technik zu etablieren. Stattdessen haben sich alternative Verfahren privater Anbieter etabliert, etwa das Video-Ident-Verfahren, das nach heutiger Einschätzung als unsicher gilt, weil die Videodaten eben doch – in Echtzeit – manipuliert werden können.
2017 hat die Bundesregierung das Onlinezugangsgesetz (OZG) verabschiedet, mit dem Ziel, dass bis 2022 zahlreiche Verwaltungsdienstleistungen von Bund, Ländern und Gemeinden online zur Verfügung gestellt werden sollen. Das Gesetz wird allerdings derzeit vom Innenministerium kassiert, weil nur wenige Behörden tatsächlich in der Lage sind, Verwaltungsleistungen in nennenswertem Umfang anzubieten. Dabei sind in die Bewertung sogar Dienste eingeflossen, bei denen der elektronische Antrag des Bürgers bei der Behörde ausgedruckt und in konventioneller Form weiterbearbeitet wird. Vielleicht rächt sich hier, dass die Bundesregierung häufig den Eindruck vermittelt, Digitalisierung wäre in erster Linie eine Frage des Netzausbaus zur – so Kanzler Scholz – „Gigabitgesellschaft“. Bandbreite ist in vieler Hinsicht ausserordentlich wichtig, für das Angebot der allermeisten Verwaltungsleistungen würde aber schon eine minimale Bandbreite ausreichen.
Einerseits liegt die unbefriedigende Entwicklung daran, dass es keine übergeordnete Koordination der Entwicklung entsprechender Angebote gibt, und praktisch jede Behörde hier auf sich gestellt ist. Das ist schon für große Städte schwer zu schultern, wie sich aber Klein-Schnackenhausen hier optimal aufstellen soll, ist mir ein Rätsel. Das Beispiel lässt sich übrigens auf viele Unternehmen übertragen, wo fehlende Koordination zu schlecht funktionierenden digitalen Insellösungen führt, aber darum soll es an dieser Stelle nicht gehen.
Die Digitalisierung der Verwaltung scheitert aber nicht zuletzt daran, dass sich der Bürger bei vielen Verwaltungsakten ausweisen muss, das digital aber nicht kann. Dazu könnte er den elektronischen Personalausweis nutzen, was in vielen Prozessen aber bislang nicht angeboten wird. Anstatt nun die Nutzung der verfügbaren und funktionierenden Technik des ePerso endlich zu stärken, passiert das, was auch in vielen Unternehmen an dieser Stelle häufig passiert: eine ausgiebige Technologiediskussion und die Suche nach der in jeder Hinsicht optimalen Lösung.
Das Bundesinnenministerium arbeitet an der sogenannten Smart eID für das Smartphone, die den physischen Ausweis entbehrlich machen soll. Das Bundesministerium für Digitales und Verkehr arbeitet parallel in Richtung Smartphone Wallets, in denen nicht nur Ausweisdaten, sondern auch andere Dokumente und Nachweise abgelegt werden können. Eine erste Regierungsintiative in diese Richtung scheiterte bereits 2021, als die sogenannte ID Wallet trotz massiver Sicherheitsbedenken, u.a. des Bundesamtes für die Sicherheit in der Informationstechnologie (BSI), auf den Weg gebracht wurde und schon nach kurzer Zeit wieder vom Markt genommen wurde, weil genau die vom BSI formulierten Probleme eingetreten sind.
Am Rande: Das BSI warnte unter anderem davor, „dass durch die Nutzung der Blockchain-basierten Lösung die Komplexität und damit einhergehend die grundsätzliche Anfälligkeit für Sicherheitslücken des gesamten Systems bei unklarem Nutzen deutlich erhöht“ werde und „viele Ziele auf Basis klassischer Verschlüsselungstechniken wie einer Public-Key-Infrastruktur ebenso umgesetzt werden könnten“. Das ist aus meiner Sicht bei fast allen bislang diskutierten Anwendungsfällen der Blockchain so, aber auch darum soll es hier nicht gehen.
Anders als beim bisherigen ePerso, bei dem das Zertifikat nur auf dem Ausweis liegt, soll bei den jetzt angedachten Lösungen das Zertifikat auf einem Sicherheitschip im Smartphone abgelegt werden, so dass er nicht bei jeder Transaktion erneut abgerufen werden muss. Klingt praktisch, die erforderlichen Chips werden aber derzeit nur in teuren Geräten verbaut, und es wird voraussichtlich einige Jahre dauern, bis sich die Zahl nutzbarer Geräte nennenswert vergrößert. Zudem halten Sicherheitsexperten das bisherige Verfahren für sicherer, da man jeweils den Ausweis und das Smartphone benötigt, was den Identitätsmissbrauch erschwert.
Fazit: Eine funktionsfähige Lösung wird nicht zur Nutzung gebracht, weil man sich lieber mit Zukunftsmusik befasst. Dabei wäre es naheliegend, zunächst das vorhandene Verfahren weiter zu etablieren und später um geeignete – ggf. rein elektronische – Verfahren zu ergänzen, sofern diese sich tatsächlich als vorteilhaft erweisen. Einen physischen Ausweis benötigt jeder Bürger in absehbarer Zeit ohnehin, insofern kann man an der Stelle nicht viel falsch machen. Anders haben es die Banken auch nicht gemacht, die mittlerweile Bezahldienste anbieten, bei denen der Chip auf der Kontenkarte nicht mehr benötigt wird.
Stattdessen fahren jeden Tag viele Bürger zu Ämtern jeder Art, um Dinge zu erledigen, die in anderen Ländern schon seit Jahren vollständig digital abgewickelt werden können. Wenn Sie sich etwa in Dänemark – natürlich online – ummelden, erhalten Finanzamt und Krankenkasse diese Information auch, so dass diese nicht separat über den Umzug informiert werden müssen. Am Datenschutz kann das Problem in Deutschland ausnahmsweise mal nicht liegen, denn in der EU ist Dänemark auch.
Ich jedenfalls fand es ausgesprochen praktisch, mich bei der kürzlichen Grundsteuererklärung mit meinem ePerso beim Finanzamt anzumelden und nicht auf die Briefe mit Elster-Zertifikaten warten zu müssen.
Um es mit Kästner zu sagen: Es gibt nicht Gutes, ausser man tut es.