5 Min
Ab 2027 muss jedes Land in der EU eine digitale Brieftasche anbieten, mit der sich Menschen bei Unternehmen oder Banken ausweisen sollen. Nur, was da bisher entstanden ist, ist aber vor allem eine sicherheitstechnische Katastrophe – mit womöglich fatalen Folgen.
Lilith Wittmann ist vermutlich Deutschlands bekannteste Hackerin und eine renommierte IT-Sicherheitsexpertin. Mit ihrer Arbeit deckte sie bereits Schwachstellen in der App Luca und dem Videokonferenzsystem Visavid auf. Weil sie Sicherheitslücken in ID-Wallet des Bundesinnenministeriums fand, wurde der Start der App kurzfristig abgesagt, 2023 deckte sie zudem Schwachstellen in der IT-Infrastruktur der Firma Bonify auf und konnte so Jens Spahns Mieterauskunft herunterladen. In ihrer exklusiven Kolumne „Datenabfluss“ schreibt sie seit 2025 für Payment & Banking über IT-Sicherheit in der Finanzbranche.
Seit einigen Jahren kursiert in Deutschland die Idee, dass wir eines Tages in der fernen Zukunft alle wichtigen Dokumente in unserem Leben in einer Wallet-App besitzen. Von Ausweis und Führerschein bis hin zu Grundschul- und Arbeitszeugnissen oder der Bonitätsauskunft. Alles maschinenlesbar, mit einem Klick teil- und verifizierbar.
Diese Idee ist einfach erklärt und klingt erstmal toll. In den letzten 15 Jahren versuchten nicht nur der Staat mit dem neuen Personalausweis (ab 2010) und der ID-Wallet-App (2021), sondern auch Unternehmen mit neunstelligen Funding wie Verimi diese Idee umzusetzen. Trotzdem haben wir heute in Deutschland kein digitales Identifizierungsmedium fürs Internet, das die Leute wirklich gern und häufig nutzen.
Gescheitert sind die bisherigen Konzepte aus verschiedenen Gründen:
- Der Personalausweis, weil er kompliziert zu benutzen war. Sowohl für Bürger:innen als auch für Unternehmen, die Identifizierung mit ihm ermöglichen wollten.
- Die ID-Wallet-App, weil es den politischen Willen gab, mal schnell irgendwas zu basteln und weder die Verwaltung noch die implementierenden Unternehmen dabei wirklich verstanden, wie diese digitalen Nachweise, Verankerung der Nachweisen in Blockchains und so weitereigentlich funktionieren. Das komplette Konzept war aus einer IT-Security-Perspektive kaputt.
- Verimi, weil das Unternehmen auf Basis des Memes von „Daten sind das neue Öl“ ursprünglich als europäische Alternative zu Authentifizierungssystemen wie Facebook oder Google-Login gebaut wurde. Ein Konzept, dass für Nutzer*innen einfach nicht interessant ist.
Digitale Brieftasche: Sparkassen setzten auf eID
Im Jahr 2023 wagte sich das Bundesinnenministerium (BMI) dann insbesondere aufgrund der europäischen eIDAS-Verordnung an eine neue Iteration der Wallet-App. Denn ab 2027 müssen alle EU-Staaten über eine solche Lösung verfügen. Diesmal wollten sie alles besser machen und unter anderem einen Beteiligungsprozess veranstalten, in denen zivilgesellschaftliche Akteur:innen und die Wirtschaft das BMI bei der Umsetzung konzeptionell beraten sollten. Das sollte die Fehler der letzten Lösungen möglichst ausmerzen.
Was eine großartige Idee ist, immerhin sollen bald Behörden ebenso wie große Unternehmen, aber auch Banken und Fintechs auf die neuen Prozesse vertrauen. Bei den Sparkassen setzen sie sogar darauf, dass die EU-Wallet die Video-Ident-Verfahren ablöst und investiert deshalb massiv in diesem Bereich.
Ist der Erfolg also vorprogammiert? Als ich zu einem Vorgespräch zusammen mit anderen Organisationen ins Innenministerium eingeladen wurde, war ich wirklich aufgeregt und hoffnungsvoll. Ganz besonders deshalb, weil ich zusammen mit meinem Kollegen „Flüpke“ zwei Jahre zuvor durch die von uns aufgezeigten Sicherheitsprobleme für die schnelle Abschaltung der ID-Wallet mitverantwortlich war. Jetzt könnte alles besser werden.
Doch im Bundesinnenministerium (BMI) entpuppte sich der angekündigte Beteiligungsprozess dann schnell als ein klassischer Konsultationsprozess, in dem die Wirtschaft dem BMI mitteilen darf, was sie gerne mit einer Wallet anstellen will.Es wurden viele Business-Cases gesammelt. Aber Fragen, wie man denn eigentlich dieses gesellschaftliche Problem von „Ich möchte mich im digitalen Raum identifizieren oder etwas nachweisen” gut für möglichst viele Menschen lösen kann, stand nie zur Debatte. Von Anfang an war klar: Es wird wieder eine Wallet.
EUDI-Wallet: Firmen wollen Geld mit Daten der Menschen verdienen
Nach zwei Jahren Konsultation und diverser im Rahmen eines Wettbewerbs der Bundesagentur für Sprunginnovation (SPRIND) entwickelten App-Prototypen ist das technische Konzept der heutigen Wallet kaum vom grundsätzlichen Konzept der ID-Wallet aus 2021 unterscheidbar. Abgesehen vom Verzicht auf Blockchains und kleinere Reparaturen. Aber die Idee blieb die Gleiche.
Währenddessen ist der Konsultationsprozess bei der Frage angelangt, wie Unternehmen mit der Wallet nicht nur durch die Ausstellung von digitalen Nachweisen, sondern auch bei der Weitergabe der Daten an ein anderes Unternehmen Geld verdienen können. Ein Problem, dass die Grundidee einer Wallet – nämlich das der Aussteller eines Nachweises nicht nachvollziehen kann, an wen die Bürger*in die Daten weitergibt – ad absurdum führt. Während bei der ID-Wallet noch das Buzzword der selbstbestimmten Identität für Bürger:innen ein Thema war, können wir im Konsultationsprozess schon jetzt lernen, warum Unternehmen das Thema Wallets so spannend finden: Um einen offiziellen Marktplatz für garantiert echte Daten einer Person zu schaffen.
Warum die EUDI-Wallet gefährlich ist für Politiker:innen
Auch sonst bleibt der Weg zur E-ID eine mittelgroße Katastrophe. Nach zwei Jahren Konsultation ist der technische Standard, wie Unternehmen die garantiert echten Nachweise empfangen und validieren können, bis ins Detail spezifiziert. Antworten auf die wichtigsten Fragen aus Verbraucherschutz-Sicht bleiben aber offen oder werden bewusst ignoriert.
Elementare Themen wie zum Beispiel die Haftbarkeit, wenn Dokumente aus der Wallet einer Person entwendet und für Betrug eingesetzt werden: Wie kann jemand bei einem garantiert echten Nachweis überhaupt beweisen, dass er nicht in betrügerischer Absicht einen Kredit beantragt hat?
Die aus meiner Sicht drängendste Frage ist allerdings, wie wir mit Datenflüssen von staatlichen Identitätsdaten umgehen werden. Wenn wir uns zum Beispiel beim Onlineshopping bequem mit der Wallet ausweisen, verteilen wir an deutlich mehr Stellen standardisierte, verifizierbare Ausweiskopien. Shopsysteme haben manchmal Sicherheitslücken, dann kommen unsere Daten in die Hände von Menschen, die diese vielleicht nicht haben sollen. Heute ist sowas ärgerlich, wenn diese Daten jetzt aber Ausweiskopien in einem standardisierten Format sind und vielleicht sogar noch um Bonitätsinformationen ergänzt wurden, werden solche Datenabflüsse ungleich kritischer.
Denn es ist dann nur eine Frage der Zeit, bis jede:r von uns mal Teil eines solchen Datenflusses wurde und so Identitätsdatenbanken ganzer Länder aufgebaut werden konnten, auf die jede:r relativ einfach Zugriff hat. Solche Datenbanken sind manchmal praktisch. Journalist:innen konnten dank Datenabflüsse von Ausweiskopien in Russland etwa Jan Marsalek enttarnen. Für deutlich mehr Menschen (z.B. Politiker:innen, Ärzt:innen die Schwangerschaftsabbrüche anbieten) könnten solche Datenbanken aber sehr gefährlich werden, wenn sie in die falschen Hände geraten.
Wallet der EU: In Russland sieht man die fatalen Folgen schon
Im Konsultationsprozess wurde dieses Problem in zwei Workshops diskutiert. Nicht nur diverse zivilgesellschaftliche Akteure, sondern auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) schlugen alternative Architekturen zur Abmilderung dieses Problems vor. Lösungen gäbe es ja. Denn selbst der Personalausweis aus 2010 löst das Problem bereits, indem er unsignierte Daten über eine verifizierte Verbindung übermittelt.
Am Ende blieben die Sprunginnovationsagentur SPRIND und das BMI aber beim klassischen Wallet-Ansatz, bei dem garantiert echte Daten übermittelt werden. Aus Sicht des SPRIND-Chefs Rafael Laguna de la Vera gibt es in der Forschung zu wenig Belege zum Thema „garantiert echte staatliche Daten und ihre Risiken”. Das könnte daran liegen, dass in Europa solche Systeme noch kaum in der Breite eingesetzt werden. Er könnt aber auch nach Russland oder Indien schauen und feststellen, dass Ausweis/Adhaar-Datenbanken dort ein wirklich beliebtes Ziel für Hacker:innen sind.
EUDI-Wallet: Das wäre der bessere Ansatz
In einem Gastbeitrag in der FAZ zum Thema Risiken bei digitalen Identitäten erklärt de la Vera, dass es wichtig ist, dass Deutschland jetzt mutig digitalisiert. Und was sind da schon ein paar Menschen, die potenziell gefährdet werden?
Mutig war auch Merkels ID-Wallet – die mit vielen Sicherheitsproblemen.
Mutig nannte sich auch das BMI, beim ersten Termin des Konsultationsprozesses.
Doch warum es mutig ist, wenn Unternehmen mit wilden Ideen für neue Geschäftsmodelle die Bundesverwaltung beraten und Tech-Bros bei der Agentur für Sprunginnovation unsere digitale Basisinfrastruktur bauen, habe ich bis heute nicht verstanden. Die Folgen werden wir alle spüren und das ist schade. Denn bis dieser Traum einer guten App mit allen relevanten Nachweisen in Erfüllung geht, wird es noch Jahre dauern. Vielleicht schaffen wir es ja noch bis 2027 statt über weitere absurde Geschäftsmodelle ernsthaft über die Bedürfnisse von Bürger*innen und Technologierisiken ergebnisoffen zu sprechen. Das wäre doch mal mutig.
