Aber es ist doch nicht so, als ob Deutsche weniger Digital Natives sind als in anderen Laendern? Also die Erklaerung „zu viele brauchen den Brief“ kann doch schon garnicht stimmen, wenn es in anderen Laendern auch ohne Brief geht?
Hier in Daenemark identifiziert sich jeder mit ner ID ueber den Staat. Ob du dich beim Finanzministerium einloggen willst um deine Steuern zu erklaeren, ob du dich bei der Bank einloggst, oder beim Arzt. Alles digital. Ueberall der selbe Login. Das System wurde im letzten Jahr geaendert:
Der Vorgaenger (NemId) war username, pincode (beides vom Burgerzentrum physisch bekommen). Dritte Verifikation war eine tan, entweder vom Tanblock (von der Post, fuer die digital weniger natives), oder von der handy app.
Die neue Anwendung (MitId) hat nur username. Verifikation ueber Smartphone app, zusaetzlich zu QR codes (womit gecheckt wird dass der Handybesitzer in der Tat gerade vor dem Bildschirm sitzt).
Ich nehme mal an, dass sie gemerkt haben, dass der Tanblock in der alten Methode so selten genutzt wird, dass sie ihn sich hier gespart haben (oder vielleicht gibt es weiterhin eine offline methode).
Hier in Daenemark geht alles (alles!) mit diesem Login. Und das System ist wirklich einfach, man braucht halt ein Smartphone.
Oh, ganz vergessen: natuerlich gibt es auch digitale Post (vom Staat, oder von Firmen), die man mit diesem Identifikationssystem lesen kann. Mein Briefkasten war die letzten 3 Jahre leer.
Dann hat man in Dänemark mehr Vertrauen in den Staat. Dass dieser diese Daten schützt und nur dafür benutzt, wofür sie ursprünglich gedacht waren. Und keine Verknüpfungen herstellt um Profile zu bilden.
Nebenbei: Wie funktioniert das dann für Ausländer?
Was ja für alte Leute immer noch ein Problem ist. Mein Vater ist 80+, dem bekomme ich eine Smartphone Bedienung nicht mehr beigebracht (ich habe es versucht).
Politik in Daenemark funktioniert gut. Parteien stellen das Wohl des Landes ueber das Wohl der Partei (es gab z.B. hier keine FDP, die waehrend Corona Wahlfang mit Kritik an Pandemiepolitik betrieben hat, stattdessen hat das Parlament (inklusive Opposition, ohne dass deren Stimmen notwendig gewesen waeren) gemeinsam Richtlinien verabredet, verstehend, dass es keine Regel perfekt ist und man immer kritisieren koennte, wenn man woellte.
Und weil die Politik so gut funktioniert, stoeren sich die Menschen nicht so sehr an der Zentralisierung (kann man es Vertrauen nennen, wenn es auf guten Erfahrungen basiert). Das deutsche Misstrauen ist wohl sehr in unserer Vergangenheit begruendet (und der theoretischen Moeglichkeit, dass AfD & Co wieder (teilweise) an Macht kommen.
Was deinen Vater angeht: mein 73-jahre alter Vater, ein Leben lang Feind von Computern und Technologie (hatte dementsprechend nicht mal ein einfaches Handy) hat im letzten Jahr das Skypen via iPhone gelernt. Und ganz ehrlich: wenn man 80 Jahre alt ist, kann man vielleicht nicht mehr alles selbststaendig, dafuer ist die Welt zu kompliziert. Die Messlatte kann nicht sein „jeder muss es nutzen koennen“, da wirst du z.B. Mitmenschen mit geistiger Behinderung nicht abholen koennen.
Immerhin sind smartphones inzwischen so guenstig, dass ihre Verpflichtung kein Ausgrenzungskriterium mehr ist. Und die authorisation (siehe unten), ist wirklich an Einfachheit kaum zu ueberbieten:
Gib deinen usernamen auf der Webseite (Arzt, wo auch immer) an, bestaetige mit „Ok“
Klick ob du dein Smartphone nutzen moechtest, oder eine andere Anwendung (falls du auf dem Computer auch die Software installiert hast)
Geh in dein Handy, oeffne die Nem-id software
Halt dein Gesicht in die Kamera fuer Face-id
Halte das Handy vor den Bildschirm sodass der QR code (der nun eingeblendet wird) in der Kamera gelesen wird)
Es kommt text: „Willst du dich beim Arzt einloggen?“. Ziehe Regel nach rechts / klicke ok.
Das mit dem QR-code ist vielleicht etwas kompliziert, aber immerhin werden dann keine Senioren uebers Telefon gescammed.
Ich hab gerade noch mal recherchiert: der Nem-ID Login wird von einer privaten Firma angeboten. Im Detail konnte ich nicht heraus finden, wie die Verschluesselung genau von Statten geht, und inwiefern externe Kontrolle stattfindet.
Das neue system ist eine Public-private partnership, und bietet auch Alternativen zur Smartphone-Loesung an – bitte Entschuldige die fruehere Falschaussage.
Man muss sich beim Umzug nach Dänemark anmelden. Dafür muss Mensch ein oder zwei mal persönlich zu den Behörden. Dabei bekommt Mensch eine CPR Nummer und kann damit seine MitID erstellen.
Für das Erstellen ist eine neue Identifikation notwendig. Das geht u.a. in Person mit einer Zeugin (zur Bestätigung der Person) oder aber auch einfach digital mit einem Reisepass oder ID per App. Damit ist man dann im System und kann alles machen ohne noch mal aufs Amt zu müssen.
Was ja auch begründet ist. Eine der guten Gründe gegen den Aufbau eines Staates, der den Bürger vollumfänglich überwachen kann (ausdrücklich „kann“, nicht „wird“). Denn es wird ggfs anderen Regierungen in die Hände fallen, die eben nicht von „kann“ sondern von „muss“ träumen.
Tatsächlich konnte ich mit meinem damals 73-jährigen vater noch skypen (per Tablet, auf dem fast ausschließlich nur Skype installiert war, damit wir uns auch mal sehen konnten). Selbst diese Bedienung ist heute quasi so unmöglich geworden, dass wir sie einstellen mussten. Der Unterschied zwieschen ihm damals und heute ist beachtlich. Ja, das mag anekdotisch sein, aber meine Freunde beobachten Ähnliches.
Puh, mutig gesprochen, spätestens wenn Du weiter unten Features aufzählst, die dann doch wieder bei Smartphones im Bereich 300€ aufwärts enthalten sind (Face-ID). Aber gut, könnte man ja in die Grundsicherung einbauen.
Allerdings hat die mitID auch andere, technisch einfachere Lösungen. Siehe:
Ah, die Nexi Gruppe, die kenne ich beruflich. Die machen allgemein Zahlungsdienstleistungen. Deswegen würde ich mal spontan von technisch validen Sicherheitssetting ausgehen (ohne das überprüfen zu können). Die Frage ist dann eher, wo die Daten landen und wie die dann privat weiter genutzt werden.
Ich bin wahrlich kein Gegner der Digitalisierung, im Gegenteil: wir haben noch zu wenige Prozesse digitalisiert. Aber Weltmeister in Punkto IT-Sicherheit sind wir wahrlich auch nicht.
Und wer soll von uns entscheiden, wer recht hat: BIS oder CtrlAlt?
Diese Schwachstelle ist alles andere als neu und hängt prinzipbedingt damit zusammen, dass die PIN auf einem potentiell unsicheren Gerät eingegeben wird.
Nun hat die AusweisApp die Funktion die Anwendung der eID zugänglicher zu machen. Denn wer möchte schon ein dediziertes Smartcardterminal mit Tastatur anschaffen um die elektronische Ausweisfunktion zu benutzen?
Dass dann jemand die PIN abfischt und diese für eine für den User nicht sichtbare Aktion nutzt ist aus meiner Sicht bei dieser Hardware (Smartphone oder PC) der ich nicht vertrauen kann, nicht in der Griff zu bekommen.
Dass das BSI da keine Schwachstelle sieht ist natürlich etwas fragwürdig. Könnte aber auch damit zu tun haben, dass die AusweisApp unter der Verantwortung des BSI steht. Am Ausweis selbst liegt die Schwachstelle ja nicht.
Das Abfischen des PINs reicht ja nicht, man benötigt noch eine App, die die AusweisApp möglichst perfekt simuliert.
Sind zwei Apps mit dem URI Schema eid:// verknüpft, würde das Handy wahrscheinlich eine Auswahl anbieten, welche App genutzt werden soll. Das sollte misstrauisch machen, wenn da zwei AusweisApps installiert sind. (Mir ist nicht ganz klar, wieso sich die andere App auch AusweisApp nennen darf und ich weiß nicht, ob das Auswahlverhalten überall so kommt und man es unterdrücken kann.)
Der Angriff funktioniert auch nicht, wenn man die AusweisApp nur als Kartenleser für den PC verwendet. Denn dann wird sie ja nicht über das eid Schema gestartet.
Die Schwachstelle liegt also auf OS Ebene, dass es so einfach ist einen deeplink zu kapern und sich dabei als eine andere App auszugeben.
(Das heißt nicht, dass die AusweisApp perfekt ist.)
