Elektronische Identität: Bund startet Innovationswettbewerb für sichere eID-Wallet
Das Bundesinnenministerium will in einem mehrstufigen Wettbewerb einen Prototyp für die geplante EU-weite elektronische Brieftasche (EUDI-Wallet) auswählen. Bis zum 5. Mai 2024 können Teams auf Basis eines nun veröffentlichten Architekturkonzepts(öffnet im neuen Fenster) ihre Vorschläge einreichen. Pro Team solle mindestens ein Wallet-Prototyp für Android oder iOS entwickelt und für Tests zur Verfügung gestellt werden, teilte das Ministerium am 11. April 2024 mit(öffnet im neuen Fenster) . "Wir haben uns für einen Konsultationsprozess entschieden, der auf größtmögliche Partizipation beteiligt" , sagte Staatssekretär Markus Richter zum Start des Wettbewerbs vor Journalisten in Berlin.
Hintergrund des Wettbewerbs ist die novellierte EU-Verordnung zu digitalen Identitäten (eIDAS 2.0). Demnach sollen bis zum Jahr 2030 mindestens 80 Prozent der EU-Bürger in der Lage sein, eine digitale Lösung für den Zugang zu wichtigen öffentlichen Diensten zu nutzen.
Dreistufiges Verfahren
Das Innenministerium hatte Anfang Juni 2023 bereits ein Diskussionspapier zur Erarbeitung einer prototypischen eIDAS-2.0-konformen Infrastruktur für Digitale Identitäten in Deutschland (PDF) vorgelegt(öffnet im neuen Fenster) . Im Juli 2023 startete das Ministerium einen Konsultationsprozess für das Architekturkonzept, der auf der Plattform Opencode dokumentiert ist(öffnet im neuen Fenster) .
Für den Innovationswettbewerb ist die Bundesagentur für Sprunginnovationen (Sprind) zuständig. Auf der Projektseite heißt es: "Der Sprind Funke hat eine Laufzeit von 13 Monaten in 3 Stufen. Dabei wird Sprind in Stufe 1 bis zu sechs Teams unterstützen, in Stufe 2 bis zu vier Teams und in Stufe 3 bis zu zwei Teams. In den drei Monaten von Stufe 1 unterstützt Sprind die teilnehmenden Teams mit bis zu 300.000 Euro abhängig von den finanziellen Anforderungen, welche die Teams mit ihrer Bewerbung einreichen. Für die Finanzierung in Stufe 2 sind bis zu 300.000 Euro pro Team und für Stufe 3 sind bis zu 350.000 Euro pro Team geplant."
Eine vermutlich zehnköpfige Jury unter Beteiligung der Zivilgesellschaft soll die Vorschläge auswählen. Die Evaluation könnte dann Ende Juli dieses Jahres erfolgen.
Konkret fordert Sprind von den Prototypen folgende Funktionen:
- Personenidentifikationsdaten (PID) auf Basis der Onlineausweisfunktion des Personalausweises ausgeben und darstellen
- Elektronische Eigenschaftsbescheinigungen (EAAs) ausstellen und anzeigen
- eine pseudonyme Anmeldung für vertrauende Parteien (Relying Parties) ermöglichen
- die Autorisierung von elektronischen Signaturen und eine starke Nutzerauthentifizierung (Strong Customer Authentication/SCA) unterstützen
Zudem soll das gesamte Projekt als auf Opencode als Open Source umgesetzt werden.
Softwareingenieur Torsten Lodderstedt erläuterte zum Projektstart Details zur Ausschreibung und zum Konzept.
Vier Kriterien besonders relevant
Demnach sind vier Kriterien besonders relevant. Sicherheit und Datenschutz seien dabei "nicht verhandelbar" . Zudem solle die elektronische Brieftasche auch für den durchschnittlichen Nutzer praktikabel sein und damit eine sinnvolle und relevante Reichweite des Systems ermöglichen. Es sei jedoch eine ziemlich schwierige Optimierungsaufgabe, die Kriterien unter einen Hut zu bekommen.
Eine besondere technische Herausforderung dürfte darin bestehen, einen hardwarebasierten zweiten Authentifizierungsfaktor umzusetzen. "Es geht an der Stelle vor allem darum, den Identitätsnachweis von der Plastikkarte des Ausweises loszubekommen und aufs Handy zu legen und damit eine größere Marktdurchbringung zu erzielen, als wir bisher mit der Smart-ID erreicht hätten" , sagte Richter. Das 155-seitige Architekturkonzept nennt dazu als Möglichkeit neben dem ePerso ein cloudbasiertes System und ein Sicherheitselement auf dem Smartphone. Doch gerade bei Apple-Geräten stellt der Zugriff auf ein solches Secure Element noch ein Problem dar.
Interoperabilität wichtig
Eine weitere Herausforderung für die Entwickler dürfte zudem in der vom Gesetzgeber vorgeschriebenen Interoperabilität des Systems liegen. Dies sei "ein ganz wichtiger Schlüssel-Erfolgsfaktor" , sagte Lodderstedt. Denn die Nutzer sollten die elektronische Brieftasche überall, vor allem europaweit, einsetzen können. Das Architekturkonzept empfiehlt dazu ein gemeinsames Authentifizierungsverfahren, damit nicht jede digitale Brieftasche 27 Verfahren unterstützen müsse.
Nach Angaben von Richter hat Deutschland noch bis Ende 2026 Zeit, die Vorgaben zur EUdi-Wallet umzusetzen. "Ich rechne realistischerweise auch damit, dass wir diese Zeit benötigen" , sagte der Staatssekretär. Auch wenn es derzeit bereits zahlreiche Anbieter gibt, die Identifizierungslösungen wie Single-Sign-On-Dienste anbieten, erwartet Richter von der staatlich bereitgestellten Infrastruktur künftig einen Sogeffekt. "Ich könnte mir vorstellen, dass das eine gewisse Dominanz entwickelt" , sagte Richter.
Völlig offen ist jedoch, wer diese Infrastruktur auf Basis des ausgewählten Prototyps künftig betreiben soll. Auch der Innovationswettbewerb ist offen, was Bewerbungen von großen IT-Konzernen oder Anbietern von Identifikationsprodukten betrifft. Ausgeschlossen sind jedoch Bewerber mit wirtschaftlichen Verbindungen zu Russland, die unter eine entsprechende EU-Verordnung fallen.