Christina B. Class, Gudrun Schiedermeier
In einer nicht zu fernen Zukunft …
Im Bereich der Digitalisierung ist in den letzten Jahren in der Bundesrepublik Deutschland viel zu wenig investiert worden. Sei es im Zusammenhang mit der Infrastruktur, digitalen Ausstattung von Schulen und Behörden oder der Digitalisierung von Prozessen. Die Corona-Pandemie hat das Ausmaß der Versäumnisse verdeutlicht und aufgezeigt, dass vieles nicht nur „nice to have“ ist. Die neue Bundesregierung plant daher größere Investitionen und will Deutschland im Bereich der Digitalisierung voranbringen. Hierzu hat das neue Digitalministerium einige Studien beauftragt. Eine erste Studie des Unternehmens BestIdeas AG befasst sich mit Fragen der Verbreitung und des Einsatzes der Smart ID Card. Insbesondere wird untersucht, wie der elektronische Identitätsnachweis attraktiver gemacht werden kann. Obwohl das Gesetz 2021 beschlossen wurde [1] und die Basisinfrastruktur mittlerweile vorhanden ist, haben nur sehr wenige Bundesbürger*innen die App installiert. Das Digitalministerium steht unter Druck, da die Kosten doch höher als veranschlagt ausgefallen sind und erste Testläufe größere Sicherheitslücken aufgedeckt haben, die von der Presse detailliert ausgebreitet wurden. Um hiervon abzulenken, schlägt die Beraterfirma BestIdeas AG vor, einen gut dotierten Wettbewerb für Apps zu veranstalten und die besten Ideen dann baldmöglichst umzusetzen.
In einer ersten Runde sollen daher Ideenskizzen eingereicht werden. Einige ausgewählte Teilnehmer*innen erhalten dann einen Vertrag, um ein detailliertes Konzept und einen Prototypen zu entwickeln. Diese sollen dann baldmöglichst in der Verwaltung eingeführt und den Bürger*innen zur Verfügung gestellt werden.
Peter hat Informatik studiert und gemeinsam mit seiner Kommilitonin Sabine das Startup QuickSolutions GmbH gegründet. Sie haben sich auf App-Entwicklungen für Android und Apple spezialisiert und auch einige Spiele entwickelt, die ziemlich gute Kritiken erhalten haben. Um ihre Einnahmen etwas aufzubessern, haben sie auch IT-Supportaufgaben in kleineren Firmen in der Stadt übernommen. Da aber viele Angestellte im Home Office tätig waren, sind spürbar Einnahmen weggebrochen und Sabine und er müssen immer noch sehen, wie sie das Unternehmen über Wasser halten. Nach dem Joggen sitzt Peter abends auf dem Balkon, trinkt ein Bier und surft ein bisschen in Entwicklerblogs. Dort findet er einen Hinweis auf den Wettbewerb des Digitalministeriums und wird schlagartig hellwach. Er ruft sofort Sabine an. Am nächsten Morgen sitzen sie auf der Terrasse ihres Lieblingscafés und diskutieren mögliche Ideen:
„Warum eigentlich muss es der elektronische Identitätsnachweis sein?“, fragt Peter. „Warum nicht auch der Führerschein? Ich bin am letzten Samstag mit Heike ins Restaurant gefahren und habe meine Papiere vergessen. Da vor uns ein Unfall war, wurden auch wir von der Polizei kontrolliert. Mensch, das war echt blöd, so ohne Papiere. Wir haben ein Bußgeld bekommen und am Montag musste ich auf das Revier und den Führerschein vorzeigen. Die haben drauf bestanden… Warum kann man nicht den Führerschein auf dem Handy haben und vorzeigen?“ Sabine starrt ihn an: „Mensch, das ist eine tolle Idee“, sagt sie. „Und die App sollte dann so programmiert sein, dass man den elektronischen Führerschein nur auf ein Handy bekommt, auf dem der elektronische Identitätsnachweis vorhanden ist. Bei all den Autofahrern könnte das echt eine Killer App werden.“ „Ja, das wäre schon genial“, meint Peter, „dann wäre unsere Firma endlich mal aus dem Gröbsten raus. Aber ich bin mir nicht sicher, ob wir das so einfach machen könnten. Die Sicherheitsanforderungen sind doch immens.“ „Tja“, meint Sabine, „da hast du wahrscheinlich Recht“. „Na ja, wir haben ja schon reichlich Erfahrung mit der Entwicklung von Apps. Warum eigentlich nicht.“ „Aber ein Spiel ist doch was anderes als eine solche App.“, wirft Sabine ein. „Da müssen Datenschutzauflagen berücksichtigt und alle möglichen Sicherheitsaspekte beachtet werden. Davon haben wir doch keine Ahnung.“
Peter grübelt und trinkt ein paar Schluck Kaffee. Dann grinst er Sabine an: „Ach Quatsch, können wir da nicht einfach ein bisschen Verschlüsselung einbauen? Es ist doch nur ein Führerschein. Was soll da schon passieren. Außerdem wäre das nicht die erste App, die noch nachgebessert werden müsste. Trotzdem sind andere Apps groß rausgekommen und die Entwickler haben viele Millionen verdient. Wir können doch immer noch nachbessern, wenn was schief geht. Außerdem sind ja keine Gesundheitsdaten betroffen.“
Sabine beginnt sich für die Idee zu begeistern: „Und es geht jetzt ja nur um eine erste Idee. Wenn wir weiterkommen, erhalten wir genauere Informationen über die Schnittstellen und können uns für den Prototypen noch in Ruhe ein Sicherheitskonzept überlegen. Warum also nicht!“
In den nächsten Tagen entwerfen sie die geforderte Ideenskizze: Alle, die einen Führerschein besitzen, können über die App einen QR-Code anfordern. Die App kann nur aktiviert werden, wenn hierzu der elektronische Identitätsnachweis auf dem Gerät vorhanden ist. Nach Eingabe der Führerscheinnummer, werden die Daten zur Überprüfung an das Kraftfahrt-Bundesamt geschickt. Wenn von dort die Bestätigung für die Richtigkeit der Daten kommt, wird ein QR-Code erstellt und dieser an das Handy geschickt, auf dem sich der/die Benutzer*in eingeloggt hat. Dieser QR-Code beinhaltet Informationen über den/die Inhaber*in sowie die Daten des Führerscheins. Damit die Information nicht von allen gelesen werden kann, wird sie für die Erstellung des QR-Codes verschlüsselt. Als Lesegerät ist u. a. ein Diensthandy der Polizei mit einer entsprechenden App vorgesehen, welche die Informationen des QR-Codes entschlüsselt und anzeigt. Viel Zeit investieren Sabine und Peter in den Entwurf des User Interfaces der App und der Beschreibung der Vorteile für Führerscheininhaber*innen, Behörden und Polizei. Die Ideenskizze muss sich ja gut verkaufen können.
Überzeugt von ihrer Idee, reichen sie drei Wochen später die Ideenskizze in den Wettbewerb ein, und sie erhalten mit anderen den Auftrag, ein Konzept und einen Prototypen zu entwickeln. Als sie den Vertrag erhalten, sind sie erleichtert, denn es gibt nur recht wage Sicherheitsauflagen.
Nach kurzer Diskussion und Verteilung der Aufgaben im Team stürzen sie sich mit Feuereifer in die Umsetzung. Sie gehen ganz methodisch vor und erstellen erstmal eine solide Datenbeschreibung und definieren die Schnittstellen. Sie entscheiden sich, für den Prototypen die Datenbank auf ihrem zentralen Firmen-Server abzulegen, da dies leichter umzusetzen ist. Die Verschlüsselung der Daten für die QR-Codes erfolgt auch intern. Für ein vernünftiges Schlüsselmanagement und eine entsprechende Infrastruktur haben sie keine Zeit und bauen darauf, dass die App nicht in falsche Hände gerät. Sabine, die sich in der Zwischenzeit über Security-Probleme und deren Lösungen schlau gemacht hat, wirft ein, das das nach allen Warnungen anerkannter Sicherheitsforscher*innen große Schwachpunkte seien, selbst wenn sie die Personendaten verschlüsseln. Sie schieben die Bedenken dann aber schnell zur Seite. Die Zeit drängt und wie Peter sagte, ist es doch nur ein Führerschein. Nächtelang testen sie die Software und bessern Bugs aus.
Gemeinsam mit den anderen geförderten Projekten stellen sie den Prototypen der App am nächsten Digitalisierungsgipfel vor. Kurz vor dem Termin ist die erste Version ihrer App fertig. Eine professionelle Präsentation und ein Testlauf, bei dem zum Glück nichts schief geht, überzeugen die Ansprechpartner*innen im Ministerium und die App wird frei gegeben für die Nutzung in einem Bundesland. Die App wird auf Polizeihandys installiert und innerhalb weniger Tage haben einige Tausend Führerscheininhaber*innen den QR-Code erzeugt. Viele davon haben hierfür zuerst den elektronischen Identitätsnachweis installiert. Ein voller Erfolg! Einige Tage läuft alles bestens und in der Presse erscheinen begeisterte Artikel.
Doch dann schafft es ein anonymer Hacker, ohne elektronischen Identitätsnachweis in das System einzudringen, seine Daten in die Datenbank einzuschleusen und sich einen QR-Code für einen Führerschein zu erzeugen. Die Bestätigung über die Richtigkeit der Daten durch das Kraftfahrt-Bundesamt hat er geschickt vorgetäuscht. Es ist ganz einfach. Er veröffentlicht die Anleitung auf seinem wenig beachteten Blog, der im Ausland gehostet wird. Carla, eine Journalistin, stolpert über den Blogeintrag und wird hellhörig. Was ist denn da los? Sie kontaktiert Jürgen, einen befreundeten Informatiker, der IT-Sicherheitskonzepte für Firmen testet und verbessert. Gleichzeitig stellt sie die Anfrage nach dem Informationsfreiheitsgesetz und erhält eine Kopie der Verträge zwischen dem Ministerium und QuickSolutions GmbH. Nachdem sie diese durchgelesen hat, kann sie nur den Kopf schütteln. Auch ohne eine Sicherheitsexpertin zu sein, sieht sie sofort, dass die Anforderungen unzureichend beschrieben sind. Kurz darauf erhält sie einen Anruf von Jürgen, der weitere Schwachstellen gefunden hat: „Was ist das schon wieder für ein Schnellschuss! Keine richtigen Vorgaben, keine vernünftige Sicherheitsprüfung und dann eine solche App bei der Kontrolle von Führerscheinen einsetzen.“ Carla möchte einen Artikel darüber schreiben, aber Jürgen ist etwas zögerlich. Den Anweisungen des Blogs zu folgen und weitere Tests zu machen sei nicht ganz auf der legalen Seite gewesen. Und er wolle seine Firma nicht gefährden. Und außerdem, würde das denn etwas ändern? Glaube sie wirklich, dass sich die Vergabe von Projekten und die Sicherheitsanforderungen ändern würden? Dass IT-Sicherheitsfachleute in solche Entscheidungen einbezogen würden und deren Urteil wichtiger wäre als schnelle, vorzeigbare „Erfolge“ und Vitamin B?
Fragen
- Eine wichtige Aufgabe der Presse ist die Information der Öffentlichkeit über Probleme und Missstände. Hierzu gehört auch, wenn Projekte der Regierung teurer und weniger erfolgreich sind als angekündigt. Dies setzt die Politik unter Druck, zu handeln. Was ist die Rolle der einzelnen Akteur*innen in diesem Fall Politik, über die berichtet wird, Presse und die Rezipient*innen?
- Häufig werden schnell Lösungen umgesetzt, um die offensichtlichen Probleme anzugehen und die Öffentlichkeit zufrieden zu stellen. Welche Gefahren ergeben sich dadurch? Wie kann sichergestellt werden, dass nicht nur schnelle, sondern gute Lösungen entwickelt werden? Wer müsste hierzu einbezogen werden?
- Gerade in Zeiten der Onlinemedien ist der Druck groß, Themen schnell zu bearbeiten und schnelle Lösungen anzubieten. Wir könnte man diese Situation verbessern? Wer trägt die Verantwortung dafür?
- Mandatsträger*innen müssen sich regelmäßigen Wahlen stellen. Oft werden sie an kurzfristigen Erfolgen und Plänen gemessen. Längerfristige Themen oder solche, die zu unpopulären Maßnahmen führen, sind häufig schwer zu vermitteln und stehen einem Erfolg bei Wahlen oft entgegen. Welche Möglichkeiten gibt es, längerfristigen Themen und Folgen wieder mehr Beachtung zu schenken und bei politischen Entscheidungen wieder mehr in den Vordergrund zu rücken? Welche Rolle und Möglichkeiten haben wir hierbei als Bürger*innen?
- Häufig werden Politiker*innen und/oder Ministerien durch Berater*innen aus der Wirtschaft unterstützt. Welche Vor- und Nachteile ergeben sich dabei? Welche Interessenskonflikte können Sie identifizieren? Kann man die Politik, die sich an anderen Maßstäben messen muss als wirtschaftliche Unternehmen, mit ähnlichen Kriterien messen und beraten? In welchen Bereichen ist (mehr) ökonomisches Denken gefordert? In welchen Bereichen stehen ökonomische Maßstäbe den Zielen der Politik entgegen? Welche möglichen Gefahren für unsere Demokratie sehen Sie?
- Peter und Sabine nehmen mit ihrer Firma QuickSolutions GmbH an dem ausgeschriebenen Wettbewerb teil, ohne über die entsprechende Expertise im Bereich von sicherheitsrelevanter Software zu verfügen, die sie für ihre Idee benötigen. Wie beurteilen Sie das? Inwiefern sollte vergangene Expertise offengelegt werden? Sollten solche Firmen ausgeschlossen werden? Wäre es möglich, einen Wettbewerb für Ideen zu veranstalten und den Gewinner*innen dann Expert*innen zuzuordnen, die sich um die Sicherheit kümmern?
- Nicht zuletzt wegen des Marktdrucks und fehlender Kapazitäten kommen oft nicht vollkommen ausgereifte Produkte auf den Markt. Gerade im Bereich der Software hat man sich anscheinend an Fehler und Schwachstellen gewöhnt und daran, dass immer wieder Updates notwendig werden. Bekanntgewordene Sicherheitslücken und Datenleaks erfahren oft nicht die notwendige Aufmerksamkeit. Sind wir zu nachlässig geworden? Haben wir uns zu sehr daran gewöhnt? Stellen wir zu geringe Anforderungen? Verstehen wir vielleicht oft die Tragweite der Probleme zu wenig? Welche Möglichkeiten haben wir, Fragen des Datenschutzes und der IT-Sicherheit wieder vermehrt in das Blickfeld zu rücken? Wie können wir dem „Mir passiert schon nichts“, „Es sind ja keine geheimen Informationen“ bzw. dem „Ich habe schon nichts zu verbergen“ am besten entgegentreten?
- Wie kann sichergestellt werden, dass bei den Auftraggebern*innen in Politik und Verwaltung genügend Expertise ist, um sicherheitsrelevante Anforderungen zu formulieren und Verträge entsprechend auszustellen? Sollten entsprechende Tests von staatlicher Seite vorgeschrieben werden? Wer ist dann für die Definition, Durchführung und Überwachung von Tests zuständig? Wie kann man damit umgehen, wenn in den Behörden die notwendige Expertise fehlt? Wie vermeidet man Abhängigkeiten von Unternehmen und Berater*innen, die dann u. U. auch eigene Ziele verfolgen?
- Sollte sicherheitsrelevanter Code in staatlichen Anwendungen grundsätzlich offengelegt werden und unabhängige Experte*innen Zeit erhalten, diesen vor Einführung zu prüfen und Stellungnahmen abzulegen? Muss Kritik an Softwareanwendungen frei zugänglich publiziert werden, um Transparenz zu ermöglichen? Wie sollten Prozesse aussehen, um von vorhandener Expertise zu profitieren und in Zusammenarbeit mit der interessierten und vorhandenen Community gute IT-Lösungen für staatliche Aufgaben zu entwickeln?
- Carla und Jürgen haben eine im Internet vorhandene anonyme Hack-Anleitung verwendet, um die App zu überprüfen. Wie bewerten Sie solche anonymen Anleitungen? Durfte Jürgen die Anleitung testen? Hätte Carla sich an die Behörden wenden sollen, als sie die Anleitung gefunden hat? Müssen Personen, die Sicherheitslücken aufzeigen, besser geschützt werden? Welche Prozesse sollten vorhanden sein, um die Behörden auf solche Schwachstellen aufmerksam zu machen? Wie kann sichergestellt werden, dass dann angemessen reagiert wird und die Schwachstellen behoben werden?
- Jürgen ist ziemlich frustriert und glaubt nicht mehr daran, dass sich bei der Vergabe von Aufträgen und Umsetzung von Sicherheitsanforderungen etwas verändern wird. Wie sehen Sie das? Handelt es sich um Einzelfälle? Gibt es mittlerweile ein System „schnelle App“, das einen teuren Flickenteppich wenig getesteter Apps mit Einzellösungen und Sicherheitsproblemen begünstigt? Was können wir tun?
[1] Golem.de Smartphone-Ausweis und Passfoto-Datenbanken beschlossen, 21. Mai 2021. https://www.golem.de/news/trotz-kritik-smartphone-ausweis-und-passfoto-datenbanken-beschlossen-2105-156671.html. Zugegriffen: 11. Juni 2021
Erschienen im Informatik Spektrum 44 (4), 2021, S. 302–305, doi: https://doi.org/10.1007/s00287-021-01374-8
Ich finde den Fall prima, die Fragen sind mir aber zu kompliziert (und lang), ich stelle daher alternative Fragen (gerichtet an Studenten/Auszubildende in frühen Semestern).
Fragen:
Wie beurteilst Du in dieser Situation die Rolle …
… der Beraterfirma „BestIdeas“, die den Vorschlag gemacht hat?
… des Auftraggebers, also des Digitalministeriums?
… von Peter (Auftragnehmer), der zwar keine große Erfahrung mit Datenschutz hat, aber erfolgreich die App entwickelt hat?
… von Sabine (Auftragnehmer), die zwar Einwände erhoben, aber Peter unterstützt hat?
… des anonymen Hackers, der sich illegal einen Führerschein-QR-Code erzeugt und die Anleitung dafür teilt?
… des Sicherheitsexperten Jürgen, der weitere illegale Hacks an der App durchgeführt hat?
… der Journalistin Carla, die über die Sicherheitslücken öffentlich berichten möchte?
[…] 2021 – Fallbeispiel: Wieder eine App – es geht voran mit der Digitalisierung, C. B. Class / G. […]