Es geht im Internet die Mär, dass die deutsche Implementierung der EIDAS wallet von Google und dem Playstore abhängig wäre.
Bezogen wird sich auf diese Page als Quelle:
Ich verstehe leider zu wenig von dem Technobabble der App Entwicklung, um das verifizieren zu können. Vielleicht werden einige von euch schlauer daraus?
Und v.a.: Wie bewerten wir das? Bundeseigene ID-Software hardcoded an US-Megakonzerne zu binden scheint mir problematisch?
Es geht hier um den Schutz der Identität auf dem entsprchenden Mobilgerät. Wenn ich unkopierbar eine Identität auf einem Mobilgerät ablegen will, dann muss ich die plattformeigenen Sicherheitsmechanismen nutzen. Bei Android ist dies eine Secure Enclave, die Teil des Arm Prozessors ist. Dazu kommen Attestation Dienste, die das Gerät vor dem Start (etwaiger Malware) gegen externe Daten vergleicht. Z.B. ist diese Applikation gegenüber der von Google freigegebenen Variante unverändert.
Ohne jetzt das konkrete Konzept bewerten zu können, sehe ich keine andere Möglichkeit, wie man eine Identität auf einem Gerät sichern kann, ohne Funktionen dieser Art zu nutzen. Und ja, sie sind immer plattformspezifisch.
Die Behauptung, die deutsche EUDI‑Wallet sei von Google oder dem Play Store abhängig, ist Unsinn. Die eIDAS‑2.0‑Verordnung verlangt ausdrücklich technologische Unabhängigkeit von einzelnen Plattformanbietern. Die Wallet ist plattformneutral konzipiert; sicherheitskritische Funktionen wie Schlüsselverwaltung und Attestierungen basieren auf standardisierten Betriebssystem‑Mechanismen, nicht auf Google‑Diensten. Der Play Store ist lediglich ein möglicher Vertriebskanal, keine Voraussetzung für Betrieb, Sicherheit oder Vertrauenswürdigkeit der Wallet. Google hat weder eine Kontroll‑ noch Betreiberrolle.
Das ist teilweise richtig: Für eine unkopierbare Speicherung von Identitäten braucht man plattformspezifische Sicherheitsmechanismen wie Secure Enclave/TEE und Attestation – das ist technisch alternativlos.
Der Fehlschluss ist aber, daraus eine Abhängigkeit von Google abzuleiten. Diese Mechanismen gehören zur Hardware bzw. zum Betriebssystem, nicht zu Googles Geschäfts‑ oder Kontrollinfrastruktur. Sie sind Sicherheitsbausteine der Plattform, keine Steuerungs‑ oder Freigabeinstanzen für Identitäten oder Wallets.
Ein sichere Cloud wie bspw. die in Deutschland (unter vollem Betreiberausschluss) gehostete OSC kann ergänzend eingesetzt werden, um Daten logisch vom normalen App‑Kontext zu trennen und den Betreiberzugriff auszuschließen. Er ersetzt zwar nicht die hardware‑gestützte Schlüsselverankerung auf dem Gerät, aber entkoppelt zumindest zusätzlich von der Datenablage.
Achtung, wir müssen hier differenzieren.
Die Spezifikation an sich enthält keinen Zwang zu Google oder Apple.
Es wurden aber bei der aktuell verfügbaren Umsetzung der Sparkasse eine Variante gewählt, die nur mit Google oder Apple-Wallet nutzbar ist. Was mit offenen Betriebssystemen faktisch nicht nutzbar ist. Das war der Anstoß.
Es ist noch offen, wie das „offizielle“ deutsche EUDI-Wallet umgesetzt wird.
Danke für eure Einschätzung. Klingt als würde das Ganze wie üblich weniger heiß gegessen als es gekocht wird.
Ich kam in dem Zusammenhang nicht umhin darüber nachzudenken, ob wir spätestens, wenn solche Apps alternativlos werden nicht Versionen brauchen, die unabhängig von Appstores und Infrastrukturen sind. Bei Google gebannt zu werden weil man gegen die TOS verstieß macht einen sicherlich nicht zu einer Gentleperson. Aber weder Google noch Apple sollten - absichtlich oder als Kollateralschaden - entscheiden dürfen, jemandem den Zugang zu Bundes-Infrastruktur zu verwehren. Insbesondere bei so kritischen Dokumenten wie Ausweisen o.Ä.