eID in Deutschland und über Landesgrenzen

Lagerist · 13. Juni 2023 um 09:04

Guten Tag,

ich war ehrlich gesagt etwas irritiert über eure knappe und pauschale Abhandlung zum Thema eID / eAusweis in Deutschland.

Es gibt doch längst Lösungen die live im Einsatz sind. Klar, der Staat hat hier wieder mal geschlafen, aber bspw. gibt es ja funktionale Lösungen wie Verimi, dass von 25 bekannten Deutschen Unternehmen gegründet wurde genau für den Zweck
„Gesellschafter sind u.a. Allianz, Atruvia, Axel Springer, Bundesdruckerei, Crif, Deutsche Bahn, Deutsche Bank, Deutsche Lufthansa, Deutsche Telekom, DZ Bank, Giesecke+Devrient, High Tech Gründerfonds, Here Technologies, Mercedes-Benz, Samsung, Volkswagen sowie über die GMB Systems die GDV DL, Huk-Coburg, Provinzial, LVM, KRAVAG, Nürnberger, VKB, DEVK und Zurich.“

Die Verimi-App lässt sich kostenlos im App Store laden und nutze ich bspw. für Login bei Telekom, Deutsche Bank etc. - in Thüringen gehen da auch diverse Sachen vom Land mit.

Aktuell nimmt das Thema noch mal ordentlich Fahrt auf, weil diverse Krankenkassen sich da jetzt integrieren für die ePA.
Die sind übrigens von BSI & BMI geprüft und zertifiziert und nehmen an diversen Trials zum EU Ausweis teil.

Sehe hier aktuell eher das Problem bei der aktuellen Regierung die nicht weiter kommen.

Persönliche Meinung: man sollte da einfach mal pragmatisch her gehen und so eine Lösung auf die nächste Stufe heben indem man es bspw abkauft, zu Open Source macht und verpflichtend für alle Länder ausrollt.

michael3 · 13. Juni 2023 um 17:53

Braucht man nicht zu Open Source machen, da es dafür längst freie Lösungen gibt. Das Protokoll der Wahl für die Online-Authentifizierung heißt OpenID Connect 1.0. Viele kennen es von Seiten, die anbieten, sich dort mit seinem Google oder Facebook Account einzuloggen. Man wird dann für die Anmeldung zu dem Betreiber des ID-Service weitergeleitet, wo man sich mit seinem Account einloggt und dann gefragt wird, welche Daten man für die Anfragende Webseiten freigeben möchte. Über eine sichere Verbindung zwischen dem Betreiber des ID-Dienstes und der anfragenden Webseiten werden dann entsprechende Daten ausgetauscht.
Eine freie Lösung dafür ist beispielsweise Keycloak.

OpenID Connect kommt in Millionen Apps, Webseiten und sonstigen Online-Diensten zum Einsatz. Ich vermute, die Bund-ID basiert auch darauf. Praktisch für jede Entwicklungsplattform gibt es fertige und sichere Integrationsmöglichkeiten mit auf OpenID Connect basierten ID Providern.

Daniel_K · 13. Juni 2023 um 18:06

Wobei die eID, so wie ich es verstehe, noch stärkere Sicherheitsfunktionen haben soll - z.B. über die physische Präsenz des Personalausweises (der z.B. über NFC ausgelesen wird). Das ist schon noch mehr, als die Option, sich mit Google und Facebook irgendwo einzuloggen. Anders gesagt: Jeder, der Zugriff auf meinen PC oder mein Smartphone hat, kann sich per Google und Facebook, u.U. mit meinem Passwort (falls automatische Speicherung ausgeschaltet ist) einloggen. Gerade das ist für die eID denke ich nicht genug, der physische Ausweis als zweiter Faktor und möglicherweise noch der Fingerabdruck als dritter Faktor wird die Authentifizierung wohl deutlich sicherer machen.

Lagerist · 13. Juni 2023 um 19:07

Muss ich ja machen bei der Verimi-App. Die liest den Perso aus

michael3 · 13. Juni 2023 um 22:23

Das ist ein Missverständnis. Mein Kommentar war, dass niemand Verimi übernehmen muss, sondern leicht einen eigenen Service aufbauen kann, der es Webseiten leicht macht, den Service für die Anmeldung zu nutzen.

Beispielsweise könnte der Bund eben einen Keycloak-Server betreiben und den e-Perso entweder bei der Registrierung abfragen oder bei jeder Anmeldung erfordern. Das hat aber nichts mit OpenID Connect zu tun. OpenID Connect regelt nur, wie Anwendungen den ID-Server nutzen können, damit sich User an der Anwendung anmelden und Daten an die Anwendung übertragen können (Name, Adresse, Bestätigung, dass der User sich mit einem e-Perso angemeldet hat, dass die Email-Adresse überprüft wurde etc.).

Will sagen: Das, was Verimi tut, kann jeder, der sich ein wenig mit IT auskennt, relativ leicht nachbauen, also auch der Bund. Abgesehen vielleicht von Video-Ident. Aber Video-Ident war vor etwa einem halben Jahr in der Presse, weil einige Whitehat Hacker nachgewiesen haben, dass es unsicher ist.

Wenn das Ganze auf OpenID Connect basiert, dauert es Minuten, max. wenige Stunden, um eine vorhandene Anwendung so anzupassen, dass die Anmeldung über den Dienst läuft.

Google und Facebook habe ich nur genannt, um zu erklären, dass OpenID Connect weit verbreitet ist.

Lagerist · 14. Juni 2023 um 07:24

Klar, geht auch. Meinte ja nur, dass da bereits eine deutsche Lösung im Einsatz ist die bereits Millionen von User hat.
Vor teil wäre halt, dass kein Aufwand für die bereits integrierten Unternehmen ist.

Wäre meiner Meinung nach halt geschickter, als das neu zu bauen und dann alle Unternehmen erneut zu integrieren (die ja bestehende Integrationen haben).

War aber auch gar nicht mein Kernpunkt. Wichtig ist ja einfach nur: es geht schon, Unternehmen nutzen es schon, die neue Regierung verschläft es nur.

Korbi · 14. Juni 2023 um 10:26

Da im Podcast das e-ID-Pendant aus Dänemark zur Ansprache kam, meine kurze Erfahrung zu dem Thema in den Nordics (genauer, aus Schweden).

Schweden setzt seit ein paar Jahren auf die BankID, die sich in allen digitalen Anwendungen immer mehr durchsetzt. Ich halte mich jedes Jahr ein paar Wochen bei Familie in Schweden auf & stoße als „nicht-Schwede“ mit der nötigen digitalen, schwedischen Ausstattung gerne an meine Grenzen.

Fall 1:
Ich wollte ich mir dieses Jahr eine SIM-Karte zulegen, um hier in der Pampa remote arbeiten zu können.
Telia (Telefonanbieter mit bester Abdeckung hier vor Ort) stellte seit Registrierungspflicht für SIM-Karten (August 2022?) vollends auf Registrierung mit BankID und „Personnummer“ um.
Eine BankID in Schweden kriegt man jedoch nur mit einem schwedischen Bankkonto. Die Personnummer bekommt man vom Skatteverket (schwedische Steuerbehörde) wenn man nachweist, dass man mindestens ein Jahr in Schweden lebt.

Mein Ausweg: Schwiegereltern nach Personnummer fragen, um SIM-Karte (Prepaid) ausgehändigt zu bekommen. Das Managen der SIM funktioniert ausschließlich mittels BankID, da die App („Mitt Telia“) keine andere Anmeldemöglichkeit mehr bietet. Auch hier heißt es wieder: Schwiegereltern fragen, ob sie sich „mal eben schnell“ mit der BankID ausweisen können, um die Prepaid-SIM aufzuladen.

Fall 2:
Blocket.se (Pendant zum dt. kleinanzeigen.de) erlaubt zwar eine Registrierung ohne BankID - will man jedoch einem Anbieter schreiben, muss man sich mittels BankID identifizieren. Auch hier geht nichts ohne Hilfe der Schwiegereltern.

Mittlerweile scheint die Thematik soweit zu führen, dass selbst Arbeitende ohne Wohnsitz in Schweden, welche für schwedische Firmen arbeiten, ihrer Arbeit teils nicht mehr nachgehen können: Reddit - Dive into anything

Ich (selbst in der Software tätig) würde gerne weiterhin außerhalb „deutscher Grenzen“ am digitalen Leben teilhaben & befürchte, dass wir uns durch ein deutsches Pendant zur BankID eine digitale Grenze aufbauen.

Weiterführende Links: