Der Fachkongress Omnicard im Januar 2010 in Berlin, der wichtigste deutsche Branchentreffpunkt zu allen Fragen rund um Chip- und Ausweiskarten und die elektronische Identität. Die Stimmung war bei den Teilnehmern dieses Mal außergewöhnlich gut. Schließlich sollte in ein paar Monaten ein staatliches Großprojekt starten: der neue elektronische Personalausweis, der dann vor ziemlich genau zehn Jahren, am 1. November 2010, eingeführt wurde.
"So wird der neue Personalausweis ungefähr aussehen. Das ist bislang ein Musterdokument. Und wie sie sehen: Vor allen Dingen im Format hat sich etwas geändert", erklärte damals im Deutschlandfunk Antonia Maas von der Bundesdruckerei, die den Ausweis herstellt und mitentwickelt hat. Der bis dahin etwas unförmig große, laminierte Papierausweis sollte endlich auf Scheckkartenformat zusammenschrumpfen.
"Er passt quasi wie auch die Kredit-, EC-Karte oder auch der Führerschein in die Fächer im Portemonnaie. Sie sehen vorne nach wie vor: Wir haben das Foto, frontal aufgenommen, und daneben dann die Daten wie Name, Geburtsdatum, Staatszugehörigkeit."
Die frontal aufgenommenen, biometrischen Fotos wurden zuvor schon für den Reisepass verlangt. Sie sollen unter anderem verhindern, dass der Personalausweis von Menschen benutzt wird, die dem Besitzer ähnlich sehen – und erleichtern auch einen automatischen Abgleich zwischen dem Ausweisfoto und der Person, die den Ausweis vorzeigt. Die vielleicht wichtigste Neuerung steckte allerdings unter der Oberfläche Plastikkarte: der Chip für die elektronischen Ausweisfunktionen.
Funktion für elektronische Identifikation kaum genutzt
"Der Chip ist in das Dokument eingelassen und auf diesem Chip sind die wichtigsten Daten, die auch auf dem Dokument aufgedruckt sind, gespeichert. Er enthält sowohl das Foto, als auch Name und Adresse des Ausweisinhabers."
Mit dem Chip sollte der Personalausweis online-tauglich werden. Bürger könnten ihn nutzen, um sich auf den Internet-Seiten von Behörden eindeutig auszuweisen - oder um sich beim Online-Shopping oder auf den Seiten von Banken, Versicherungen oder auch Mobilfunkanbietern zu identifizieren. Und Verträge könnten damit auch ohne handschriftliche Unterschrift sicher abgeschlossen werden.
Das klingt praktisch. Doch obwohl heute - zehn Jahre später - die allermeisten Bürger den neuen Personalausweis in der Tasche haben, wird diese so genannte "eID-Funktion" für die elektronische Identifikation im Alltag kaum genutzt. Das belegt auch eine repräsentative Umfrage des Meinungsforschungs-instituts Kantar für den eGovernment-Monitor der Initiative D21. Von den Besitzern eines elektronischen Personalausweises haben demnach gerade mal sechs Prozent die elektronischen Ausweisfunktionen überhaupt schon mal getestet.
Die Gründe dafür sind vielfältig. So war bei der Einführung vor zehn Jahren schon die drahtlose Übertragungstechnik vielen Verbrauchern suspekt: Schließlich kann der Chip im Personalausweis per Funk kontaktlos ausgelesen werden. Heute ist diese Funktechnik in praktisch jeder EC- und Kreditkarte verbaut und wird mehr und mehr beim Bezahlen an der Supermarkt-Kasse benutzt. Damals, vor zehn Jahren, war die Technik aber noch vergleichsweise neu. Und so warnten manche Kritiker vor einem angeblich möglichen Datenklau.
Auch bei den IT-Experten vom Chaos Computer Club war die Skepsis gegenüber dem elektronischen Personalausweis von Anfang an groß, erinnert sich heute Vereinssprecherin Constanze Kurz. "Wir haben tatsächlich von Anfang den Chip, also diese drahtlose Schnittstelle kritisiert. Zum einen, weil dieser Ausweis ja auch mit einem kaputten Chip ein vollwertiges Dokument ist. Und sich dann natürlich die Frage stellt: Warum macht man diesen teuren Firlefanz, wenn jeder der damit nach Hause kommt den einfach deaktivieren kann und dann ist es ja immer noch ein Dokument. Und zum anderen: Wie sicher sind die Daten darauf und wer kann unter welchen Bedingungen worauf zugreifen? Also der Chip war durchaus auch eine Frage, die am Anfang viel diskutiert wurde."
Damit Kriminelle den Personalausweis nicht quasi im Vorbeigehen auslesen können, empfahlen manche Internet-Seiten ihn besser in Alufolie zu wickeln. Es kursierten gar Anleitungen, wie der Funkchip in einer Mikrowelle oder auf einem Induktionsherd innerhalb von ein paar Sekunden überlastet und unbrauchbar gemacht werden kann.
Nötig war das vermutlich nicht. Denn tatsächlich sind die elektronischen Ausweis-Funktionen mit starken Verschlüsselungsmechanismen abgesichert. Sie können nur mit einer zusätzlichen PIN ausgelesen werden - und auch dann nur aus wenigen Zentimetern Entfernung.
"Man braucht ja ein Lesegerät"
Sicherheitslücken gab es zum Start trotzdem. Allerdings nicht beim Personalausweis selber, sondern bei den nötigen Lesegeräten, erklärt Sicherheitsexpertin Kurz vom Chaos Computer Club. "Man braucht ja ein Lesegerät, um mit diesem Ausweis etwas Sinnvolles zu machen. Und diese Lesegeräte gab es in billig und unsicher und die gab es in teuer und sicher."
Die günstigen, so genannten Basislesegeräte gab es schon für etwa 30 Euro zu kaufen. Zur Einführung des Personalausweises wurden sie teilweise sogar verschenkt. Finanziert mit staatlichen Fördergeldern lagen sie zum Beispiel als kostenlose Zugabe Computerzeitschriften bei. Diese einfachen Lesegeräte sind ungefähr so groß wie ein Smartphone, werden per USB-Kabel an den PC oder Laptop angeschlossen – und können eigentlich nur den Ausweis auslesen und anfunken. Die teuren Geräte hatten zusätzlich eine Tastatur eingebaut.
"Und da ging es eben darum, ob man eben die PIN-Nummer auf der Tastatur eines unsicheren Betriebssystems eingibt oder ob man eben dieses sicherere Zusatzgerät benutzt, wo man die PIN direkt auf dem Gerät eingibt."
An einem typischen Windows-PC oder -Laptop könnte die PIN zum Beispiel von einer Schadsoftware wie einem Trojaner mitgeschnitten werden. Bei den teuren, autarken Lesegeräten ist das nicht möglich, da die PIN-Nummer eben nicht am Computer eingegeben wird.
Inzwischen hat sich das Problem mit den Billig-Lesegeräten praktisch von selbst erledigt. Denn mit der so genannten Ausweis-App lassen sich fast alle modernen Smartphones als sicheres Lesegerät für den Personalausweis nutzen und mit dem PC verbinden.
So richtig rund läuft das Auslesen der Elektronischen Identität aber auch über das Smartphone bisher nicht, findet selbst Bernhard Rohleder, Geschäftsführer des IT-Branchenverbands Bitkom. "Es fällt schon auf, dass wenn man den Personalausweis mit seinem Smartphone verknüpft: Es ist ein bisschen komplizierter und dauert etwas länger. Und es funktioniert auch nicht gleich beim ersten Mal."
Letztlich sei das der Preis der besonders hohen Sicherheitsstandards, die beim elektronischen Personalausweis und den dazugehörigen Apps und Programmen auf Smartphone und PC eingehalten werden müssen.
Warum sich Aufwand und Nutzen für Firmen nicht rechnen
"Und wenn es besonders sicher sein muss, dann muss man halt auch die ein oder andere Hürde nehmen. Und unter dem Strich steht: Es funktioniert, ja. Man muss sich der Mühe aber dann auch unterziehen. Und ich hoffe, dass das möglichst viele Menschen dann auch tun."
Doch zumindest bisher lohnt sich diese Mühe für die meisten Bürger offenbar nicht. Denn bisher gibt es kaum Anwendungen und Behördenwebseiten, die den elektronischen Personalausweis unterstützen.
"Man kann darüber zum Beispiel sein Bafög beantragen. Man kann auch in die Stasi-Behörde, man kann dort Einsicht in seine Unterlagen nehmen. Aber es sind eher exotische Anwendungen im Regelfall, die darüber aktiviert werden können. Und das ist nicht genug, um aus dem elektronischen Personalausweis wirklich ein ‚Erfolgsmodell Made in Germany‘ zu machen."
Constanze Kurz vom Chaos Computer Club sieht das ganz ähnlich. Die Bundesregierung habe damals gehofft, dass Unternehmen den elektronischen Personalausweis umgehend nutzen würden, beispielsweise als Alternative zu vergleichsweise umständlichen Identifizierungs-Verfahren wie PostIdent, bei denen Verbraucher nach einem Vertragsabschluss im Internet erst noch mit dem Personalausweis zu einer Postfiliale gehen mussten. Doch weil die elektronischen Ausweisfunktionen bisher kaum jemand nutzt – rechnen sich Aufwand und Nutzen für Firmen bisher nicht. Deshalb hätten hier die Behörden von Bund, Ländern und Kommunen nach der Einführung schneller eigene Angebote schaffen müssen, die für viele Bürger interessant sind, findet Kurz.
"Wo man den Leuten vielleicht die Möglichkeit gibt, sich echt Wege zu ersparen. Dann wäre auch die Industrie eventuell aufgesprungen. Das ist ja tatsächlich ein Henne-Ei-Problem: Der Staat macht keine Angebote, also nutzt niemand die eID. Niemand nutzt die eID – also gibt es keine guten Angebote."
Wie wichtig solche Angebote wären, habe sich gerade in den vergangenen Monaten gezeigt. "Man hat in der Zeit der Pandemie, wo viele Behörden und Ämter ja auch geschlossen waren, natürlich gesehen, dass so ähnlich wie im Bereich der Universitäten oder Schulen auch die Behörden relativ aufgeschmissen waren und wenig Angebote machen konnten."
In den nächsten Jahren könnte das digitale Angebot allerdings endlich wachsen. Denn Bund, Länder und Kommunen wollen einen großen Teil der Verwaltungsleistungen für Bürger und Unternehmen digitalisieren. Bundestag und Bundesrat haben dazu 2017 das so genannte "Online-Zugangsgesetz" beschlossen. Und im Rahmen des Corona-Konjunkturpakets hat die Bundesregierung rund drei Milliarden Euro für die Digitalisierung der Verwaltung bereitgestellt. Bis Ende 2022 sollen damit die 575 am häufigsten genutzten und nachgefragten Verwaltungsleistungen digitalisiert sein, erklärt Verwaltungsexperte Klaus Effing.
"Also das sind jetzt praktisch Beispiele aus dem Online-Zugangsgesetz. Wenn man hier einmal schaut: Zum Beispiel die zehn Top-Leistungen im Online-Zugangsgesetz, die also digitalisiert werden, sind zum Beispiel Geburtsurkunden, Geburtsbescheinigungen, Arbeitslosengeld II, aber auch so etwas wie Abfallentsorgung, Hochschulzulassung, Bafög und Kindergeld."
Kompetenz-Gerangel zwischen Bund, Ländern und Kommunen
Klaus Effing leitet die Kommunale Gemeinschaftsstelle für Verwaltungsmanagement, eine Art Think Tank und Dienstleister zugleich, der Städte und Gemeinden unter anderem auch beim Thema Digitalisierung berät und unterstützt.
"Der Bürger hat Anspruch darauf – und das ist auch das, was wir erreichen müssen - dass er seine Leistungen, die er aus der Verwaltung benötigt, so einfach bekommt, als ob er ein Buch online bestellt oder eine Reise online bucht."
Bisher sieht die Realität noch anders aus. Vor allem kleinere Kommunen stehen bei der Digitalisierung oft noch ziemlich am Anfang – wie zum Beispiel die kleine Eifelstadt Mechernich, knapp 50 Kilometer südwestlich von Köln. Dort kümmert sich Fotini Bung um die Digitalisierung der Stadtverwaltung.
"Also ich würde sie jetzt einfach mal auf unsere Homepage-Seite führen. Das ist wahrscheinlich am einfachsten."
Die Webseite selbst hat gerade ein frisches Design bekommen. Online-Dienstleistungen werden zwar noch nicht angeboten. Dafür aber immerhin die wichtigsten Antragsformulare als Datei zum Herunterladen.
Wirklich komfortabel ist das für die Mechernicher Bürger bisher noch nicht, weiß auch Digitalisierungsbeauftragte Bung.
"Ich öffne jetzt einfach mal. Antrag der Hundesteuer. Das ist so ein typisches Beispiel, was der Bürger vielleicht bei uns beantragen möchten. Das sind PDF-Dokumente, die man allerdings in dem Fall ausdrucken müsste, ausfüllen müsste, unterschreiben müsste, an uns zusenden müsste." –
"Und Ausfüllen tatsächlich per Hand?"
"Per Hand. Das ist der Stand jetzt."
In einem ersten Schritt werden diese Formulare gerade überarbeitet. Die neuen Versionen sollen in den nächsten Tagen verfügbar sein – und lassen sich zumindest am Computer ausfüllen. Ausgedruckt und unterschrieben werden müssen die meisten Dokumente aber vorerst weiterhin – und in manchen Fällen sogar persönlich im Rathaus abgegeben werden, erklärt Bung.
"Das hat auch was mit der gesetzlichen Ebene zu tun. Es gibt Bereiche, da muss man tatsächlich vor Ort gehen, da muss man einen Ausweis zeigen. Da können wir es nicht anders im Moment handhaben."
Typische Probleme, die eigentlich längst gelöst sein sollten. Schließlich gab es in den vergangenen 20 Jahren immer wieder Anläufe zur Digitalisierung der Verwaltung. Schon im Jahr 2000 hatte der damalige Bundeskanzler Gerhard Schröder versprochen, bis 2005 alle internetfähigen Dienstleistungen der Bundesverwaltung online bereitzustellen. Seither wurde die Digitalisierung immer wieder in Koalitionsverträgen oder Regierungsprogrammen wie der Digitalen Agenda beschworen.
Tatsächlich wurden immer wieder auch digitale Pilotprojekte angeschoben. Allerdings sind diese nicht selten im Kompetenz-Gerangel zwischen Bund, Ländern und Kommunen zerrieben worden. Lange Zeit fehlte außerdem eine Koordinierung der vielen einzelnen, kleinen Digitalisierungs-Projekte. Besonders auf kommunaler Ebene, mit der die Bürger besonders oft zu tun haben, erklärt Bitkom-Geschäftsführer Rohleder.
Bürger- oder Serviceportale gibt es in manchen Städten
"Es gibt in Deutschland 11.000 Kommunen. Und diese 11.000 Kommunen haben im Grunde genommen alle das Rad noch einmal für sich neu erfunden. Haben eigene Portale gebaut. Haben eigene Gedanken und Überlegungen angestellt zur Digitalisierung ihrer Prozesse."
Genau an dieser Stelle setzt das Online-Zugangsgesetz an. Denn es bietet den Rahmen, damit nicht mehr jedes Bundesland oder jede Kommune für sich allein an Digitalisierungsprojekten arbeitet, sagt Klaus Effing von der Kommunalen Gemeinschaftsstelle für Verwaltungs-management.
"Eine Struktur, die aufgebaut wird, wo man sich abstimmt zwischen Bund, den 16 Bundesländern und letztlich den Kommunen in Deutschland – wo man sich abstimmt, welche Leistungen wie digitalisiert werden, zu welchen Zeitpunkten. Und das ist natürlich eine Herkulesaufgabe."
Koordiniert wird diese Herkulesaufgabe im IT-Planungsrat, in dem Vertreter von Bund, Ländern und Kommunen zusammenarbeiten. Das neue Motto bei der Digitalisierung lautet: "Einer für Alle" oder kurz "Efa". Ein Land oder eine Kommune bereitet eine digitale Verwaltungsleistung detailliert und systematisch vor – und alle anderen können diese dann übernehmen, müssen sie dann aber in der Regel noch an ihre eigenen Computersysteme anpassen. Momentan führt das allerdings zu einer etwas seltsamen Situation: Denn tatsächlich haben viele Kommunen ihre eigenen, einzelnen Digitalisierungsprojekte erst einmal gestoppt.
"Und das wird dann auf einmal wie eine große Welle glaube ich in die kommunale Welt kommen", sagt Klaus Effing. "Und dann wird es sicherlich in den nächsten Jahren einen riesigen Digitalisierungsschub in den deutschen Verwaltungen geben."
Und so plant man zurzeit auch im kleinen Mechernich in der Eifel einen großen Schritt. Auch ihre Kommune soll endlich ein eigenes Verwaltungsportal bekommen, sagt Digitalisierungskoordinatorin Fotini Bung.
"Ein Bürgerportal, an dem ein Bürger sich anmelden kann und alles Notwendige ausführen kann. Das bedeutet einmal zum Beispiel seine Daten abrufen kann. Seine Stammdaten, seine Bescheide, alles was er abwickelt zum einen mit der Stadt Mechernich, aber auch zum anderen tatsächlich seine Dienstleistungen über dieses Portal auch beantragen kann – jeglicher Art."
Solche Bürger- oder Serviceportale gibt es in manchen Städten schon jetzt. Zukünftig sollen diese kommunalen Portale aber mit Portalen für die Verwaltung von Bund und Ländern zu einem großen Verbund verknüpft werden.
Und an dieser Stelle kommt dann auch die eID-Funktion im Personalausweis wieder ins Spiel, sagt Markus Richter, Staatssekretär im Bundesinnenministerium und IT-Beauftragter der Bundesregierung. "Der elektronische Personalausweis wird das Schlüsselmoment sein, wenn es darum geht, dass ich volldigital mit Verwaltung kommunizieren kann. Denn es ist entscheidend, dass wenn ich eine Leistung beantrage oder irgendetwas von einer Behörde will, dann muss ich ja sicherstellen, wenn ich das über das Internet tue – dass die Behörde genau weiß: Ja wer ist denn das, der mit mir spricht."
"Man hat zu wenig Personal für die IT-Sicherheit"
Gleichzeitig soll es auch für Menschen ohne einen Personalausweis eine staatliche Online-Identität geben, beispielsweise für Einwohner ohne deutsche Staatsbürgerschaft. Das lasse sich auch als reine Software-Lösung sicher umsetzen, so Richter. Denkbar ist hier zum Beispiel eine stark verschlüsselte App auf dem Smartphone. Und tatsächlich soll auch die Ausweis-App für den elektronischen Personalausweis in den nächsten Monaten nachgebessert werden. Zukünftig müsse dann laut Richter für eine Anmeldung nicht mehr jedes Mal der Personalausweis an das Gerät gehalten werden.
"Dass ich nicht mal mehr den Personalausweis händisch, physisch brauche, sondern dass ich die Identität auf dem Handy abgelegt habe, und von da aus direkt, hochsicher, mit allen Schutzfaktoren die man sich vorstellen kann, diese Identität nutzen kann."
Für bestimmte Anwendungen soll das schon innerhalb der nächsten zwölf Monate funktionieren. Für Anwendungen mit besonders hohen Sicherheitsanforderungen erst später, wenn die Smartphone-Hersteller hierfür entsprechende Funktionen in neuen Geräten bereitstellen um die Online-Identität noch besser abzusichern.
Bei allem Digitalisierungseifer warnen Kritiker aber auch vor möglichen Sicherheitsrisiken, wenn immer mehr sensible Daten auch über Online-Zugänge abrufbar sind. Constanze Kurz vom Chaos Computer Club erinnert an das Berliner Kammergericht, das vor gut einem Jahr durch einen so genannten Erpressungstrojaner über Wochen praktisch lahmgelegt wurde.
"Und dieses Beispiel ist eins von ganz vielen. Bundesweit sind sehr viele Behörden, Verwaltungen, aber eben auch Kliniken oder Universtäten davon betroffen."
Dabei geht es oft nicht einmal um hochprofessionelle und gezielte Angriffe auf die jeweilige Institution. Behörden sind häufig einfach eine Art Beifang von großen Angriffswellen mit Schadsoftware. Für IT-Expertin Kurz der Beweis für ein strukturelles Problem.
"Man hat uralte Systeme. Man hat zu wenig Personal für die IT-Sicherheit. Da werden Sicherheitslücken, die Monate bekannt sind, offen stehengelassen. Und dann wundert man sich, dass irgendwann jemand ankommt und sozusagen Schadsoftware hinterlässt."
Und auch die Bürger müssten beim Thema IT-Sicherheit einbezogen werden, findet Kurz. Denn wenn immer mehr Verwaltungsfunktionen digital abgewickelt werden sollen, müssten auch Smartphones und Computer geschützt sein - gerade, wenn dort vielleicht zukünftig auch ein virtueller Personalausweis abgespeichert ist.
"Man müsste diese Maßnahmen flankieren mit einer guten Information für normale Nutzer. Und da hapert es nach meiner Sicht sehr häufig dran."