GLOBALTRUST Certification ServiceQualified Certificate AuthorityComing Soon! Akkreditiert durch RTR gemäß SigG
 
2006/03/20 Bürgerkarte in der Vertrauenskrise
Seit zwei Jahren besteht E-Government-Gesetz - Bürgerkarte von Bevölkerung nicht akzeptiert - zu kompliziert, zu fehleranfällig, zu teuer - Jubelstimmung von 2003 ist weg - IT-Experten kehren nach vielen Stunden Lehrgeld zum bewährten Passwort-Login zurück - Politiker denken an Ausstieg

Weniger als 1% der E-Governmentangebote werden mit Bürgerkarte abgewickelt

Nach zwei Jahren E-Government-Gesetz macht sich Ernüchterung breit. Wenige Anwendungen entsprechen dem Bürgerkarten-"Standard", noch weniger werden tatsächlich genutzt. Alle Anwendungen müssen parallel zum klassischen Passwort-Verfahren als Identifikationsmethode und auch mit dem Bürgerkarten-System betrieben werden. Eine teure Spielwiese, die die Behördenportale komplizierter und damit fehleranfälliger macht.

Wobei der Begriff "Bürgerkarte" selbst eine Irreführung ist. Handelt es sich bloß um eine Sammlung von Schnittstellen und Softwaremodulen, die noch längst nicht fertiggestellt ist, geschweige denn ausgereift ist. Laufend müssen neue Flicken (Patches) beigefügt werden, um spezifische Behörden-Anforderungen abzudecken.


Drittes Scheitern von Signaturlösungen?

Nach dem Absturz der Bankomatsignatur und der Nun-doch-nicht-Pleite des Zertifizierungsanbieters A-TRUST droht der Signaturidee eine neuerliche Pleite. Das Bürgerkartenkonzept wird weder von Bürgern, noch von Unternehmen akzeptiert.


100%-Umsetzung für 2008 aussichtslos

Laut E-Government-Gesetz wird verlangt, dass alle Onlinedienste der Behörden ab 1.1.2008 ausschließlich mittels Bürgerkarte zugänglich sind. Alle bisherigen bewährten Lösungen, Finanz Online, Grundbuchabfragen, Firmenbuchabfragen, Gewerbeanmeldungen dürfen dann nicht mehr verwendet werden. Angesichts der bisherigen Verbreitung der Bürgerkartenlösung und der hohen Fehleranfälligkeit eine Horrorvision. Schlagartig würde der Staat der Mehrheit der Bürger keinen bequemen Onlinezugang mehr gewähren.

Wieviele Transaktionen derzeit tatsächlich mit Bürgerkarte abgewickelt werden, könnte zwar das BKA beauskunften, dieses hält sich jedoch bedeckt. Aber selbst unter sehr optimistischen Schätzungen unter Zugrundelegung der tatsächlichen Bürgerkartenbesitzer und der angebotenen Dienste bleibt man bei weit unter einem Prozent der Transaktionen.


Zu kompliziert, zu fehleranfällig, zu teuer

Wenige wagemutige IT-Enthusiasten haben es bisher gewagt, sich eine Chipkarte mit Bürgerkarten-Funktionalität, so der offizielle Ausdruck, zuzulegen. Maximal 2-3 Promille der Österreicher haben sich bisher in den Bürgerkartendungel begeben.

Nach stundenlangen Installationsversuchen, oft mit dramatischen Eingriffen in das Sicherheitssystem des eigenen Computers, wird genervt doch zum klassischen Passwortverfahren zurückgegangen. Noch ist dies möglich, weil beide Lösungen parallel angeboten werden.

Aber auch Behörden haben schon angekündigt, sobald die Bürgerkarte Pflicht wird, auf Online-Anträge zu verzichten und wieder auf Fax, Brief und persönliches Erscheinen zurückzukehren. Zu hoch sind die Ängste vor dem unkalkulierbaren Supportaufwand.

Selbst versierte IT-Experten schafften es in mehreren Anläufen nicht eine simple pdf-Rechnung mittels Bürgerkarte zu unterschreiben.


Unternehmen und Privatpersonen sollten die Finger davon lassen

Für Unternehmen ist das Bürgerkartenkonzept grundsätzlich nicht geeignet. Durch die strikte Personenbindung wird die Realität des Unternehmeralltags geleugnet. Auch wenn viele Tätigkeiten formell bestimmten Personen zugeordnet sind, werden Teilschritte laufend und meist ad hoc delegiert. Hat etwa der Geschäftsführer einen Onlinezugang zum Grundbuch, wird er eine Abfrage über einen Lieferanten oftmals dem einen oder anderen Assistenten übertragen. Gleiches wird bei der Steuererklärung sein. Der Chefbuchhalter wird vielleicht bei Finanz-Online registriert sein, eine kurze Abfrage wird aber oft eine vertrauenswürdige Assistentin durchführen. Was heute sinnvolle Betriebspraxis ist, wäre mit der Bürgerkartenlösung ein kriminelles Delikt. Zur legalen Abwicklung müssten jeweils komplizierte Vertretungsvollmachten elektronisch ausgestellt und hinterlegt werden. Aus einer 10-Sekunden-Abfrage würde ein kompliziertes Vertretungsproblem.

Entstanden sind derartige wirtschaftsfremde Lösungen, weil sie ausschließlich von einigen Universitätsangehörigen in Verbindung mit Beamten entwickelt wurden.

Privatpersonen wird ein immer größerer Teil an der technischen Infrastruktur und Verantwortung bei den Behördenwegen übertragen. Würden alle Sicherheitsempfehlungen und -vorschriften befolgt, müssten mehrere Stunden wöchentlich in die Computerwartung gesteckt werden. Bei vielleicht 1-3 bürgerkartenrelevanten Amtsgängen pro Jahr. Und Hand aufs Herz, wer ist schon daran interessiert seinen Strafbescheid wegen Falschparken ein paar Tage schneller zu bekommen.


IT-Unternehmen werden viel Geld verlieren

IT-Unternehmen, die in Erwartung eines Bürgerkarten-Booms allzusehr in diese Techniken investiert haben, werden wohl bald viel Geld abschreiben müssen. Tatsächlich beteiligen sich zwar viele Unternehmen am Sysiphusprojekt "Bürgerkarte", die meisten aber bloß halbherzig, die relevanten Teile werden auf den letztmöglichen Umsetzungstermin verschoben.


Kein Wildwuchs bei Passwörtern zu erwarten

Eines der Argumente für die komplizierten und technisch fehleranfälligen Bürgerkartenlösungen war das vermeiden eines Passwortdschungels. Nur mehr eine Karte sollte alle Funktionen abdecken.

Hand auf Herz. Wieviele Karten haben Sie in der Tasche und wieviele Passwörter müssen sie wissen? Eben. Die Zahl der Karten wächst laufend. So wie das papierlose Büro eine Illusion bleiben wird, ist es die Multifunktions-Chipkarte.

Tatsächlich ist die Zahl der fraglichen Behörden für Privatpersonen sehr klein 1-2, mit Gemeindeamt und Finanzamt sind bei 99% der Bürger alle Behördenbedürfnisse abgedeckt.

Und wer hindert ambitionierte Portalanbieter viele verschiedene Behörden unter einem Webportal zu vereinen, sodass nur ein Passwort notwendig ist. Der Passwortdschungel läßt sich auch ohne Bürgerkarte beheben.


Hohe Kosten, starke Eingriffe in die Privatsphäre

Das System verursacht hohe Kosten, wobei die meisten Kosten als versteckter Aufwand der Bürger in Anschaffung und Wartung ihrer privaten Computerinfrastruktur fallen. Gleichzeitig bringt es massive Grundrechtseingriffe.

Mit einem komplizierten Kennzeichensystem ist es erstmals möglich Daten aller Behördenbereiche automatisiert zusammen zu führen. Mit einer gewaltigen Portion Orwellscher NewSpeak wird dieser Angriff auf die Privatsphäre verschleiert.

Es werden zwar für die verschiedensten Bereiche unterschiedliche Nummern vergeben, doch die Erzeugung ist so gestaltet, dass diese Nummern bei Bedarf jederzeit wieder zusammengeführt werden können. Andere Länder nennen das Personenkennzeichen, in Österreich heißt es bereichsspezifisches Kennzeichen.

Wann werden die Daten zusammengeführt und weitergegeben? Bei der Volkszählung etwa. Wenn Gesetze es vorsehen. Aber auch bei jedem Amtshilfeersuchen. Und bei einer Rasterfahndung. Eine einfache Mehrheit im Parlament erlaubt den gläsernen Bürger auf Knopfdruck.


Ist das Bürgerkartensystem wenigstens sicher?

Sicherheit hat seinen Preis, werden viele meinen. Leider trifft das nicht zu. Der Signaturvorgang mag sicher sein. Zumindest für das nächste halbe Jahr. Neue mathematische Verfahren könnten das System von einem Tag auf den anderen kippen, dann stünde die gesamte österreichische Verwaltung schutzlos da.

Aber auch ohne diesen SuperGau gibt es erhebliche Sicherheits-Bedenken. Alle wesentlichen Vorgänge, wie Dokumente erstellen, Formulare ausfüllen, finden auf sehr unsicheren Computersystemen statt. Mittels Trojaner und Würmer ist es sehr leicht geworden, den Bürgern verfälschte Dokumente unter zu jubeln.


Phishing-Attacken machen Sicherheitsmängel sichtbar

Die seit Monaten andauernden Phishingattacken gegen österreichische Banken zeigten beinhart die Sicherheitslücken der Online-Systeme. Warum können in schlechtem Deutsch formulierte Mails mit fehlerhaften URL's und absurden Schauergeschichten Schaden anrichten und nicht bloß Gelächter?

Offenbar treffen die Mails die Archilles-Ferse der Internetgesellschaft. Nicht Fehler einzelner technische Komponenten sind das Problem, sondern völlig ungenügend organsierte Prozesse.

So werden nunmehr Chipkarten mit Bürgerkartenfunktionalität als letzter Sicherheitsschrei angepriesen. Das Gegenteil ist der Fall. Die derzeit im Umlauf befindlichen "sicheren Signaturlösungen" sind derartig störanfällig, kompliziert zu installieren und schwer zu bedienen, dass am Ende die Konsumenten auf ihrem Computer ein Installationstrümmerfeld vorfinden, das ihnen nicht mehr erlaubt zu beurteilen, welche System- und Sicherheitslücken der Computer nunmehr hat. Statt einem mehr an Sicherheit muss der Benutzer noch mehr undurchschauberen Programmen glauben.


Unabsehbare Auswirkungen

Kosteten bisher erfolgreiche Phishing-Attacken "nur" Geld, können erfolgreiche Attacken gegen das Bürgerkartensystem die Existenz ganzer Familien bedrohen. Aufenthaltsbewilligungen könnten verloren gehen, Pensions- und Pflegegeldansprüche, Schadenersatzansprüche, Anraineransprüche usw.

Der einzelne Bürger müsste dann jeweils ein Versagen der behödlichen Technik nachweisen, ein Nachweis, der nicht einmal bei simplen Datenschutzverletzungen gelingt.


Jubelstimmung weicht Ernüchterung

Noch 2003 schwärmten prominente Promotoren, wie Professor Posch von der WIN-WIN-Situation der Bürgerkartenlösung. Heute dürfte eher LOSS-LOSS zutreffen. Verlierer sind die Bürger, weil statt mit einfachen Behörden-Lösungen sie sich mit unausgereifter Technik beschäftigen müss(t)en. Risken im Amtsverkehr, fristgerechtes Einlangen von Beschwerden, Vollständigkeit der Angaben würden dramatisch auf den Bürger abgewälzt, die Situation ist mit der unbefriedigenden Telebanking-Situation vergleichbar.

Aber auch die Verwaltung zählt zu den LOSERN, die komplizierte Technik, die auch kleinste Online-Lösungen über denselben Leisten brechen will, werden aufgebläht und erfordert Unsummen von Haushaltsmitteln. Mittel, die dann bei der tatsächlichen Bürgerbetreuung fehlen.


Politiker beginnen Ausstiegsszenarien durchzudenken

Politiker aller Couleurs suchen schon jetzt Ausstiegsszenarien aus diesem technikfixierten System. Die vernünftigste Lösung, das Bürgerkartenprojekt als gescheitert anzusehen und allen Behörden frei zu stellen, wie sie den Kontakt mit den Bürgern organisieren, wagen noch nicht viele anzudenken.

So wird es wohl auf eine österreichische Lösung hinauslaufen. Die verpflichtende Verwendung der Bürgerkarte wird um fünf Jahre verschoben, dann wieder um fünf usw. Die e-Card hat es auf diesem Weg immerhin zu 17 Jahren Einführungszeit und vielen hundert Millionen EURO stranded Investments gebracht.

mehr --> Gewerbliche Versicherungsanstalt - Ohne Datensicherheit geht's...
Archiv --> Datenschutzprobleme im Zusammenhang mit e-government/elektroni...
Archiv --> Bürgerkarte - Nationalrat beschließt teuren Symbolismus
Archiv --> A-TRUST Turbulenzen schaden Zertifizierungsdiensten
Archiv --> E-Government-Gesetz

Die angezeigten Informationen sind ausschliesslich zur persönlichen Nutzung im Rahmen der Zertifizierungsdienste bestimmt. Beachten Sie die gültige Certificate Policy. GLOBALTRUST® ist die EU-weit registrierte Marke zur Erbringung von Zertifizierungsdiensten. Die angebotenen Zertifizierungsdienste werden gemäß Signaturgesetz betrieben. Die Verwendung der GLOBALTRUST® Logos ist nur Inhabern von gültigen GLOBALTRUST® Zertifikaten oder nach ausdrücklicher schriftlicher Genehmigung gestattet. Irrtum vorbehalten.

GLOBALTRUST® / A-CERT 2002-2019powered by e-commerce monitoring gmbh  impressum/DSGVO  agb  webmaster
E131, fiskaltrust, RKS-CARD, Registrierkassensicherheitsverordnung, RKSV, Identitymanagement, E-Identity, Privacy, Informationsrecht, Datensicherheit, elektronische Signatur, digitale Signatur, Österreich, Austria, Wien, Vienna, Internet, Telekommunikation, Zertifizierung, Zertifizierungsdienst, Certified, Trust, Certification Authority, CA, Cloud Computing, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect