Elektronischer Identitätsnachweis (eID) und elektronische Signatur

Deutschland führte den elektronischen Identitätsnachweis (eID) und den neuen Personalausweis (nPA) vergleichsweise spät in den 2010er-Jahren ein. Basierend auf den Erfahrungen aus vielen anderen europäischen Staaten wären dabei noch einige Verbesserungen geboten.

Die Notwendigkeit der belastbaren Authentifizierung, Identifizierung und Signatur

Stellen Sie sich vor, Sie suchen Ihr örtliches Bürgerbüro oder eine andere Behörde auf und beantragen z.B. eine einfache Melderegisterauskunft oder eine andere Dienstleistung. Dann werden Sie unweigerlich aufgefordert, Ihren Personalausweis vorzulegen und ggf. den Antrag persönlich vor Ort zu unterschreiben, damit sichergestellt werden kann, dass Sie auch tatsächlich selbst die Unterschrift leisten. Dieses Vorgehen ist vergleichbar mit dem Vorgehen in Bank- oder Sparkassenfilialen, wo entweder durch persönliche Bekanntschaft mit dem Filialpersonal infolge oftmaliger Besuche oder durch Vorzeigen des Ausweises ein vergleichbarer Nachweis erbracht werden musste und muss.

Die Anzahl der Bank- bzw. Sparkassenfilialen ging in den vergangenen Jahren stark zurück, die Kunden erledigen vermehrt ihre Geldgeschäfte online und es gibt dort ein gesetzliches Regelwerk in Form der Richtlinie (EU) 2015/2366, welche die 2-Faktoren-Authentifizierung zwingend fordert.

Umso verwunderlicher ist es, dass im „Online Government“ nicht ähnlich strenge Anforderungen gelten wie im „Online Banking“ oder aber auch bereits bei der Nutzung einfacher Bürosoftware wie Microsoft 365, wo ebenfalls die Möglichkeit der Multifaktorenauthentifizierung besteht. Leider ist es beispielsweise problemlos möglich, sich mit einer einmal genutzten Wegwerf-Emailadresse und dem Namen „Grüner Veltliner“ im MV-Serviceportal der Verwaltung von Mecklenburg-Vorpommern zu registrieren, wie ein erfolgreicher Selbstversuch zeigte.

Ebenso verwunderlich ist es, dass in vielen Städten Briefwahlunterlagen mit einfacher, völlig ungesicherter, unverschlüsselter und nicht signierter E-Mail angefordert werden können. Auch gebührenpflichtige Verwaltungsvorgänge, wie die Ausstellung einer melderechtlichen Bestätigung ist in vielen Städten, hier München, problemlos ohne Authentifizierung oder Identifizierung notwendig und auch für fremde Personen möglich – die anzugebende Bankverbindung für die Lastschrift könnte dann das Spendenkonto der Partei des OBM von München sein, was vermutlich erst nach der Lastschrift auffallen würde.

Entwicklung in Deutschland

Deutschland führte den elektronischen Identitätsnachweis (eID) und den neuen Personalausweis (nPA) vergleichsweise spät in den 2010er-Jahren ein. Dabei wurden vier grundsätzliche wie fundamentale Fehler begangen:

1. Die Notwendigkeit zusätzlicher Hardware und Software
   Um die eID nutzen zu können, war bis vor Kurzem noch ein Kartenleser für ca. 150 Euro notwendig – wenn man das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Modell kaufte. Seit Kurzem genügt ein einfaches Modell für knapp 35 Euro. Eine Geräteübersicht finden Sie hier. Ebenfalls seit Kurzem ist die Nutzung mittels der meisten Smartphones möglich, wofür allerdings eine App des Bundes heruntergeladen und installiert sowie die Near Field Communication (NFC) zum Auslesen des Personalausweischips mit dem Smartphone aktiviert werden muss. Die Erfahrungen mit den bekannten gängigen Online-Banking-Anwendungen lassen vermuten, dass diese zusätzlichen Anforderungen der flächendeckenden Nutzung der eID entgegenstehen. Gerade ein physischer Kartenleser stellte eine zu hohe Hürde dar, wie die geringe Nutzung der letzten 12 Jahre beweist. Da es im Gegensatz zum Ausland keine belastbaren offiziellen Statistiken gibt, ist die Datenlage hier außerdem völlig unklar.
2. Trennung von Signaturfunktion und eID
   Zahlen aus Ländern, welche erfolgreich eine eID eingeführt haben, belegen, dass die Möglichkeit zur qualifizierten elektronischen Signatur nicht nur aus technischen Gründen ein Teil der staatlich angebotenen Lösung sein sollte – ja muss. Technisch gesehen ist die Signatur und die Identifikation identisch. Bis vor Kurzem war dies zwar möglich, das Signaturzertifikat musste allerdings gesondert eingekauft werden. Inzwischen gibt es hierfür keine Anbieter mehr, somit sind die Funktionen getrennt. Der Autor ist langjähriger Nutzer der österreichischen Bürgerkarte (als Chipkarte) und der Handysignatur – sein Verhältnis Signaturen zu elektronischen Identifikationen beträgt ca. 25:1.
3. Zwang zur nationalen Lösung statt Anwendung europäischer Lösung
   Die eID des neuen Personalausweises (nPA) war, wie der Name bereits sagt, nur für Bundesbürger vorgesehen. Etwas später kam auch der elektronische Aufenthaltstitel hinzu. Damit waren alle 5 Millionen Unionsbürger in Deutschland ausgeschlossen – um das unschöne Wort „diskriminiert“ zu vermeiden. 2021 wurde die sogenannte „eID-Karte für Bürgerinnen und Bürger der EU und des EWR“ eingeführt. In Anbetracht der Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-Verordnung), welche wechselseitige Anerkennung notifizierter eID-Schemata vorschreibt, ein nicht nachvollziehbarer Schritt: Anstatt, wie von der eIDAS-Verordnung vorgeschrieben, beispielsweise die estnische eID anzuerkennen, versucht man hier den estnischen Unionsbürger in Deutschland auf das Kreisverwaltungsreferat zu bewegen, um ihm dort für 37 Euro Gebühr eine Karte auszustellen, die er nach der eIDAS-Verordnung nicht brauchen darf. Denn die Verwaltung muss seine gleichwertige estnische eID anerkennen – alles andere ist wohl eine Vertragsverletzung.
4. Fehlende Vertretungsmöglichkeit
   Während in anderen Unionsstaaten auch eine elektronische Identifikation und qualifizierte Signatur in Vertretung, beispielsweise als Prokurist, als Apotheker, Arzt oder Geschäftsführer möglich ist, ist in Deutschland die eID wie die Signatur stets eine höchstpersönliche, welche nur die eigene natürliche Person betrifft. Darüber hinaus wird mit „Krücken“ gearbeitet, beispielsweise durch Papiernachweis bei der IHK. Zu einer echten und in Echtzeit überprüfbaren elektronischen Vertretung wären Register notwendig, die erst bei erfolgter Umsetzung des Registermodernisierungsgesetzes (RegMoG) vorhanden sein werden.

Ein weiteres, ebenfalls der Verbreitung von eID und Signatur nicht förderliches Hindernis ist, dass nach § 3 a der vielen Landesverwaltungsverfahrensgesetze jeder Behörde freigestellt ist, ob sie signierte Dokumente akzeptiert oder nicht. So schreibt auch die an sich nicht digitalisierungsfeindliche Stadt Mannheim auf ihren Webseiten „Deshalb werden E-Mails, die verschlüsselt und / oder signiert sind oder den Festsetzungen dieser Zugangseröffnung nicht genügen, von der Stadtverwaltung nicht weiter bearbeitet.“. Dass dieses, von vielen tausenden Behörden seit der Signaturrichtlinie 1999 praktizierte Verhalten der Verbreitung qualifizierter elektronischer Signaturen nicht förderlich ist, ist offensichtlich.

Best practice im EU-Ausland

Die österreichische Bürgerkarte bzw. Handysignatur gibt es seit 2003, also bereits fast zwanzig Jahre. Da sie zu Beginn chipkartenbasiert war, waren die Nutzerzahlen vergleichsweise bescheiden. Beamte, Politiker, Ärzte, Rechtsanwälte u.dgl. nutzen sie, da die Nutzung vorgeschrieben ist und sie über die notwendigen Lesegeräte verfügen. Erst die Handysignatur brachte den Durchbruch: Mehr als eine halbe Million Anwender hatten sich für die eID entschieden.

Vor der Pandemie waren es zwei Millionen Nutzer und zum 4. Juli 2022 sind es 3,12 Millionen Nutzer – bei einer Gesamtbevölkerung von knapp 9 Millionen. Dies entspräche ca. 30 Millionen Nutzern in Deutschland – wovon die eID/nPA sehr weit entfernt sein dürfte. Eine Auswertung bzw. Statistik existiert leider nicht. In Österreich läuft jede Signatur und damit auch jede Anmeldung bei einem e-Government-Portal über die A-Trust, sodass die Auswertung der Nutzerzahlen und somit das Controlling problemlos möglich ist.

Nicht nur in westlichen Industrienationen, sondern auch in vergleichsweise kleineren und ärmeren Ländern wie Moldau, sieht die Situation besser aus: mobile Signaturen sind dort seit 2012 eingeführt und werden effektiv genutzt.

Fazit und Handlungsbedarf

Aufgrund der Erfahrungen aus vielen anderen europäischen Staaten wäre es geboten,

• eine staatliche mobile Signatur samt eID anzubieten, die keine zusätzliche Hardware benötigt und auch SMS-basiert sein könnte.
• Signatur und eID aus einer Hand anzubieten, Vorbild österreichische oder moldauische Handysignatur.
• dem Bürger ein Recht auf elektronischen Verkehr mit Behörden einzuräumen, anstatt es jeder einzelnen Behörde freizustellen, ob sie elektronisch verkehren möchte und dann im Extremfall wie in Saarbrücken vom Bürger zu verlangen, er solle die Anwendung eGo-Mail auf seinem Rechner installieren, wenn er die Verwaltung der Landeshauptstadt Saarbrücken elektronisch kontaktieren will
• auf Basis elektronisch abfragbarer Register Vertretung zu ermöglichen.
• elektronische Siegel für Behörden einzuführen, damit z. B. Universitäten Zeugnisse und Behörden Bescheide beweiskräftig elektronisch signieren können.

Solange diese Voraussetzungen nicht erfüllt sind, fehlt dem e-Government in Deutschland weiterhin das Fundament. Denn ohne belastbare elektronische Ausweisleistung wird es nicht möglich sein, e-Government in Erfüllung der Grundwerte der Informationssicherheit des BSI anzubieten: Vertraulichkeit, Verfügbarkeit, Integrität. Auch mittlerweile 23 Jahre nach der Signaturrichtlinie und 21 Jahre nach dem Signaturgesetz nicht.