[2022-08-16: ein paar Klarstellungen hinzugef\u00fcgt.]<\/p>\n\n\n\n
Letztens hat wer auf Twitter geschrieben<\/a>, dass es doch sein k\u00f6nnte, dass in die f\u00fcr ID Austria vorgesehene Smartphone App (“Digitales Amt”)<\/a> ein Bundestrojaner eingebaut ist. Ich halte das f\u00fcr ausgesprochen unwahrscheinlich, die Argumente dahinter (neben den trivialen “das schaffen sie nicht” und “das w\u00e4re illegal”) eignen sich aber nicht f\u00fcr Twitter, daher dieser Blogpost.<\/p>\n\n\n\n Auf die Frage, warum SMS nicht mehr sicher genug ist, und warum eine App am Smartphone als zweiten Faktor die L\u00f6sung sein soll, will ich hier nicht eingehen. Das ist ein anderes Thema, und ist in der Form auch gar nicht mehr wahr, da auch FIDO Tokens (Level 2) unterst\u00fctzt werden. Auch das Thema Datenschutz will ich hier nicht ansprechen. <\/p>\n\n\n\n\n\n\n\n Hintergrund<\/strong><\/p>\n\n\n\n Wir sind in \u00d6sterreich gew\u00f6hnt, dass der Staat uns Mittel in die Hand gibt, uns mit sehr guter Qualit\u00e4t auszuweisen (und wir unsere Gegen\u00fcber), also zu beweisen, wer wir sind. P\u00e4sse und Personalausweise sind hilfreich. Wo es das nicht fl\u00e4chendeckend gibt (etwa im angels\u00e4chsischem Raum), dort wird dann auf so schwache Hinweise wie Stromrechnungen zur\u00fcckgegriffen und dort gibt es viel mehr Probleme mit Betrug per Identit\u00e4tsdiebstahl.<\/p>\n\n\n\n Es ist daher nicht \u00fcberraschend, dass schon l\u00e4nger versucht wird, das gleiche Konzept auch auf die virtuelle Welt im Internet zu \u00fcbertragen. Auch hier w\u00e4re es in vielen F\u00e4llen gut, wenn ich mich (als Nutzer, der einen Browser bedient) klar gegen\u00fcber einer Webseite ausweisen kann. Das kann von simplen e-Commerce bis hin zu e-Government reichen. Klar ist das oft m\u00fchsam, aber es ist oft zu meinem eigenen Schutz, damit niemand anderer in meinem Namen etwas machen kann. Beispiel aus der offline-Welt von 2007: Ich hebe eine gro\u00dfe Summe Bargeld am Bankschalter ab, damit ich mein neues Auto bar bezahlen kann. Darauf will man sowohl meine Bankkarte, als auch einen Ausweis sehen und entschuldigt sich f\u00fcr die Umst\u00e4nde. Ich sag drauf: im Gegenteil, ich w\u00e4re sauer, wenn sie jemandem mehrere tausend Euro von meinem Konto geben, ohne sicherzustellen, dass das wirklich ich bin.<\/p>\n\n\n\n Nicht immer ist der “True Name<\/a>” relevant, sondern es ist nur wichtig, dass man beim Webservice wiedererkannt wird. Daf\u00fcr reichen dann Sachen wie “Login via Google\/Twitter\/Facebook”, wobei es mir massiv gegen den Strich geht, meine Online-Aktivit\u00e4ten auf vielen Webseiten vom Vorhandensein meines Google-Accounts abh\u00e4ngig zu machen. Weil bei den dortigen Gratis-Accounts habe ich null Handhabe, wenn irgendeine KI meint, sie m\u00fcsse meinen Account sperren.<\/p>\n\n\n\n Ich halten es daher f\u00fcr ausgesprochen gut, dass sich der Staat in das Thema Online Authentication einmischt. Die Historie der B\u00fcrgerkarte will ich hier nicht breittreten, aber mit der eIDAS<\/a> Verordnung auf EU-Ebene entsteht langsam ein f\u00f6deriertes System von nationalen Identifikationsmethoden<\/a>, die es jedem EU B\u00fcrger erlauben wird, sich EU-weit online zu identifizieren. Das ist einer der Kernbausteine des EU Single Market, und die EU treibt auf vielen Seiten das Thema Verifikation von Online-Identit\u00e4ten voran. Das kann man jetzt gut finden, oder nicht, siehe etwa meine Blogposts<\/a> zu NIS2 und Domaininhabern.<\/p>\n\n\n\n eID \/ ID Austria<\/strong><\/p>\n\n\n\n Aus dem obigem ergibt sich, dass ID Austria kein kurzfristiges Projekterl wie etwa das “Kaufhaus \u00d6sterreich” ist. ID Austria ist f\u00fcr \u00d6sterreich nicht optional. Es ist strategisch wichtig, um die national Souver\u00e4nit\u00e4t in der Onlinewelt zu erhalten. Und es ist eine Vorgabe von der EU, die umzusetzen ist.<\/p>\n\n\n\n Kurz: das Teil ist wichtig, da h\u00e4ngt viel dran. Das muss funktionieren. Was bewirkt sowas in der Umsetzung? Viel Aufmerksamkeit, jede Menge Leute, die mitreden und entsprechende Kontrolle.<\/p>\n\n\n\n Ist es daher denkbar, dass eine (illegale) Spionagekomponente als Teil des offiziellen Projektplans der ID Austria aufgenommen wurde? Keine Chance. Da sind zu viele Leute involviert. Das gef\u00e4hrdet deren Baby massiv. <\/p>\n\n\n\n G\u00e4be es ein bewusstes Backdoor und w\u00fcrde das enttarnt werden, so h\u00e4tte das massiv negative Effekte. Auf die Beteiligten und das Thema eID. Das w\u00e4re ein Spiel mit sehr hohem Risiko.<\/p>\n\n\n\n Beteiligte Player<\/strong><\/p>\n\n\n\n Fr\u00fcher habe ich, wie sicher viele andere auch, die Beh\u00f6rden als eine Einheit gesehen. Im Zuge der Zusammenarbeit mit der \u00f6ffentlichen Verwaltung ist mir aber klargeworden, dass das v\u00f6llig falsch ist. Erst mal muss man zwischen Bund, L\u00e4ndern und Gemeinden unterscheiden, die oft divergente Interessen haben. Aber auch der Bund ist kein Atom: jedes Ministerium ist eigenst\u00e4ndig, hat eigene Ziele, Prozesse und House-Rules. Zoomt man weiter, so sieht man weiter Strukturen, gerade das BMI und das BMLV sind Paradebeispiele von komplexen Organisationen mit jeder Menge interner Interessenskonflikte und Friktionen. <\/p>\n\n\n\n Wenn man also die Frage stellt, ob der Staat in die ID Austria App (“Digitales Amt”) einen Bundestrojaner einbaut, dann muss die erste R\u00fcckfrage sein: Wer genau w\u00fcrde das tun?<\/p>\n\n\n\n