Hört man in den letzten Jahren etwas zum Thema “Digitalisierung”, hat es fast immer etwas mit Scheitern zu tun. Bürgerdienste am heimischen PC? Kommen seit Jahren nicht ans Fliegen. Der elektronische Personalausweis? Genauso wie die ELSTER (Nutzungszwang spätestens wegen der Grundsteuerreform) ist er nur unter Zwang verkäuflich (der e-Perso wird eigentlich nur genutzt, damit Bürger staatliche Unterstützungsleistungen erhalten, die ihnen sonst verweigert würden (ALG, Kindergeld, die Heizkostenhilfe für Studenten – wobei erstaunlich viele Studenten vermieden haben, den ihnen zuständigen Betrag abzurufen). Die elektronische Patientenakte? Trotz sanften Zwangs (opt-out statt opt-in) wird auch das auf der Nase landen.

Noch schlimmer steht es um zwangsweise ausgerollte Verfahren wie e-Rezept, GEMATIK-Hardware und -Methoden oder das besonders defekte elektronische Anwaltspostfach (bei dem das ganze Konzept so schwach war, daß die Signaturschlüssel zur Zertifikatserstellung an alle Clients ausgeliefert wurden).

Das einzige zentrale Tool, das ausgerollt wurde, seinen Zweck erfüllt hat und sowohl von Fachleuten als auch von der Bevölkerung angenommen wurde, war die Corona-Warn-App.

Was haben alle diese Verfahren miteinander zu tun? Alle basieren auf funktionierender, eindeutiger Identifikation, die wiederum auf funktionierender Kryptographie basiert.

kann man den existierenden Verfahren trauen?

Und gerade da hat Deutschland ein echtes Problem. Der Staat, der als Garant der Rechte seiner Bürger ein vitales Interesse daran haben müßte, ein objektiv verifizierbares Verfahren zur sicheren Identifikation bereitzustellen, bemüht sich geradezu, das Vertrauen der Bürger zu enttäuschen.

• Transparenz: Wie man hier nachlesen kann, basiert das gesamte Vertrauen darauf, daß jederzeit sichergestellt ist, wo die benutzten Schlüssel, auf denen die Sicherheit beruht, einzigartig sind. Vertrauen ohne Transparenz ist unmöglich, aber sobald man versucht, die Verfahren zur Erstellung des e-Personalausweises in Erfahrung zu bringen, stößt man auf “das ist vertraulich und geht Sie nichts an” seitens Staat und Bundesdruckerei. Sicherheit durch Geheimnistuerei ist keine Sicherheit.
• Recht und Gesetz: Der einfachste Weg, eine Verschlüsselung aufzubrechen, ohne das Verfahren selbst unsicher zu machen, ist der Besitz einer Kopie des Schlüssels. Da nicht klar ist, wie der Schlüssel auf den e-Perso oder die e-Gesundheitskarte oder in das Elster-Zertifikat kommt und wo (und wie) er erstellt wurde (in einem sinnvollen System würde das der Prozessor des Ausweises erledigen und den geheimen Schlüssel nie preisgeben), ist nicht wirklich sicher, daß die Schlüssel einzigartig oder sicher sind – nur weil ein Schlüssel eine bestimmte Länge besitzt, heißt das nicht, daß der gesamte Inhalt auch wirklich genutzt wird. Generell würden die Ausnahmen zu Grundgesetz-Artikel 10 erlauben, daß sich alle möglichen Dienste schon an der Quelle Bundesdruckerei die Schlüssel sichern; einfacher geht es nicht mehr.
• Vertrauen in den Herausgeber: Spätestens seit der exzessiven Nutzung von Gästelisten aus der Corona-Zeit, als Ermittlungsbehörden die Privatsphäre manchmal hunderter Bürger, die in gutem Glauben ihre Adressen hinterlassen hatten, um eine tödliche Erkrankung einzudämmen, zur Aufklärung von Fahrerflucht und Bagatelldiebstählen verletzen und sich dabei zu Recht auf die Strafprozessordnung berufen konnten, ist klar, daß man “dem Staat” nichts geben darf, das sich irgendwie mißbrauchen läßt. Und Vertrauen ist wie Jungfräulichkeit – weg ist weg.

Bedenkt man jetzt auch noch Themen wie die Nutzung von Schadsoftware als Ermittlungswerkzeug ist relativ klar, daß die Antwort hier nur “nein” lauten kann. Es gibt Geister, die ihre Flasche nicht verlassen dürfen.

was muß sich ändern

Sollen wirklich funktionierende Verfahren zur Modernisierung von Verwaltungsinteraktionen der Bürger, den allgemeinen Geschäftsverkehr oder auch nur der persönlichen Kommunikation eingeführt werden, ist ein einfaches, sicheres und vertrauenswürdiges Verfahren notwendig. Also genau das, was der Staat seinen Bürgern nicht zu liefern willens ist; stattdessen darf Ursula von der Leyen zum wiederholten Mal versuchen, “Chatkontrolle” und defekte Verschlüsselung unterzujubeln.

Die Technologie existiert schon; wo wäre das Problem, daß die kryptographischen Dienste eines e-Persos dann zu aktivieren, wenn der Bürger das Gerät in der Hand hält und danach der öffentliche Schlüssel vom herausgebenden Amt zertifiziert und die zentrale Infrastruktur übergeben wird. Es gibt auch keinen Grund, die Mechanismen und Verfahren geheim zu halten, davon werden sie weder sicherer noch vertrauenswürdig. Und wenn es das sichere Identifikationsverfahren gibt, sind alle parallelen Entwicklungen (ELSTER-Zertifikate, eGK, e-sonstwas für Ärzte, Anwälte, Apotheker und wer weiß noch) hinfällig.

Noch wichtiger ist allerdings, daß man die Nutzung niemals zu erzwingen versucht. Zwangsmaßnahmen sind Gift für jedes Vertrauen.

und wenn nicht?

Warum braucht man heute noch Telefax, wenn man mit Gerichten oder Finanzämtern kommunizieren will? Wir bleiben in der Steinzeit, in der wir uns derzeit befinden, Parallel entwickeln sich von der Industrie getragene Strukturen, die weder Sicherheit noch sichere Identifikation garantieren können. Ach ja, auch die Chatkontrolle der Laiendarsteller wird versagen: Nutzer werden nicht vertrauenswürdige Anbieter nicht mehr benutzen und (siehe Veilid als neuestes Beispiel) notfalls auf dezentralisierte Strukturen ausweichen, bei der die Behörden nicht einmal mehr Metadaten sammeln können.