government2020 header image 2

Warum die eID-Funktion des neuen Personalausweises (noch) keinen Erfolg hat

März 4th, 2014 · 5 Kommentare

Ein Kommentar von Dr. Christian Hoffmann, Lorenz-von-Stein-Institut für Verwaltungswissenschaften an der CAU Kiel

Die Idee des elektronischen Identitätsnachweises (geregelt in § 18 PAuswG) war und ist nachvollziehbar und sinnvoll. Auch im Internet soll es den Bürgern ermöglicht werden, sich auszuweisen. Als digitales Pendant zum in der analogen Welt gängigen Vorzeigen des Ausweises können Nutzer mit Hilfe der sog. eID-Funktion ihren Personalausweis auch im Internet „vorzeigen“. Besonders clever: Die Funktion kann nicht nur gegenüber Behörden, sondern auch gegenüber Unternehmen genutzt werden. Die ersten neuen Personalausweise wurden am 1. November 2010 ausgestellt. Nach etwas über drei Jahren zeigt sich jedoch, dass die eID-Funktion bisher nicht die gewünschter Verbreitung gebracht hat. Doch woran liegt das?

Alles kann – nichts muss: Das (falsche?) Prinzip der Freiwilligkeit

Die anfängliche mit dem neuen Personalausweis verbundene Euphorie ist mittlerweile etwas der Ernüchterung gewichen: Nur knapp 30 Prozent aller Ausweisinhaber haben bisher die eID-Funktion ihres Personalausweises einschalten lassen. Auch wenn das verantwortliche Bundesministerium des Innern (BMI) sich redlich bemüht, diese Zahlen als Erfolg zu verkaufen, so kann dies einfach nicht genug sein. Sicherlich, 7 Millionen Ausweise „im Feld“ ist – gerade verglichen mit anderen derartigen Infrastrukturen – eine beachtliche Zahl, mit der sich arbeiten ließe. Dennoch muss man sich fragen: War es nicht ein Fehler, die eID-Funktion optional auszugestalten? Aus juristischer Sicht hätte nichts gegen eine Standard-Aktivierung gesprochen, da die Entscheidung über die Nutzung dieser Funktion auch dann noch stets beim Bürger verblieben wäre. Jedoch hätte eine Vorabaktivierung gegen das bis heute im deutschen E-Government vorherrschende Prinzip der Freiwilligkeit gesprochen. Dem Bürger soll das E-Government nicht aufgedrängt werden. Dabei zeigen Erfahrungen aus anderen Bereichen, dass technische Innovationen oftmals nur durch eine verpflichtende Nutzung durchgesetzt werden können. Zu denken ist hier etwa an die Pflicht zur elektronischen Vorsteueranmeldung oder das elektronische Handelsregister.

Fehlendes Marketing

Ein weiteres Problem: Der eID-Funktion fehlt es am Marketing. Damit ist indes nicht eine fehlende Werbung für den neuen Personalausweises gemeint. Vielmehr gab es eine bis heute in der deutschen Verwaltung einmalige Werbekampagne: Eigenes Logo, moderner Internetauftritt, zahlreiche Broschüren und sogar Werbespots – nichts wurde ausgelassen (wenngleich die Werbeintensität natürlich nicht mit der freien Wirtschaft verglichen werden darf, zu denken ist hier etwa an die unglaubliche Werbeoffensive der Deutschen Post AG für den E-Postbrief).

Nein, mit fehlendem Marketing ist vielmehr die fehlende „Werbung“ im Sinne von Information über die eID-Funktion in den Einwohnermeldeämtern gemeint. Dies ist vielfach der Ort, an dem der Bürger erstmals darüber nachdenkt, ob die Funktion eingeschaltet werden soll. Trotz zahlreicher Informationsveranstaltungen ist es offenbar vielfach nicht gelungen, die Mitarbeiter vor Ort als Botschafter für die eID-Funktion zu gewinnen. Sätze wie: „Wollen Sie das wirklich einschalten? Also die meisten machen das ja nicht.“, wirken beim Nutzer nicht gerade vertrauenserweckend. Auch wird den Bürgern teilweise lediglich die Broschüre in die Hand gedrückt, ohne persönlich über die Funktion aufzuklären.

Zu wenig Angebote der Verwaltung

Spätestens wenn der Bürger nachfragt, wofür er die Funktion im Rathaus vor Ort denn nutzen könnte, und das Personal nur passen kann, dürfte für viele die Entscheidung klar sein. Dass es auch anders geht, zeigt indes die Stadt Ingolstadt, in der die Einschaltquote bei 63,67 Prozent liegt. Der Grund: Die Stadt hat attraktive Verwaltungsdienstleistungen, die mit dem Personalausweis genutzt werden können.

Keine Unterstützung aus der Wirtschaft

Bereits bei der Planung der Funktion war den kreativen Köpfen im Bundesinnenministerium offenbar klar, dass die 1,3 Behördengänge, die eine Privatperson im Jahr durchschnittlich zu erledigen hat, nicht ausreichen, um den Bürger zum Vorhalten einer eigenen Infrastruktur zu animieren. Daher der Plan: Auch die Wirtschaft soll mitmachen und ihren Kunden das System anbieten. Schließlich ist das bisher verbreitete Verfahren von Benutzername und Kennwort viel zu unsicher und diese ganzen Passwörter kann sich doch ohnehin keiner mehr merken. Mittlerweile scheint jedoch klar, dass auch diese mit der Einführung der eID-Funktion verbundene Hoffnung nicht eintreten wird. Zwar haben bereits einige Unternehmen, insbesondere Versicherungen, nPA-Anwendungen in ihr Angebot integriert, Internet-Schwergewichte wie Amazon oder eBay scheinen dies jedoch auch zukünftig nicht zu planen. Der Grund dürfte klar sein: Die Unternehmen wollen die Nutzungshürden ihres Dienstes so gering wie möglich halten. Vom Nutzer daher eine komplizierte Infrastruktur mit Kartenlesegerät zu fordern, passt zu dieser Strategie natürlich so gar nicht. Und warum bieten sie dies dann nicht wenigstens als Zusatzservice an? Vermutlich dürfte die Antwort ebenso einfach sein: Die hohen Kosten rechtfertigen nicht den Aufwand. Zumindest nicht, solange noch nicht genügend Nutzer vorhanden sind. Somit handelt es sich also das klassische „Henne-Ei-Problem“, wie es auch schon aus der Signaturkarten-Debatte bekannt ist.

Komplizierte Infrastruktur auf beiden Seiten

Nicht in Erfahrung zu bringen ist indes die Zahl der Nutzer, die zwar die eID-Funktion freigeschaltet haben, jedoch nicht über die notwendige Infrastruktur also insbesondere das Kartenlesegerät verfügen. Klar dürfte sein, dass die Anschaffung zusätzlicher Hardware immer eine Nutzungshürde darstellt. Daher liegt hier zumindest derzeit noch einer der großen Nachteile des Personalausweises. Sicherlich wäre es wünschenswert, wenn bspw. die Computerhersteller zukünftig ein Kartenlesegerät in ihre Produkte integrieren würden. Wahrscheinlich ist dies – zumindest solange nicht eine deutlich höhere Nachfrage zu spüren ist – nicht.

Aber auch viele Nutzer sehen keine Notwendigkeit, in ein Kartenlesegerät zu investieren, solange die eID-Funktion des Personalausweises kaum genutzt werden kann. Überhaupt stellt sich die Frage, ob der Bedarf nach derart sicheren Anmeldemöglichkeiten tatsächlich so groß ist, wie er vom Gesetzgeber angenommen wird. Immerhin existieren bereits seit langem sehr komfortable Passwort-Management-Programme, mit denen sich sehr sichere Passwörter generieren und mittels Copy-and-Paste in die jeweiligen Anmeldefenster einfügen lassen. Sicherlich erreichen auch diese Anmeldevorgänge mangels Zwei-Faktor-Authentisierung (Besitz und Wissen) nicht das Sicherheitsniveau des nPA, sind dafür aber bequem und dürften für einen Großteil der Anmeldevorgänge auch zukünftig ausreichen.

Weitaus komplizierter stellt sich die Situation indes für Behörden und Unternehmen dar, die die eID-Funktion in ihr Online-Angebot integrieren möchten. Sowohl für die erforderlichen eID-Server als auch für die zur Abfrage der Daten notwendigen Berechtigungszertifikate fallen schließlich erhebliche Kosten an. Immerhin existieren in vielen Bundesländern derzeit Initiativen zum Aufbau landesweiter eID-Portale, durch die die Beschaffungskosten für die Berechtigungszertifikate für die Kommunen um ein Vielfaches gesenkt werden können.

Derweil zeigt sich an anderer Stelle bereits, wie hoch der Preis für das in Europa einzigartige und von Datenschützern so gelobte Prinzip der doppelseitigen Authentifizierung tatsächlich ist. So findet sich in der geplanten „Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“, welche vor allem die gegenseitige Anerkennung von nationalen eID-Systemen zwischen den EU-Mitgliedstaaten zum Ziel hat, eine Passage, nach der nationale eID-Systeme nur dann notifiziert und damit auch im EU-Ausland eingesetzt werden können, wenn Dritten, die eine Authentifizierung vornehmen wollen, keine „unangemessenen“ technischen Vorgaben gemacht werden. Ob die eID-Funktion unter diesen Voraussetzungen tatsächlich notifiziert werden kann, wird sich noch zeigen müssen.

Fehlende mobile-Anbindung

Dass die eID-Funktion – eingeführt im Jahre 2010, geplant schon weitaus früher – nicht mehr ganz taufrisch ist, zeigt sich auch an der fehlenden mobilen Anbindung. Seit 2011 hat sich der Absatz von Smartphones in Deutschland fast verdoppelt. In diesem Jahr werden voraussichtlich rund 30 Millionen Geräte in Deutschland verkauft. Auch für den öffentlichen Sektor wird das Anbieten von Verwaltungsdienstleistungen auf mobilen Geräten daher immer wichtiger (sog. mobile Government). Bisher beschränken sich die von vielen Städten und Gemeinden geschaffenen Angebote (entweder mittels eigener App oder mittels Seitenoptimierung für mobile Geräte) indes meist auf das Bereitstellen von Informationen. Ein echtes Abwickeln von Transaktionen ist kaum möglich. Ein Grund: die fehlende rechtssichere Identifikation. Österreich hat diese Herausforderung mittels der sog. Handy-Signatur sehr nutzerfreundlich gelöst, wenngleich an dieser Stelle keine Bewertung bzgl. der Sicherheit dieses Verfahrens erfolgen soll.

In Deutschland zeichnet sich indes eine andere Lösung ab. Zahlreiche Unternehmen entwickeln derzeit Applikationen, die mittels Near-Field-Technologie (NFC) auf den neuen Personalausweis zugreifen können. Dabei ist keine zusätzliche Hardware erforderlich. Entsprechend ausgestattete Geräte könnten ein wichtiger Meilenstein für die mobile Nutzung des Personalausweises sein. Bis es soweit ist, wird jedoch noch einige Zeit vergehen.

Fazit: Die Hoffnung stirbt zuletzt

Eine konkrete Antwort zu der Frage, ob sich die eID-Funktion des neuen Personalausweises flächendeckend als Identifizierungsmittel im Internet durchsetzen wird, fällt auch über drei Jahren nach ihrer Einführung schwer. Mangelndes Engagement kann man dem BMI zumindest nicht vorwerfen, schließlich wird mit der „E-Government-Initiative für De-Mail und die Onlineausweisfunktion des Personalausweises“ derzeit erneut versucht, der eID-Funktion zum Erfolg zu verhelfen. Positiv hoffen lässt die Tatsache, dass die meistgenutzte eID-Anwendung derzeit der Registrierungsprozess für De-Mail ist. Große Hoffnungen sind zudem mit der mobilen Nutzung des Personalausweises verbunden, die dafür sorgen könnte, dass sich die eID-Funktion als Standardidentifizierungsmittel etabliert. Voraussetzung hierfür sind jedoch nutzerfreundliche Anwendungen aus Verwaltung und Wirtschaft.

Effizienter Staat 2014

Dr. Christian Hoffmann hält auch einen Vortrag zu diesem Thema auf dem Verwaltungskongress Effizienter Staat am 1. und 2. April in Berlin. Anmeldung und weitere Informationen unter www.effizienterstaat.eu

Artikel teilen!

Tags: IT / E-Government · Verwaltungsmodernisierung

5 Antworten bis jetzt ↓

  • 1 Wolfgang Ksoll // Mrz 4, 2014 at 11:01

    Der Betrachtung fehlen zwei Aspekte: der zeitliche und der internationale.

    Zum zeitlichen Aspekt: Seit 1997 haben wir ein Signaturgesetz. Wir haben es mit Signaturbündnis, Gesundheitskarte, Jobcard, Haushaltsanwendung in Niedersachsen nicht geschafft, die qualifizierte Signatur in die Fläche zu bringen. Wir haben in der EU-Signaturrichtlinie keinen europäischen Kompromiss gefunden. Wir basteln seit 17 Jahren an der Qualsig, boykottieren damit die EU-Dienstleistungsrichtlinie (Artikel 8 – einfach und online), in dem wir EU-Ausländer mit §3a VwVfG zwingen, erst nach Deutschland zu kommen und sich eine Qualsig zu kaufen, bevor sie aus dem Heimatland online ihr Gewerbe anmelden können. Wir haben mit 45 Mio DM MEDIA@komm gefördert, ohne Erfolg. Wir haben uns verbissen, rechtliche Problem mit Technik lösen zu wollen. Mittlerweile haben wir auch noch die Technologie gewechselt (weg von Kontakten, zu kontaktfrei), was eine Amortisation eines Lesegerätes noch mehr erschwert hat. Seit 17 Jahren haben wir die gleichen Argumente wie beim nPA. Das sollte man bei einer sachlichen Betrachtung mit in Betracht ziehen.

    Der internationale Aspekt: England hat bei der EU-Signaturrichtlinie dafür gesorgt, dass die einfache Signatur in England Rechtskraft entfalten kann: entweder einfach Zeichenkette oder eingescannte Unterschrift. Was ist am deutschen Wesen so völlig anders, dass wir überzogenen Hightech-Schnickschnack dringend brauchen? Sind wie ein Volk von Betrügern und Verbrechern, denen man nicht trauen kann? Was steck da für ein deutsch-nationales Menschenbild hinter, das wir im Ausland nicht finden? In den USA kann man seit 1997 Führerscheine online verlängern. Bei uns kann man weder Führerscheine noch nPA noch Reisepass online beantragen. Wir diskutieren über Hardware, während die Amerikaner Dienstleistungen online erbringen (man könnte auch die Online-Rentenauskunft in den USA seit 1996 erwähnen, während wir ein Trustcenter in der BfA gebaut haben, ohne weiteren Sinn).
    In der Neuordnung des §126a BGB und des §3aVwVfG (sowie AO und SGB) haben wir den Technoschnickschnack eingeführt und die elektronische Form vorsätzlich verächtlich gemacht und herabgesetzt. Wir haben uns sogar erblödet, dass eine Veränderung elektronischer Dokumente keine strafbare Handlung ist wie eine Urkundenfälschung und haben eine Sonderbehandlung geschaffen. In der Schweiz dagegen, geht man ins Gefängnis, wenn man eine einfach, nicht fortgeschritten oder qualifiziert signierte E-Mail verfälscht. In Österreich hat die qualifizierte Signatur wie bei uns gefloppt und man signiert lange schon mit Handy, wärhend wir hier über eID beim nPA diskutieren.. Was macht die Deustcehn so einzigartig unter den Völker den Welt, dass wir technologische Wege beschreiten müssen, die bei uns das E-Governmenet verhindert, die die Verwaltung hinter den hohen Mauern der Trutzburg verstecken lässt? Geht es uns immer noch zu gut, dass wir unsere Verwaltung immer noch nicht effizient machen wollen, wie es andere Staaten machen (s.o.).?
    Man muss auch mal den Mut haben, Irrtümer einzugestehen und Wege zu verlassen, die nicht gangabr sind. Dazu gehört Lernen aus Erfahrung und internationale Benchmarks. Dieser deutsche Irrweg kostet uns nur Zeit und Geld und bringt keinen Nutzen.

  • 2 Per S. // Mrz 12, 2014 at 18:49

    Mich irritiert, dass jemand nach dem, was wir nach durch die Veröffentlichung der Dokumente von Edward Snowden ernsthaft beklagt, elektronisches Schlüsselmaterial zur Identifikation habe sich nicht durchgesetzt.

    Ein Ausweis wird beispielsweise immer mal aus der Hand gegeben (an Grenzen, bei Banken, bei der Post usw.usf.), und mir scheint, dass der Autor dieses Textes keinerlei Idee hat, was ein Angreifer mit den auf einem Ausweis hinterlegten Schlüsseln anstellen kann, wäre dies verpflichtend und flächendeckend im Einsatz. Ich bin heilfroh, dass es da zum Glück genug gesunde Paranoia in Verwaltung und Politik gibt – neben dem, dass ich glaube, es gäbe eine Reihe verfassungsrechtlicher Hindernisse für verpflichtende elektronische Identifikation.

    PKI ist schon unter wesentlich besser kontrollierten Bedingungen (z.B. innerhalb von Unternehmen) nicht unproblematisch, aber richtig schlimm wird es, da die Möglichkeit des Auslesen der Daten selbst bei bekannter Kompromitierung von Geräten eines Typs oder Anbieters nicht verhindert werden kann. Denn wie soll das gehen? Ein Ausweis kann keine vollständige Liste der entsprechenden Zertifikate speichern.

    eID ist und bleibt eine gefährliche und teure Schnapsidee – da kann man noch so sehr beklagen, was alles deswegen nicht geht. Der Schutz der Identität ist heutzutage mehr denn je eine *der* zentralen Aufgaben des Staates, denn nur er kann sicherstellen, dass damit kein Unsinn getrieben wird. eID hilft dabei nicht, sondern liefert die Menschen, ähnlich wie bei EC, einem System aus, dass per anfällig und so komplex ist, dass man das ohne Verständnis der Kryprographie dahinter nicht sinnvoll nutzen, und noch wichtiger: schützen, kann. Bei EC geht es aber nur Geld, nicht um Identität, und das ist ganz im Notfall eben alles, was man verlieren kann. Eine einmal verlorene, elektronische Identität ist nicht so leicht wieder herzustellen, der Schaden für den betroffenen Bürger wäre enorm.

  • 3 Andreas Kuckartz // Jun 2, 2014 at 07:18

    Der Autor erwähnt nicht (und unterschätzt offenbar) die Auswirkungen der Entlarvung der ersten AusweisApp durch den CCC als unsicher. Und selbst bei der mit vielen Millionen EUR finanzierten Verschenkung von Basislesern wurde nicht gelernt: Für einen Teil der Geräte war und ist der Quellcode der Gerätetreiber nicht unter einer FOSS-Lizenz verfügbar und ist deshalb ein Sicherheitsrisiko.

  • 4 Effizienter Staat 2015: Der Cloud-Faktor – Staatsmodernisierung neu denken! // Dez 1, 2014 at 17:46

    […] Andreas Kuckartz: Der Autor erwähnt nicht (und unterschätzt offenbar) die Auswirkungen der Entlarvung der ersten AusweisApp durch den CCC als unsicher. Und selbst bei der mit… […]

  • 5 Pietsch // Aug 6, 2015 at 09:51

    Die Sicherheit des nPA müsste schon mehr umworben werden. Der Bürger muss es nachvollziehen können. So lang dies nicht der Fall ist, wird der Bürger der neuen Personalausweis auch nicht freischalten lassen.
    Dem Bürger ist persönlicher Kontakt sehr wichtig, erst wenn sie Sicherheit „sicher “ ist, wird er auf die Onlinefunktionen zurückkommen, da der Zeitfaktor dann der einzige Aspekt ist, der viele Bürger dazu bewegen könnte, diese dann auch zu nutzen.

Hinterlasse ein Kommentar

*