Der nächste deutsche eGov-Rohrkrepierer
Digitaler Führerschein erneut gestoppt
Die Freude der Regierung und Bürger über den vermeintlichen Erfolg des digitalen Führerscheins währte auch im zweiten Anlauf nur kurz. Erneut musste er schon nach wenigen Tagen wieder gestoppt werden. Dabei waren die eklatanten Sicherheitsmängel schon vorher absehbar.
Die deutsche Bevölkerung und Wirtschaft sind in Sachen E-Government leidgeprüft. Immer wieder werden Projekte zur Digitalisierung und Vereinfachung von Verwaltungsakten mit großen Versprechen angekündigt, nur um sich dann jahrelang im Kleinklein zwischen Befindlichkeiten, Auflagen und der Verteidigung von Pfründen zu verlieren. Oft gilt es schon als Erfolg, wenn dabei am Ende zumindest eine Minimallösung herauskommt und die Bestrebungen nicht komplett im Sande verlaufen. Beispiele dafür gibt es zur Genüge, angefangen von Online-Behördengängen über die digitale Gesundheitskarte und Patientenakte bis hin zur Vernetzung und Digitalisierung von Behörden und Ämtern selbst, die, wie sich in der Pandemie schmerzlich zeigte, vorwiegend per Fax stattfindet. Nicht einmal eine vergleichsweise einfache Autobahn-App bekommt die Bundesrepublik gebacken. Kein Wunder also, dass Deutschland in Digitalisierungs-Indices wie dem DESI (Digital Economy and Society Index) in den letzten Jahren sogar weiter abgerutscht ist, anstatt voran zu kommen.
Umso stolzer waren die Verantwortlichen in Politik und Verwaltung im Herbst, mit dem digitalen Führerschein endlich ein öffentlichkeitswirksames Herzensprojekt umgesetzt zu haben – auch wenn das in anderen Ländern längst Standard ist. In nur drei einfachen Schritten sollen sich Bürger mit Hilfe einer Verifizierungs-App (ID Wallet) eine Kopie ihres Führerscheins auf ihr Smartphone ziehen können, um so etwa bei Autovermietungen bequem ihre Fahrerlaubnis nachweisen zu können. Allerdings war die Freude darüber reichlich blauäugig und kurzlebig. Tatsächlich wird die lange Liste der Digitalisierungspannen damit nur um einen, oder genau genommen sogar zwei neue Einträge reicher. Nur wenige Tage nach dem Startschuss im Herbst hatten Sicherheitsexpertinnen wie Lilith Wittmann und fluepke grobe Sicherheitsmängel in der Methodik nachgewiesen, aufgrund derer der Dienstleister Digital Enabling GmbH die App wieder aus dem Angebot nehmen musste. Eigentlich sollte kurz darauf eine neue Version erscheinen, die es dann jedoch nie gab.
Ende Juli erfolgte nun der Neustart, diesmal mit dem ID-Wallet des Anbieters Verimi, an dem unter anderem die Deutsche Telekom und Samsung beteiligt sind. Doch auch diesmal muss das Kraftfahrt-Bundesamt (KBA) jetzt schon wieder vermelden: „Aufgrund technischer Probleme der ID Wallet App wurde die App aus den Stores genommen.“ Was genau hinter den technischen Problemen steckt, wird offiziell nicht erklärt. Es kann jedoch davon ausgegangen werden, dass es sich dabei erneut um gravierende Sicherheitsmängel handelt.
Denn während das KBA beteuert hatte, „die Daten des digitalen Führerscheins sind unveränderlich und durch moderne Methoden vor Verfälschungen geschützt“, haben Security-Fachleute auch dieses Mal nach der Veröffentlichung schnell das genaue Gegenteil bewiesen. Tatsächlich reichen schon eine einfache Bildbearbeitungssoftware und ein Drucker aus, um sich von der vermeintlich sicheren App digitale Führerscheine auf beliebige Namen ausstellen zu lassen. So konnte sich etwa der IT-Sicherheitsexperte Martin Tschirsich von ZFT damit gleich mehrere digitale Führerscheine mit verschiedenen Namen, Geburtsdaten und sogar Staatsbürgerschaften generieren, wie er unter anderem auf Twitter belegte.
Überraschen sollte das eigentlich niemanden, handelt es sich bei dem neuerlichen Authentifizierungs-Problem doch erneut um eine inhärente methodische Schwachstelle. „Die Unsicherheit des Foto-Ident ist allseits bekannt. Foto-Ident wird daher in Deutschland nur in Sektoren eingesetzt, die keiner besonderen Regulierung unterliegen. Unklar bleibt, warum Verimi das Verfahren beim zweiten Versuch eines digitalen Führerscheins für geeignet hielt“, fasst Tschirsich zusammen. Viel überraschender wäre es insofern, wenn die App ihre Versprechen im nächsten Anlauf tatsächlich erfüllen kann.
Lesen Sie mehr zum Thema
