Auch das Bundesamt für Sicherheit in der Informationstechnik, das letztens für umfangreiche Fails im Umgang mit der Bekanntgabe kompromittierter Mailadressen Thema unserer Berichterstattung wurde, war auf der CeBIT vertreten. Dort wurde eine Idee vorgestellt, die einen Anwendungsfall für den angepriesenen rechtssicheren deutschen Datenverkehr darstellen soll.

Das Prinzip: Bei Beantragung eines Personalausweises muss der Antragsteller nicht mehr selbst mit seinem Passbild zu Behörde laufen, sondern der Fotograf kann die digital aufgenommenen Lichtbilder via De-Mail an die zuständige Behörde schicken. Eine Pilotstudie wird in diesem Monat in Köln und Göttingen starten.

Auf diese Weise kann das Lichtbild des Antragsstellers elektronisch verschlüsselt und signiert von einem Dritten in das digitale Antragsverfahren eingebracht werden.

Die Zulässigkeit des Verfahrens hat das BSI laut eigener Angabe bereits 2012 in einer Studie umfangreich geprüft. Als Rechtsgrundlage wird § 7 der Personalausweisverordnung herangezogen:

Wenn die Personalausweisbehörde die technischen Voraussetzungen geschaffen hat, kann das Lichtbild auch […] von Dritten elektronisch verschlüsselt und signiert an die Personalausweisbehörde übermittelt werden, soweit diese Form der Übermittlung durch eine Technische Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik vorgesehen ist

Wir haben schon mehrmals von De-Mail abgeraten. In einer Stellungnahme des CCC hat sich ergeben, dass gravierende Sicherheitslücken bestehen, wie eine mangelnde Ende-zu-Ende-Verschlüsselung und ein höchst zweifelhaftes Verfahren zur Sicherstellung der Identität des Senders und die Authentizität der Nachricht. Nicht, wie vielfach bewährt, über elektronische Signaturen, sondern über eine Bestätigung des Providers. Die „Sicherheit“ von De-Mail beruht nicht auf tatsächlichen technischen Maßnahmen, sondern auf einer gesetzlichen Verordnung.

Man kann also nur dazu raten, sein Passbild weiterhin manuell zur Ausweisbehörde zu tragen. Es ist auch nicht näher beschrieben, wie die Autorisierung der teilnehmenden Fotografen aussehen soll. Und da wir an der wirksamen Autorisierung von De-Mails zweifeln, dürfte es über kurz oder lang nicht ausbleiben, dass Frau Meier bei Abholung ihres Ausweises das Bild von Frau Müller auf ihrem ePerso vorfindet. Aber es ist sowieso zweifelhaft, dass sich das Verfahren durchsetzen wird. Der Vorschlag des BSI dürfte also bloß ein weiterer vergeblicher Versuch sein, De-Mail zu etablieren, genau wie die ebenso auf der CeBIT angekündigte De-Mail-Flatrate des Providers 1&1 und der Mailanbieter GMX und web.de.

Auch eine ernsthafte Wirtschaftlichkeit oder Zeitersparnis bei Durchsetzung der Anwendung liegt nicht vor. Laut der BSI-Studie liegt der Unterschied im zeitlichen Aufwand für den Bürger bei einer Minute und die jährliche Einsparung pro Personalausweisbehörde, unter Annahme einer 30%igen Durchsetzung des neuen Verfahrens, bei nicht ganz 500 €.