A-CERT Certification Service
2004/03/01 Bürgerkarte - Scheitern gesichert
Seit 1. März ist e-government-Gesetz in Kraft - Soll dahindümpelnde Bürgerkarte fördern - technikverliebtes Konzept tritt seit 2000 auf der Stelle - Kann langfristig nicht über die Strukturmängel der österreichischen Verwaltung hinwegtäuschen - IT-Branche sollte Lehren aus vergangenen Projekten ziehen

Mitte Februar wurde das Bürgerkarten/e-government-Gesetz als 'Jahrhundertgesetz' von den Regierungsparteien beschlossen. Obwohl die Probleme des im Gesetz geregelten komplizierten Bürgeridentifikationsmechanismus in Fachkreisen äußerst intensiv diskutiert wurden, fand diese Diskussion praktisch unter Ausschluss der Öffentlichkeit statt.

Zu Recht, wie der Autor meint, wenn man die praxisferne, technikverliebte und an den Anforderungen einer demokratischen Staatsverwaltung vorbei entwickelten Lösung ansieht.

Zu Unrecht, wenn man an die weitreichenden Implikationen und Konsequenzen denkt, die die Umsetzung der Lösung für die Bürger bedeuten würde. Wesentliche Teile der bisherigen Kommunikationswege zwischen Bürger und Staat wären beschädigt, die Schnittstelle Staat/Bürger zuungunsten der Privatsphäre der Bürger verschoben.

Zu Recht, wenn man die Zukunftschancen des Gesamtprojekts betrachtet. Die Bürgerkarte hat keine Realisierungschance, noch nie konnten sich unverständliche, komplizierte und letztlich doch nicht sichere IT-Lösungen durchsetzen.

Noch einmal sollen die wichtigsten Punkte zusammen gefasst werden, die den Autor optimistisch machen, dass die Bürgerkarte eine symbolistische Anekdote in der österreichischen Verwaltung bleibt.


Bürgerkartenlösungen treten auf der Stelle

In der Diskussion weitgehend untergegangen ist die Tatsache, dass das Konzept 'Bürgerkarte' schon seit Ende 2000 massivst promotet wird, ohne greifbare Ergebnisse. Der für 2002 groß angekündigte Flächenfeldversuch im Burgenland fiel völlig aus. 2001 wurde die Bürgerkarte dem Vorarlberger Landeshauptmann Sausgruber übergeben. Ein symbolischer Akt, stellt er heute ernüchtert fest, wobei im Zuge der Evaluation festgestellt wurde, dass die meisten Behördenverfahren die komplizierten Anforderungen der Bürgerkarte nicht benötigen.

Auch die RTR stellte anlässlich des 4-jährigen Bestands des Signaturgesetzes ernüchtert fest, dass die Verbreitung und Verwendung der digitalen Signatur weit hinter den Erwartungen zurückgeblieben ist. Die seit 1996 offensichtlichen Einsatz- und Akzeptanzprobleme der digitalen Signatur ließen sich nicht durch gesetzliche Maßnahmen beseitigen.


Zuständigkeitslösung vermutlich EU-widrig

Die geplante Zuständigkeitslösung zur Stamm- und Personenkennzeichenverwaltung mit DSK, DVR und BMI ist intransparent und führt im Beschwerdefall dazu, dass dieselbe Behörde, die für den operativen Ablauf zuständig war, auch über die Beschwerde entscheiden muss. Das ist vermutlich EU-widrig. Die EU fordert zu allen Datenschutzfragen eine einzige, unabhängige Kontrollinstanz, was andere operative Aufgaben ausschließt.


Systemsicherheit 'auf Abruf'

Zum Thema Sicherheit gibt es in der IT-Branche zwei völlig unbestrittene Basiserkenntnisse.

Erstens gibt es kein absolut sicheres System, jedes Sicherheitsverfahren wird in der Folge durch neue Erkenntnisse und/oder neue Rechnerleistungen geknackt ('brute force'). Aus diesen Gründen enthalten alle Systeme im Echteinsatz umfassende Rückruf-, Sperr- und Backupmechanismen (Revokation-Prozeduren). Vorgaben dazu fehlen im e-gov-Gesetz.

Zweitens wird Sicherheit am ehesten dadurch gewährleistet, dass verschiedene Systeme verschiedene Methoden der Authentisierung und Identifikation verwenden, ein Angreifer immer nur Teile eines Systems "knacken" kann. Wengleich die Methoden üblicherweise bekannt bzw. offen gelegt werden (etwa Kryptographiealgorithmen), sollten die konkreten Implementierungen geheim bleiben. Das geplante Bürgerkartensystem sieht jedoch eine für den gesamten Verwaltungsbereich idente Infrastruktur vor, die schon wegen der umfassenden Folgewirkungen attraktiv für Angriffe ist.

Der Vorschlag, für alle behördlichen Aktivitäten einen einzigen Identifikationsmechanismus zu verwenden, ist eine Einladung, technische Schwachstellen des Systems aufzuspüren. Bei Korrumpierung des Systems besteht die Gefahr, den gesamten elektronischen Rechtsverkehr in Österreich nachhaltig zu schädigen.


Intransparent für Benutzer

Um das System benutzen zu können, sind eine Fülle technischer Anschaffungen, beginnend mit Computer, Chipkartenleser, geeigneter Software, Internetanschluss, Vereinbarungen mit Zustelldienst, Signaturdienst, ..., notwendig. Das Gelingen eines Anbringens ist von dem reibungslosen Funktionieren verschiedenster Einrichtungen abhängig.

Schlagen Übermittlungsversuche fehl, hat der Benutzer (Bürger und Behörde) derzeit keine realistische Chance, die Fehlerquelle zweifelsfrei zuzuordnen. Vom schlichten Eingabefehler bis zum Versagen eines Core-Routers oder Core-Name-Servers in den USA kann der Fehler reichen. Es kann derzeit nicht einmal garantiert werden, dass überhaupt die Tatsache eines Fehlers angezeigt wird.

Nicht ohne Grund wurden daher von der EU großzügige Rücktrittsfristen im e-commerce-Bereich verbindlich vorgegeben. Derartige Mechanismen, ebenso wie Revokation-Mechanismen im Verdachtsfall eines Missbrauchs oder Identitätsdiebstahls, fehlen im Gesetz völlig. Auch Systemwechsel zwischen elektronischer und klassicher Erledigung eines Antrags oder die Verknüpfung klassischer und elektronischer Verfahrensbeteiligter sind im Entwurf nicht oder unzureichend berücksichtigt.
Der vorgeschlagene Entwurf überträgt die Verantwortung im Fehlerfall völlig einseitig dem Bürger, ohne ihm geeignete technische Hilfsmittel (zentrale Hotline, technische Analysewerkzeuge, Haftung der Hilfslieferanten, ...) zur Verfügung zu stellen.


Bereichskennzeichenkonzept ist nicht praktikabel

Die Personenkennzeichen sollen bereichsspezifisch vergeben werden. Was ein Bereich ist, wie er kompetenzrechtlich abzusichern ist und wie die Übergänge zwischen den Bereichen aussehen, kann jedoch niemand sagen. Hier wären auch Eingriffe in die Kompetenzen verschiedener Verrwaltungsebenen notwendig.

Eine über mehrere Datenanwendungen hinausgehende Bereichszusammenfassung würde eine Bundesstaatsreform erfordern, die zwar im Rahmen des Österreichkonvents geplant, aber derzeit nicht absehbar ist.


Teures System, das zu Lasten des Datenschutzes geht

Das gesamte Bürgerkarten- und Identifikationssystem, das nur bei einer äußerst geringen Zahl von Behördenwegen tatsächlich unerlässlich ist, ist teuer und aufwändig. Es wird nur durch zusätzliche privatwirtschaftliche Nutzung finanzierbar sein, und es wird zu einer Vermischung hoheitlicher und kommerzieller Aufgaben und Interessen kommen.

Wie am Beispiel der 'Komfort-Abfrage' beim ZMR deutlich wurde, zeigt die Erfahrung, dass kommerzielle Nutzung immer eine möglichst flexible und ungehinderte Datenverwendung anstrebt. Dies steht im Widerspruch zu den vielfach gesetzlich vorgegebenen engen Zweckbindungen von Behördendaten. Eine 'Aufweichung' dieser Zweckbindungen zur Erhöhung des privatwirtschaftlichen Benutzerkomforts ist zu erwarten.

Auch die zum Funktionieren des Systems notwendigen zentralen Gebäude-, Wohnungs-, Dokumenten- und Unternehmensregister sind zusätzliche, objektiv zur Überwachung geeignete Instrumente.


Wichtige Ziele einer Verwaltungsreform fehlen

In der Verwaltung warten eine Fülle von Themen einer Reform, hier sollen nur einige in Stichworten angedeutet werden:
- Sicherung eines barrierefreien/behindertengerechten Zugangs:
Es sollte die Verpflichtung zum barrierefreien Zugang für neue Anwendungen sofort eingeführt werden, für bestehende die Umsetzung bis 31.12.2005.
- Die Umsetzung der zentralen Bürgeranliegen, wie schnellere Verwaltungsabläufe, bessere Terminkoordination und -kontrolle sowie transparentere Behörden-Zuständigkeiten, werden im Gesetz nicht erwähnt. Hier liegt ein gewaltiges behördeninternes e-government-Potential, das vorrangig umgesetzt werden sollte. Positiv ist zu erwähnen, dass einzelne Länder hier schon längst ohne e-government-Gesetz und Bürgerkarte vorbildliche Lösungen vorweisen.
- Verbesserung der Hilfestellung von Bürgern durch bessere Informationsvernetzung der Behörden untereinander fehlen.


Die Zukunft der Bürgerkarte - ein 'BTX/Bildschirmtext' Schicksal

Die wahrscheinlichste Entwicklung ist, analog zu 'BTX', dass man nach mehreren Probejahren feststellen wird, dass das System zu kompliziert, technisch veraltet und nicht praxistauglich ist.

Unter dem Kürzel 'BTX' wurde in Österreich ab 1982 versucht, unter Zusammenwirken der damaligen Post- und Telegraphenverwaltung, einiger Großfirmen, der TU Graz und einer eigens gegründeten steirischen Firma eine monopolartige elektronische Informationsstruktur aufzubauen. Dies entgegen aller Warnungen, da schon damals offene Informationslösungen existierten und die BTX-Geräte, Software und Standards technisch extrem kompliziert und international isoliert waren.

Statt der prognostizierten mehreren hundertausend Geräte wurden bloß einige tausend verkauft, in mehreren undurchsichtigen Förderaktionen wurden unter anderem Schulen 'beglückt'. Die Großfirmen stiegen relativ bald wieder aus, das steirische Unternehmen gab auf.

Abgesehen von den verschleuderten Millionenbeträgen hatte dieses Projekt für die gesamte österreichische IT-Entwicklung Nachteile. Alternative Informationsprojekte wurden blockiert und die Liberalisierung des Anbietermarktes verzögert. Erst 1994 konnte mit dem massiven Einsatz von Internet die IT-Krise überwunden werden.

Die Parallelen sind frappant. Auch das Bürgerkartenprojekt, eine Schöpfung der TU Graz, versucht Informationsprozeduren zu monopolisieren und wird von Regierungsseite massiv gesponsert. Alternative Lösungen werden blockiert und sollen ab 1.1.2008 überhaupt verboten werden.

Wer wettet gegen das Scheitern der Bürgerkarte?
Der Obmann der ARGE DATEN, Hans G. Zeger, geht gern mit Bürgerkartenfans die Wette ein, dass in drei Jahren die Mehrzahl der angebotenen e-government-Lösungen ohne Bürgerkarte benutzt werden kann und dass die Gesamtzahl der tatsächlich durchgeführten Transaktionen mit Bürgerkarten keine 10% der Gesamtzahl der Transaktionen im e-commerce- und e-government-Bereich erreichen werden. Wetteinsatz eine Kiste Champagner, es muss ja nicht der teuerste sein.

Bisher sind zwei Personen auf die Wette eingegangen:
- Mag. Christoph Reissner, A-TRUST und
- Mag. Harald Neumann, GF BRZ Gmbh
Lassen wir uns am 1.3.2007 überaschen.

Archiv --> Bürgerkarte - Nationalrat beschließt teuren Symbolismus
Archiv --> Datenschutzprobleme im Zusammenhang mit e-government/elektroni...
Archiv --> http://ftp.freenet.at/privacy/gesetze/StellungnahmeEGovernmentGesetz.pdf

Die angezeigten Informationen sind ausschliesslich zur persönlichen Nutzung im Rahmen der A-CERT Zertifizierungsdienste bestimmt. Beachten Sie die gültige Certificate Policy. GLOBALTRUST® ist die EU-weit registrierte Marke der ARGE DATEN, die angebotenen Zertifizierungsdienste werden gemäß Signaturgesetz betrieben. Die Verwendung des A-CERT Logos ist nur Inhabern von gültigen A-CERT Zertifikaten oder nach ausdrücklicher schriftlicher Genehmigung gestattet. Vertrieb und technische Betreuung erfolgt durch unseren Kooperationspartner e-commerce monitoring gmbh Irrtum vorbehalten.

A-CERT /  ®GLOBALTRUST 2002-2014powered by e-commerce monitoring gmbh  impressum  agb  webmaster
Datenschutz, Privatsphäre, Privacy, Informationsrecht, Datensicherheit, Inhouse-Schulung, Datenschutzbeauftragter, DSB, Österreich, Austria, Wien, Internet, Telekommunikation, Personendaten, Auftraggeber, Dienstleister, datenschutz-seminar.at, privacy-day.at, privacyday.at, Cloud Computing, datenschutz-seminare, Vorratsdatenspeicherung, Vorratsspeicherung, datenschutz tag, hacking, hacker, Whistleblowing, RFID, social media, Web 2.0, Web2.0, informationelle Selbstbestimmung, datenschutz tagung, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect, Video Surveillance, CCTV