Scanning QR code forn laptop using mobile smartphone
© Getty Images / agrobacter/istockphoto.com

Netzpolitik

So sicher ist der digitale Identitätsnachweis

Franziska Bechtold

Mit dem digitalen Identitätsnachweis kommen auch Fragen zur Sicherheit und zum Datenschutz auf.

Der digitale Identitätsnachweis kann seit dieser Woche in die „eAusweise“-App hochgeladen werden. Wie das funktioniert, haben wir euch schon erklärt (hier). Doch es gibt auch viele offene Fragen, etwa wie und wo Daten gespeichert werden, wie die Übertragung dieser Daten funktioniert und wie sicher das ist.  

Wir haben nachgefragt, um folgende Fragen zu klären: 

  1. Wer kann die Ausweisdaten kontrollieren und wie funktioniert das? 

  2. Wie sicher ist die Verbindung, über die die Ausweisdaten übermittelt werden? 

  3. Welche Daten werden übermittelt? 

  4. Wo und wie werden meine Ausweisdaten gespeichert?

  5. Was passiert, wenn mein Akku leer ist bzw. das Handy nicht funktioniert?

  6. Muss ich meinen Ausweis als gestohlen melden, wenn mein Smartphone gestohlen wurde?

  7. Wie fehleranfällig ist die App?

  8. Kann mich der Staat durch die App-Nutzung überwachen?

➤ Mehr lesen: Wie kann man den digitalen Identitätsnachweis am Handy nutzen?

1. Wer kann die Ausweisdaten kontrollieren und wie funktioniert das?

Es gibt 2 Arten der Ausweiskontrolle – durch die Exekutive, z.B. die Polizei und durch Dritte, also Bürgerinnen und Bürger, die aus einem bestimmten Grund den Ausweis kontrollieren wollen, etwa wenn man ein Paket abholen will. Die Kontrollen unterscheiden sich maßgeblich. 

Bei einer Kontrolle von der Polizei oder anderen offiziellen Beamten wie Gemeindewachkörper (z.B. Stadtpolizei) werden keine Daten zwischen den Geräten übermittelt. Es wird ein einmal gültiger QR-Code in der „eAusweise“-App auf dem eigenen Handy generiert. Die Exekutive kann diesen mit einer eigenen, nur für sie autorisierten Anwendung, scannen. Sie nutzen dafür ein eigenes Gerät, in der Regel ein zugelassenes iPhone. Die Daten werden dann mit den nötigen österreichischen Registern abgeglichen, wie bei der Kontrolle von analogen Dokumenten. 

Dritte nutzen für die Identitätskontrolle die eigene App „eAusweis Check“. Dabei wird eine Verbindung zwischen den beiden Smartphones über Bluetooth Low Energy (BLE) hergestellt. Die Datenübertragung erfolgt dann verschlüsselt nach dem Standard AES-256-GCM. „Dadurch können weitere anwesende Personen die Übertragung nicht mitlesen“, heißt es seitens des zuständigen Bundeskanzleramts (BKA) auf Anfrage der futurezone. Dritte hätten niemals Zugriff auf das Register, betont das BKA. 

2. Wie sicher ist die Verbindung, über die die Ausweisdaten übermittelt werden?

Seit Bluetooth 4.2 vor 10 Jahren eingeführt wurde, ist die BLE-Verbindung sehr sicher, erklärt der Sicherheitsforscher Sebastian Schrittwieser von der Uni Wien der futurezone. "Es ist nicht realistisch, dass man das in sinnvoller Zeit knackt".

Handyüberwachung, Chatkontrolle

Der eAusweis am Handy

© Kurier / Juerg Christandl

3. Welche Daten werden bei der Ausweiskontrolle übermittelt?

Bei der Identitätskontrolle können Dritte Vorname, Nachname, Geburtsdatum und Lichtbild einsehen. Die Exekutive sieht nicht näher spezifizierte „gesetzlich festgelegte Daten“. 

4. Wo und wie werden meine Ausweisdaten gespeichert? 

Die Ausweisdaten werden auf dem eigenen Mobiltelefon gespeichert. Dadurch ist auch keine Internetverbindung nötig, um sie abzurufen. Das wirft die Frage auf, ob Hacker an diese Daten kommen können, wenn sie Schwachstellen des Handys ausnutzen. Laut BKA sind die aber im „sicheren Hardwarebereich des Mobiltelefons versperrt und nicht exportierbar“. 

Wie Schrittwieser weiter ausführt, handelt es sich dabei um ein sogenanntes „Secure Element“ bzw. „Secure Enclave“. Dort werden sämtliche Sicherheitsschlüssel gespeichert. Nur über biometrische Daten, also z.B. ein Fingerabdruck, können diese Schlüssel abgerufen werden. Nur damit lassen sich die Ausweisdaten auf dem Handy entschlüsseln. Selbst wenn Hacker an diese Daten kommen könnten, wären sie ohne den zugehörigen Schlüssel unlesbar und damit wertlos. Das wird auch bei Online-Banking verwendet und ist laut Schrittwieser State-of-the-Art.

Bei der Kontrolle durch Dritte mit der „eAusweis Check“-App können gar keine Daten gespeichert, sondern nur geprüft werden. Nach der Prüfung werden sämtliche Spuren beseitigt. Zusätzlich werden „minimal notwendige Daten“ beim Bundesrechenzentrum gespeichert, womit das Verwalten und Laden der Ausweise ermöglicht wird.

5. Was passiert, wenn mein Akku leer ist oder mein Handy nicht funktioniert? 

Wer sich digital ausweisen will, muss auch dafür sorgen, dass sein Gerät funktioniert. Ist der Akku leer oder es ist kaputtgegangen und man kann den eAusweis nicht vorzeigen, wird das wie beim Führerschein folgendermaßen gesetzlich geregelt: „Ist die Dateneinsicht aufgrund von Problemen des mobilen Gerätes der kontrollierten Person nicht möglich, so ist das wie ein Nichtmitführen des Führerscheines zu behandeln.” 

Eine fehlende Internetverbindung ist bei einer Identitätskontrolle übrigens kein Problemfaktor. Bei der Weitergabe an Dritte muss allerdings Bluetooth aktiviert sein. 

➤ Mehr lesen: Das bringt Europas digitaler Ausweis eID

6. Muss ich meinen Ausweis als gestohlen melden, wenn mein Handy gestohlen wurde? 

Laut Bundeskanzleramt können fremde Personen die Ausweisdaten auf dem Handy nicht auslesen, da diese mittels Biometrie, also z.B. einem Fingerabdruck-Scan, gesichert sind. „Da die Daten in eAusweise von analogen Ausweisen bzw. bestehenden Registerdaten abhängen, gibt es bei Verlust des Smartphones diesbezüglich keinen rechtlichen Handlungsbedarf“. 

Allerdings sollte man trotzdem die ID-Austria widerrufen, wenn das Smartphone verloren geht oder gestohlen wurde. Dadurch wird automatisch auch die „eAusweise“-App invalidiert. Dafür meldet man sich über österreich.gv.at an, klickt auf das Profil und wählt „Alle Geräte abmelden“ aus.

➤ Mehr lesen: Altersnachweis am Handy startet: So funktioniert der eAusweis

7. Wie fehleranfällig ist die App? 

Laut BKA wird die App kontinuierlich weiterentwickelt. Fehlerberichte der Nutzer und Nutzerinnen über die jeweiligen App-Stores würden „genau geprüft“. Es sei aber nicht möglich, kurze technische Ausfälle auszuschließen. Die Server-Infrastruktur müsse aber nicht unbedingt erreichbar sein, um einen Ausweis vorzuzeigen, da dieser auf dem Handy gespeichert ist. 

Wie bei allen Smartphone-Funktionen ist es auch bei den beiden Apps „eAusweise“ und „Digitales Amt“ unbedingt notwendig, aktuelle Updates sofort zu installieren sowie das eigene Betriebssystem stets aktuell zu halten. Tut man das nicht, kann es wie bei allen Apps zu Fehlfunktionen kommen.

8. Kann mich der Staat durch die Nutzung der eAusweise-App überwachen? 

Zum Thema Datenschutz heißt es auf der Webseite österreich.gv.at: „Die Behörde bekommt keinen Zugriff auf Daten, die nicht ohnehin schon im Rahmen bestehender Register und geltender Rechtsgrundlagen verfügbar sind.“ 

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 22.06.2024, 6:00 Uhr

Franziska Bechtold

frau_grete

Liebt virtuelle Spielewelten, Gadgets, Wissenschaft und den Weltraum. Solange sie nicht selbst ins Weltall kann, flüchtet sie eben in Science Fiction.

mehr lesen
Franziska Bechtold

Mehr zum Thema

Kommentare