Symbolbild
© Shutterstock.com

e-Government ohne starke Identifikation: Wo die Verwaltung ebenso wie Donald Trump lernen muss

Vom Nutzen einer sicheren eID-Infrastruktur

Nicht jeder, der sich im Internet bewegt, hat lautere Absichten. Daher ist es fahrlässig, wenn die Verwaltung auf eine sichere Identifikation der Bürgerinnen und Bürger verzichtet. Was dabei herauskommt, wenn die Identität nicht überprüft wird, hat vermutlich Präsident Donald Trump bei seiner Wahlkampfveranstaltung in Tulsa erfahren. Die deutsche Verwaltung und der US-amerikanische Präsident sollten die Gefahr aus dem Internet nicht unterschätzen.

Robert Müller-Török

Viele Verwaltungen in Deutschland setzten, insbesondere seit COVID-19 den Parteienverkehr in Bürgerbüros zum Erliegen gebracht hat, auf teilweise improvisierte digitale Prozesse, denen eines gemeinsam ist: Die „Identifikation“ der Bürger erfolgt entweder gar nicht oder auf einer nicht belastbaren Basis. So verlangt München beispielsweise zur Abmeldung eines Zweitwohnsitzes eine Kopie des Personalausweises ebenso wie Karlsruhe. Dass solche Kopien faktisch jedem Hotelportier, jedem Reisebüroangestellten und vielen anderen Personen leicht zugänglich sind, versteht sich von selbst. Wie in „Verwaltung der Zukunft“ gezeigt, ist es ein Kinderspiel, für völlig fremde Personen Meldebescheinigungen anzufordern und fremde Konten mit Lastschriften zu belasten.

Die Argumentation der Verwaltungen folgt häufig einem Muster, wie zum Beispiel in Stuttgart, wo man gelassen auf die Kritik reagiert.  „Wir wollen die Leute mitnehmen, nicht verschrecken“ , heißt es da. Die Vorstellung, dass sich jemand hinsetzt und beispielsweise beginnt, für wildfremde Münchner Bürger Meldebescheinigungen anzufordern und wildfremde Konten zu belasten, scheint für die Verwaltungen nicht vorstellbar zu sein.

Im Gegenteil, es wird sogar seitens der Verwaltung noch verlangt, man möge die Hürde dort, wo zum Beispiel eine elektronische Identifizierung mit dem neuen Personalausweis erforderlich ist, beseitigen. So verlangt die Stadt Stuttgart, das „Land soll Bürokratie bei der Kfz-Zulassung abbauen“. Die „Bürokratie“ bestünde darin, dass man sich elektronisch ausweisen muss, ehe man ein Fahrzeug in Stuttgart außer Betrieb setzt.

E-Government ist mindestens so seriös und schützenswert ist wie Online-Banking.
© Alfa Photo / Shutterstock.com

Ist das Bürokratie? Nun, in dem Fall könnte man wohl sämtliche Banken der Europäischen Union der Bürokratie zeihen – denn die verlangen in Umsetzung der PSD2-Richtlinie eine starke Kundenauthentifizierung. Was wohl mehr als jedem Zweiten der Deutschen bekannt ist, die Online-Banking nutzen.

Das Problem, und hier glaube ich doch aus Erfahrung mit Verwaltungspersonen zu sprechen, liegt meiner Meinung nach in folgenden Punkten begründet:

  • „Digital Illiteracy“, also eine digitale Unwissenheit der Verwaltung: Es ist zu wenig Personen in der Verwaltung bekannt, wie kinderleicht etwa eine E-Mail zu fälschen ist. Das wissen Verbraucherschützer, nicht aber alle Mitarbeiter in Verwaltungen. Diese drückt sich auch solcherart aus, dass regelmäßig auf Webangeboten von Verwaltungen einfachste Sicherungen gegen Maschinen fehlen, wie Captchas auf Anmeldeseiten von Bürgerkonten und E-Mailkonten. Mit Capchas wird sichergestellt, dass die Eingaben tatsächlich von Menschen stammen und nicht von Computern. 
  • Der verbreiteten, aber falschen Annahme, dass im Internet alles nachverfolgbar ist. Dass die eigene IP-Adresse einfach verschleiert werden kann, ist vielen nicht vorstellbar. Nicht nur in der Verwaltung, sondern auch in der Politik. Anders ist es kaum erklärbar, warum zum Beispiel die Sperrung von Webseiten politisch gefordert wird, wiewohl sie faktisch nicht umsetzbar ist beziehungsweise kinderleicht umgangen werden kann.
  • Der Glaube, die virtuelle Welt wäre wie die reale – samt Grenzen, Polizei und Gerichten. Wenn ein Server etwa in China steht wie bei TikTok oder ein Freemailprovider in Südafrika oder in Indien sitzt, wird es schwierig, deutsches Recht durchzusetzen – sofern es überhaupt anwendbar ist.
  • Unterschätzung der Gefahr: Häufig höre ich „Warum sollte das jemand machen?“. Nun, liest man die Berichterstattung über den Auftritt von US-Präsident Donald Trump in Tulsa am 20. Juni 2020, so haben dort offenbar weltweit organisierte Nichtanhänger des Präsidenten die Eintrittskarten für die Wahlkampfveranstaltung allesamt reserviert – ohne die geringste Absicht, dort hinzugehen. Dies war offenbar möglich, weil eine Wegwerfmailadresse ausreichend war, um hier diesen Schaden zu stiften. Dass es auch in Stuttgart Menschen gibt, die der Stadt Stuttgart Schaden zufügen wollen, wissen wir leider seit diesem Samstag, als die Stadt Schauplatz von Randale und Plünderungen war.
Eine eID-Infrastruktur bringt Sicherheit für Bürgerinnen und Bürger sowie Verwaltungen.
© Shutterstock.com

Warum sollte es für ebendiese – oder andere – Menschen nicht reizvoll sein, das Auto eines Stuttgarter Stadtrates abzumelden oder für einen Münchner Bundestagsabgeordneten eine Meldebescheinigung anzufordern und das Konto seiner Partei zu belasten? Oder, viel einfacher, es genügen ein einziger Mensch und ein einfacher Bot. Und dass bei 4,7 Milliarden Internetbenutzern nicht ein einziger dabei ist, welcher der deutschen Verwaltung Schaden zufügen möchte, ist eine äußerst naive Annahme. Möglicherweise muss es die deutsche Verwaltung, so wie Donald Trump vergangenen Samstag, auf die harte Tour lernen, dass das Internet weder ein Ponyhof noch eine Art Arkadien ist, sondern ein Kriegsschauplatz, auf dem man besser mit angemessener Vorsicht agiert. Denn es ist schon paradox, dass Behörden, die sonst großen Wert auf Ausweis, Urkunden und Nachweise im Original legen, gegebenenfalls noch in beglaubigter Übersetzung samt Legalisation und Apostille, im Internet Wegwerfmailadressen und gescannte „Belege“ für ausreichend halten.  

E-Government braucht ein hohes Vertrauensniveau wie beispielsweise in Österreich beim  Dienstleistungsscheck, wo im Gegensatz zur deutschen Minijobzentrale eine rechtlich belastbare Identifikation gefordert wird. Dann würden nicht nur die Nutzerzahlen im E-Government steigen, die gegenwärtig weit, weit unter den Zahlen für das vertrauenswürdigere Onlinebanking liegen, sondern es würde auch eine ernst zu nehmende Bürgerbeteiligung ermöglicht werden. „Bürgerbeteiligung“ wie in Potsdam, wo eine Registrierung wie überall mit Fake-Angaben möglich ist, die vielleicht überprüft werden, hat nicht den gleichen Wert wie eine Bürgerbeteiligung mit echten Bürgern wie zum Beispiel in Österreich, wo Volksbegehren online auf Basis belastbarer Identifikation unterschrieben werden können.

Ist so eine eID-Infrastruktur erst einmal eingeführt, so führt sie dazu, dass sich alle Akteure sicher fühlen können, wenn sie e-Government-Dienstleistungen in Anspruch nehmen beziehungsweise von nun gesichert echten Bürgern in Anspruch genommen werden. Und so, wie Donald Trump vermutlich seine Lektion lernen wird, sollte die deutsche Verwaltung endlich lernen, dass e-Government mindestens so seriös und schützenswert ist wie Online-Banking.

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.