Bürgerkarte in der Vertrauenskrise

19. März 2006

Weniger als 1 % der E-Governmentangebote werden mit Bürgerkarte abgewickelt

Nach zwei Jahren E-Government-Gesetz macht sich Ernüchterung breit. Wenige Anwendungen entsprechen dem Bürgerkarten-“Standard”, noch weniger werden tatsächlich genutzt. Alle Anwendungen müssen parallel zum klassischen Passwort-Verfahren als Identifikationsmethode und auch mit dem Bürgerkarten-System betrieben werden. Eine teure Spielwiese, die die Behördenportale komplizierter und damit fehleranfälliger macht.

Wobei der Begriff “Bürgerkarte” selbst eine Irreführung ist. Handelt es sich bloß um eine Sammlung von Schnittstellen und Softwaremodulen, die noch längst nicht fertiggestellt ist, geschweige denn ausgereift ist. Laufend müssen neue Flicken (Patches) beigefügt werden, um spezifische Behörden-Anforderungen abzudecken.

Drittes Scheitern von Signaturlösungen?

Nach dem Absturz der Bankomatsignatur und der Nun-doch-nicht-Pleite des Zertifizierungsanbieters A-TRUST droht der Signaturidee eine neuerliche Pleite. Das Bürgerkartenkonzept wird weder von Bürgern, noch von Unternehmen akzeptiert.

100%-Umsetzung für 2008 aussichtslos

Laut E-Government-Gesetz wird verlangt, dass alle Onlinedienste der Behörden ab 1.1.2008 ausschließlich mittels Bürgerkarte zugänglich sind. Alle bisherigen bewährten Lösungen, Finanz Online, Grundbuchabfragen, Firmenbuchabfragen, Gewerbeanmeldungen dürfen dann nicht mehr verwendet werden. Angesichts der bisherigen Verbreitung der Bürgerkartenlösung und der hohen Fehleranfälligkeit eine Horrorvision. Schlagartig würde der Staat der Mehrheit der Bürger keinen bequemen Onlinezugang mehr gewähren.

Wie viele Transaktionen derzeit tatsächlich mit Bürgerkarte abgewickelt werden, könnte zwar das BKA beauskunften, dieses hält sich jedoch bedeckt. Aber selbst unter sehr optimistischen Schätzungen unter Zugrundelegung der tatsächlichen Bürgerkartenbesitzer und der angebotenen Dienste bleibt man bei weit unter einem Prozent der Transaktionen.

Zu kompliziert, zu fehleranfällig, zu teuer

Wenige wagemutige IT-Enthusiasten haben es bisher gewagt, sich eine Chipkarte mit Bürgerkarten-Funktionalität, so der offizielle Ausdruck, zuzulegen. Maximal 2-3 Promille der Österreicher haben sich bisher in den Bürgerkartendjungel begeben.

Nach stundenlangen Installationsversuchen, oft mit dramatischen Eingriffen in das Sicherheitssystem des eigenen Computers, wird genervt doch zum klassischen Passwortverfahren zurückgegangen. Noch ist dies möglich, weil beide Lösungen parallel angeboten werden.

Aber auch Behörden haben schon angekündigt, sobald die Bürgerkarte Pflicht wird, auf Online-Anträge zu verzichten und wieder auf Fax, Brief und persönliches Erscheinen zurückzukehren. Zu hoch sind die Ängste vor dem unkalkulierbaren Supportaufwand.

Selbst versierte IT-Experten schafften es in mehreren Anläufen nicht, eine simple PDF-Rechnung mittels Bürgerkarte zu unterschreiben.

Unternehmen und Privatpersonen sollten die Finger davon lassen

Für Unternehmen ist das Bürgerkartenkonzept grundsätzlich nicht geeignet. Durch die strikte Personenbindung wird die Realität des Unternehmeralltags geleugnet. Auch wenn viele Tätigkeiten formell bestimmten Personen zugeordnet sind, werden Teilschritte laufend und meist ad hoc delegiert. Hat etwa der Geschäftsführer einen Onlinezugang zum Grundbuch, wird er eine Abfrage über einen Lieferanten oftmals dem einen oder anderen Assistenten übertragen. Gleiches wird bei der Steuererklärung sein. Der Chefbuchhalter wird vielleicht bei Finanz-Online registriert sein, eine kurze Abfrage wird aber oft eine vertrauenswürdige Assistentin durchführen. Was heute sinnvolle Betriebspraxis ist, wäre mit der Bürgerkartenlösung ein kriminelles Delikt. Zur legalen Abwicklung müssten jeweils komplizierte Vertretungsvollmachten elektronisch ausgestellt und hinterlegt werden. Aus einer 10-Sekunden-Abfrage würde ein kompliziertes Vertretungsproblem.

Entstanden sind derartige wirtschaftsfremde Lösungen, weil sie ausschließlich von einigen Universitätsangehörigen in Verbindung mit Beamten entwickelt wurden.

Privatpersonen wird ein immer größerer Teil an der technischen Infrastruktur und Verantwortung bei den Behördenwegen übertragen. Würden alle Sicherheitsempfehlungen und -vorschriften befolgt, müssten mehrere Stunden wöchentlich in die Computerwartung gesteckt werden. Bei vielleicht 1-3 bürgerkartenrelevanten Amtsgängen pro Jahr. Und Hand aufs Herz, wer ist schon daran interessiert seinen Strafbescheid wegen Falschparken ein paar Tage schneller zu bekommen.

IT-Unternehmen werden viel Geld verlieren

IT-Unternehmen, die in Erwartung eines Bürgerkarten-Booms allzu sehr in diese Techniken investiert haben, werden wohl bald viel Geld abschreiben müssen. Tatsächlich beteiligen sich zwar viele Unternehmen am Sysiphusprojekt “Bürgerkarte”, die meisten aber bloß halbherzig, die relevanten Teile werden auf den letztmöglichen Umsetzungstermin verschoben.

Kein Wildwuchs bei Passwörtern zu erwarten

Eines der Argumente für die komplizierten und technisch fehleranfälligen Bürgerkartenlösungen war das Vermeiden eines Passwortdschungels. Nur mehr eine Karte sollte alle Funktionen abdecken.

Hand auf Herz. Wie viele Karten haben Sie in der Tasche und wie viele Passwörter müssen sie wissen? Eben. Die Zahl der Karten wächst laufend. So wie das papierlose Büro eine Illusion bleiben wird, ist es die Multifunktional-Chipkarte.

Tatsächlich ist die Zahl der fraglichen Behörden für Privatpersonen sehr klein 1-2, mit Gemeindeamt und Finanzamt sind bei 99% der Bürger alle Behördenbedürfnisse abgedeckt.

Und wer hindert ambitionierte Portalanbieter viele verschiedene Behörden unter einem Webportal zu vereinen, sodass nur ein Passwort notwendig ist? Der Passwortdschungel lässt sich auch ohne Bürgerkarte beheben.

Hohe Kosten, starke Eingriffe in die Privatsphäre

Das System verursacht hohe Kosten, wobei die meisten Kosten als versteckter Aufwand der Bürger in Anschaffung und Wartung ihrer privaten Computerinfrastruktur fallen. Gleichzeitig bringt es massive Grundrechtseingriffe.

Mit einem komplizierten Kennzeichensystem ist es erstmals möglich, Daten aller Behördenbereiche automatisiert zusammen zu führen. Mit einer gewaltigen Portion Orwellscher NewSpeak wird dieser Angriff auf die Privatsphäre verschleiert.

Es werden zwar für die verschiedensten Bereiche unterschiedliche Nummern vergeben, doch die Erzeugung ist so gestaltet, dass diese Nummern bei Bedarf jederzeit wieder zusammengeführt werden können. Andere Länder nennen das Personenkennzeichen, in Österreich heißt es bereichsspezifisches Kennzeichen.

Wann werden die Daten zusammengeführt und weitergegeben? Bei der Volkszählung, etwa, wenn Gesetze es vorsehen. Aber auch bei jedem Amtshilfeersuchen. Und bei einer Rasterfahndung. Eine einfache Mehrheit im Parlament erlaubt den gläsernen Bürger auf Knopfdruck.

Ist das Bürgerkartensystem wenigstens sicher?

Sicherheit hat seinen Preis, werden viele meinen. Leider trifft das nicht zu. Der Signaturvorgang mag sicher sein. Zumindest für das nächste halbe Jahr. Neue mathematische Verfahren könnten das System von einem Tag auf den anderen kippen, dann stünde die gesamte österreichische Verwaltung schutzlos da.

Aber auch ohne diesen Super-GAU gibt es erhebliche Sicherheits-Bedenken. Alle wesentlichen Vorgänge, wie Dokumente erstellen, Formulare ausfüllen, finden auf sehr unsicheren Computersystemen statt. Mittels Trojaner und Würmer ist es sehr leicht geworden, den Bürgern verfälschte Dokumente unterzujubeln.

Phishing-Attacken machen Sicherheitsmängel sichtbar

Die seit Monaten andauernden Phishingattacken gegen österreichische Banken zeigten beinhart die Sicherheitslücken der Online-Systeme. Warum können in schlechtem Deutsch formulierte Mails mit fehlerhaften URL’s und absurden Schauergeschichten Schaden anrichten und nicht bloß Gelächter?

Offenbar treffen die Mails die Achilles-Ferse der Internetgesellschaft. Nicht Fehler einzelner technische Komponenten sind das Problem, sondern völlig ungenügend organisierte Prozesse.

So werden nunmehr Chipkarten mit Bürgerkartenfunktionalität als letzter Sicherheitsschrei angepriesen. Das Gegenteil ist der Fall. Die derzeit im Umlauf befindlichen “sicheren Signaturlösungen” sind derartig störanfällig, kompliziert zu installieren und schwer zu bedienen, dass am Ende die Konsumenten auf ihrem Computer ein Installationstrümmerfeld vorfinden, das ihnen nicht mehr erlaubt zu beurteilen, welche System- und Sicherheitslücken der Computer nunmehr hat. Statt einem mehr an Sicherheit muss der Benutzer noch mehr undurchschaubaren Programmen glauben.

Unabsehbare Auswirkungen

Kosteten bisher erfolgreiche Phishing-Attacken “nur” Geld, können erfolgreiche Attacken gegen das Bürgerkartensystem die Existenz ganzer Familien bedrohen. Aufenthaltsbewilligungen könnten verloren gehen, Pensions- und Pflegegeldansprüche, Schadenersatzansprüche, Anraineransprüche usw.

Der einzelne Bürger müsste dann jeweils ein Versagen der behördlichen Technik nachweisen, ein Nachweis, der nicht einmal bei simplen Datenschutzverletzungen gelingt.

Jubelstimmung weicht Ernüchterung

Noch 2003 schwärmten prominente Promotoren, wie Professor Posch von der WIN-WIN-Situation der Bürgerkartenlösung. Heute dürfte eher LOSS-LOSS zutreffen. Verlierer sind die Bürger, weil statt mit einfachen Behörden-Lösungen sie sich mit unausgereifter Technik beschäftigen müss(t)en. Risken im Amtsverkehr, fristgerechtes Einlangen von Beschwerden, Vollständigkeit der Angaben würden dramatisch auf den Bürger abgewälzt, die Situation ist mit der unbefriedigenden Telebanking-Situation vergleichbar.

Aber auch die Verwaltung zählt zu den LOSERN, die komplizierte Technik, die auch kleinste Online-Lösungen über denselben Leisten brechen will, werden aufgebläht und erfordert Unsummen von Haushaltsmitteln. Mittel, die dann bei der tatsächlichen Bürgerbetreuung fehlen.

Politiker beginnen Ausstiegsszenarien durchzudenken

Politiker aller Couleurs suchen schon jetzt Ausstiegsszenarien aus diesem technikfixierten System. Die vernünftigste Lösung, das Bürgerkartenprojekt als gescheitert anzusehen und allen Behörden freizustellen, wie sie den Kontakt mit den Bürgern organisieren, wagen noch nicht viele anzudenken.

So wird es wohl auf eine österreichische Lösung hinauslaufen. Die verpflichtende Verwendung der Bürgerkarte wird um fünf Jahre verschoben, dann wieder um fünf usw. Die E-Card hat es auf diesem Weg immerhin zu 17 Jahren Einführungszeit und vielen hundert Millionen EURO stranded Investments gebracht.