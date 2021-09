Die Bundesregierung hat offenbar den Start eines weiteren E-Government-Projekts verstolpert. Mit dem Programm "ID Wallet" sollten sich Bürger gegenüber Dritten digital ausweisen können – beispielsweise als Ersatz für einen physischen Führerschein. Die App inklusive der Funktion einer digitale Fahrerlaubnis ging letzten Donnerstag an den Start - der BR berichtete. Nun hat der von der Regierung beauftragte Dienstleister "Digital Enabling GmbH" die Anwendung namens "ID Wallet" nach massiver Kritik von Nutzern und Sicherheitsexperten wieder aus den App-Stores entfernt.

Mithilfe der App konnten Nutzer, die über einen E-Personalausweis verfügen, seit dem 23. September eine Anfrage beim Kraftfahrtbundesamt stellen und eine digitale Version der Fahrerlaubnis in der Brieftaschen-App speichern. Das klappte aber offenbar nur bei wenigen Nutzern problemlos. Es hätten sich infolge in den sozialen Medien Beschwerden gehäuft. So ließ sich die App zwar problemlos herunterladen, eine Einrichtung des ID Wallets schien aber aufgrund von Abstürzen nicht möglich zu sein. Davon berichten zahlreiche Anwender in den Bewertungen der Android-App. Andere Nutzer sprechen von sehr langen Ladezeiten sowie Fehlermeldungen. Auf der Programmiererplattform Github sammelten Nutzer die zahlreichen Fehlermeldungen.

Potentiell angreifbare Technik hinter der ID-Wallet-App

Die Bundesregierung teilte auf ihrer Internetseite mit, dass es wegen der "sehr hohen Nachfrage" unerwartete "Leistungsspitzen" gegeben habe, die die Nutzung der App beeinträchtigt hätten. Nun werde das Programm für "wenige Wochen" wieder aus den App-Stores herausgenommen und dann neu gelauncht.

Bernhard Rohleder, Hauptgeschäftsführer vom Digitalverband Bitkom kommentierte dazu:

„Zunächst kam ein elektronischer Personalausweis, für den es aber faktisch keine Einsatzmöglichkeiten gab. Dann kam die elektronische Gesundheitskarte, die außer Stammdaten nichts zu bieten hatte. Jetzt kommt eine Führerschein-App, die bei Polizeikontrollen nicht akzeptiert wird. Das reiht sich ein in die mühseligen Versuche, auch in Deutschland digitale Technologien an der Schnittstelle von Verwaltung und Verbrauchern zum Einsatz zu bringen“.

Auch zahlreiche Sicherheitsexperten kritisierten in den vergangenen Tagen die Anwendung. Man habe "Grund zur Annahme“, dass die Infrastruktur hinter der App und die zugrundeliegende Blockchain-Technik angreifbar sein könnten, twitterte etwa ein Mitglied des Chaos Computer Clubs am Montagabend.

Beim Einsatz der ID-Wallet-App dient eine Blockchain beziehungsweise ein dezentrales Netzwerk ("Distributed Ledger") als Vertrauensanker. Die Aussteller von Nachweisen (zum Beispiel das Kraftfahrtbundesamt im Falle des Führerscheins) sollen in dem Netzwerk dann Prüfdaten hinterlegen. Prüfer (zum Beispiel Mietwagen- oder Carsharing-Anbieter) sollen die Daten dann dort einsehen können. Aus einen Blogeintrag der Sicherheitsforscherin Lilith Wittmann geht hervor: Dieses Verfahren hätte so gut wie keinen Schutz gegen das Abgreifen der Personendaten durch einen Angreifer gegeben.

Der Idealfall für Kriminelle

Aufgrund einer fehlenden Prüfung der Legitimation an einer angefragten Stelle hätten „Man-in-the-middle“- oder vielmehr „Machine-in-the-Middle“-Attacken offenbar nicht verhindert werden könnten. Denn in der konkreten Implementierung der ID Wallet wären Anfragen von Mietwagen- oder Carsharing-Anbietern an das dezentrale Netzwerk, also den Vertrauensanker nicht geschützt gewesen. Da der Austausch der Daten über QR-Codes erfolgen sollte, wäre es laut Wittmann ein leichtes, verfälschte QR-Codes zu erstellen, die dann beispielsweise auf den Server eines Angreifers verweisen, nicht auf die den Führerschein ausstellende Behörde wie das Kraftfahrt-Bundesamt.

Zudem könnten im Beispiel der Vor-Ort-Vermietung eines Autos die digitalen Identitäten auch lokal gespeichert werden, wenn das dezentrale Netzwerk eben keine vertrauenswürdige Stelle, sondern ein „Man-in-the-Middle“ ist. Das ist für Kriminelle ein Idealfall, weil die so gewonnen Daten echt sind – und sich jederzeit auch beim Kraftfahrt-Bundesamt überprüfen lassen. Mit solchen Identitäten wird unter anderem im Darknet ein schwunghafter Handel betrieben. Die Opfer bekommen von Online-Einkäufen auf ihren Namen oder zweifelhaften Vertragsabschlüssen oft zu spät mit.

Ein langer Weg bis zum offiziellen Nachweis der Fahrerlaubnis

Erst vergangene Woche teilte das Verkehrsministerium mit, dass es sich bei der App um die erste Stufe handele. Minister Andreas Scheuer erklärte, dass die Technik stehe und es im nächsten Schritt um die Anwendungen gehe. In einer Pressekonferenz verkündete er: “Der digitale Führerschein hat das Potenzial, den Alltag von Autofahrern deutlich zu erleichtern". So kann eine aufwendige Video-Überprüfung des Führerscheins etwa für Car-Sharing oder bei Mietwagen-Anbietern überflüssig werden. Als offizieller Nachweis der Fahrerlaubnis zum Beispiel in Polizeikontrollen kann der digitale Führerschein aus rechtlichen Gründen zwar bislang nicht dienen. Das Bundesverkehrsministerium will sich aber auf EU-Ebene dafür einsetzen, die gesetzlichen Grundlagen dafür zu schaffen.

"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!