February 15, 2014

eID – Die AusweisApp im Neuland

Seit dem 1.11.2010 gibt es in Deutschland den neuen Personalausweis mit der Möglichkeit der Nutzung der integrierten eID.  Seit Anfang Januar 2013 bin ich im Besitz eines solchen und ich habe mir gleich einen Kartenleser bestellt gehabt, den ReinerSCT CyberJack Komfort. Fast 160 EUR, aber das ist ja nicht zu viel, wenn man in Zukunft papierlos mit den Behörden kommunizieren kann – das war zumindest damals der Plan.

musterfrau

Die Installation der AusweisApp war dann leider ein mittleres Drama unter Mac OS X. Letztlich habe ich die AusweisApp unter vmware und einem Windows 7 ans Laufen gebracht, aber auch nur mit ein paar technischen Kniffs, die für den Standardanwender wohl oder übel böhmische Dörfer sind.

Anfang 2013 gab es aber noch wenig Dienste, die man nutzen konnte und ich hatte auch nicht die Zeit mich intensiver mit der Materie zu beschäftigen. Diese Woche habe ich einen neuen Versuch unternommen, jetzt unter OS X Mavericks.

Die AuweisApp auf modernen 64-Bit Betriebssystem und Browsern

Im Oktober 2013 kam OS X (Mavericks) von Apple auf den Markt. Leider funktioniert die AusweisApp noch nicht unter diesem Betriebssystem. Zwar wird die Applikation geladen, aber der Reiner Kartenleser kann nicht benutzt werden. Laut Foren liegt das an der fehlenden 64-bit Unterstützung der AusweisApp.

Das BSI kündigt, laut Foren, ein Update “wahrscheinlich” im ersten Quartal 2014 an. Solche neuen Betriebssysteme kommen ja auch völlig unerwartet auf den Markt.

Auch unter Windows 8, in der 64-Bit Version ist es mir nicht gelungen, die AusweisApp funktionstüchtig zu installieren. Auf der FAQ Seite für unterstützte Betriebssysteme der AusweisApp wird das Thema auch wissentlich verschwiegen, aber es erscheint trotzdem der Eindruck, dass lediglich 32-bit Systeme derzeit unterstützt werden.

Die Browser FAQ spricht für sich (hanebüchen!):

browser_faq

Internet Explorer 6? Firefox 17? Das klingt alles ein wenig, wie aus einem schlechten Film. So stellt sich dann auch die Situation leider im Detail dar.
Selbst in der ESR Version ist seit ein paar Wochen Firefox Release 27 aktuell. Findet man im Netz noch irgendwo Firefox ESR 17, dann wird es automatisch nach dem ersten Start auf die neuste Version aktualisiert.

Mit ein paar tiefergehenden IT Kenntnissen lässt sich das zwar unterbinden, aber es ist sicher nicht im Sinne des Erfinders, vor allem nicht des BSI, dass Anwender unsichere Versionen eines Browsers nutzen, nur um die Funktionen der eID zu nutzen, die ja eben grösstmögliche Sicherheit versprechen.

Natürlich funktioniert die ‘AusweisApp’ nicht unter der neusten Version von Firefox:

fehler_ausweis_app

openlimit.de, der Hersteller dieser Extension verweist in den Links zur AusweisApp lediglich auf Seiten des BSI. Die Seiten von Openlimit zur AusweisApp scheinen seit 4 Jahren nicht aktualisiert worden zu sein … die Spezifikationen von Browsern und Betriebssystemen, die für einen reibungslosen Betrieb benötigt werden, sind jedenfalls nicht mehr aktuell.

Abhilfe durch die Alternative PersoApp?

Die AusweisApp war von Anfang an umstritten. Der Code zu mächtig, die Abhängigkeit von Browsern und Betriebssystemen in bestimmten Ausführungen einfach zu groß. Demzufolge ist es nur logisch, dass alternative Anbieter die Hilflosigkeit des BSI nutzen um eigene, bessere Produkte auf den Markt zu bringen.

Dabei ging es dem Bund eigentlich von Anfang an darum eine einfache Lösung zu implementieren:

Der ursprüngliche Name wurde im Juli 2010 geändert. Als Begründung wurde aufgeführt, dass der Begriff “Bürgerclient” ungeeignet für ein schnelles und leichtes Verständnis und damit eine schnelle Akzeptanz durch die Bürger ist. Speziell die Bedeutung des Begriffes “Client” ist für normale Bürger nicht klar verständlich und im Deutschen nicht zwingend positiv besetzt. Die Umbenennung des Bürgerclient in AusweisApp basierte auf einer Studie des Hasso-Plattner-Institutes in Potsdam.
(Quelle: http://www.der-eid-client.de/)

Wenn man es schon rein semantisch gerne möglichst einfach hätte, dann sollte man wohl davon ausgehen, dass der Bund die selben Anforderungen an die Bedienung hat. Die gleiche Seite offenbart auch, dass der Bund selber die Segel streicht und seit April 2013 eine neue Herangehensweise fördert: die PersoApp.

Der Begriff PersoApp bezeichnet vielmehr ein Projekt als eine Software. Dabei handelt es sich um ein Projekt, welches vom Bund seit April 2013 gefördert wird. Im Rahmen dieses Projektes wird eine eID-Open-Source-Community gegründet und anschließend betreut, die sich der Entwicklung von freizugänglicher eID-Client-Software zur Nutzung Online-Ausweisfunktion (auch eID-Funktion genannt) des neuen Personalausweises widmet.

Das Projekt PersoApp wird von drei Projektbeteiligten umgesetzt, diese sind die Technischen Universität Darmstadt, das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) im Rahmen des Centers for Advanced Security Research Darmstadt (CASED) und die AGETO Service GmbH.

Die Laufzeit des Projektes dauert 3 Jahre. In dieser Zeit wird eine eID-Open-Source-Entwicklergemeinde initialisiert und eine entsprechende Entwicklungsplattform bereitgestellt. Auf dieser wird es den eID-Open-Source-Software-Entwicklern möglich seine eigene eID-Client-Software zur Nutzung der Online-Ausweisfunktion des neuen Personalausweises zu entwickeln. So ist es denkbar, dass Entwickler speziell einen eID-Client zur Nutzung des neuen Personalausweises z. B. für Onlineanwendungen von Versicherungen und andere Entwickler einen eID-Client mit Fokus zur Online-KfZ-Anmeldung entwickeln.

Die Firma AGETO Service GmbH betreibt, neben Ihrer Online-Präsenz zu Ihrem eID-Client,  auch ein eigenes Informationsportal: www.ausweis-portal.de. Die AGETO Service Gmbh hat zahlreiche Preise gewonnen und so löblich wie deren Initiativen sind, scheint aber auch diese Online-Seite seit Jahren nicht aktualisiert worden zu sein. Entweder funktionieren Links nicht, oder aber es wird zur Standard AusweisApp verlinkt. Hilft uns also auf OS X Mavericks und Windows 8 64-Bit auch nicht weiter.

Abhilfe durch die Alternative openecard.org!

Auf der Seite openecard.org kann man unter Downloads eine Alternative zu der AusweisApp herunterladen. Auch diese Alternative ist in Java programmiert, funktioniert allerdings under OS X, Windows 8 und Linux – inklusive der 64-Bit Versionen der Betriebssysteme.

Es ist wichtig nach der Installation der Java-Programs auch noch die Browser-Extension zu installieren, durch Klicken auf das jeweilige Browser-Symbol im Download-Bereich.

Diese Browser-Extension übersetzt den Zugriff zur AusweisApp, also im Prinzip werden alle Seiten, die die AusweisApp benötigen, vorgegaukelt, dass es sich um die Ausweis-App handelt.

Das klappt erstaunlich gut, von den Verwaltungszeiten der Stadt München, Schufa, Deutsche Rentenversicherung, bis zum Kraftfahrtbundesamt klappten die Zugriffe absolut problemlos.

Nach einem Doppelklick der Java-Applikation, erscheint das openecard-Logo in der Menüleiste.

openecardapp

Nach dem Anstöpseln des Kartenlesers wird dieser sofort erkannt.

noterminalfound-1

Nach dem Einlegen des neuen Personalausweises, wird auch dieser in Echtzeit erkannt und die Statusmeldung wechselt entsprechend.

cardfound-1

Jetzt kann man sich auf fast allen AusweisApp ausweisen (lediglich der Dienst elsteronline.de hat bei mir bis jetzt nicht funktioniert). Oder man ändert über die Konfiguration z.B. seine PIN. Auch das klappte im Test zuversichtlich und anstandslos.

pinmanagement-3

Fazit

Bis die AusweisApp irgendwann optimiert wird, scheint die openecard Alternative derzeit die einzige Möglichkeit zu sein, die eID Funktion des neuen Personalausweises relativ einfach, und ohne grossen, technischen Erfahrungen zu installieren.

Allerdings ist auch diese Applikation in Java programmiert, das sicher heute nicht mehr zeitgemäß ist, schon gar nicht im Zusammenhang mit sicherheitsrelevanten Anwendungen. Es gibt durchaus einen Grund, wieso Firmen wie Apple Java versuchen zu ignorieren. Es gibt zu viele Sicherheitspatches, und zu viele Probleme mit Abwärtskompatibilitäten bei den neusten Versionen.

Eine Ausweis-Applikation wird aber nur dann ein Erfolg werden, wenn die benötigten Komponenten zur Identifizierung kinderleicht zu installieren und zu bedienen sind. Derzeit ist das schlicht und ergreifend leider nicht der Fall.

Sicherheit in der IT ist ein komplexes Thema, aber fast 4 Jahre nach der Einführung sollte es doch möglich sein stabile Lösungen anzubieten und das Thema nicht als “Neuland” zu betrachten.

Andere Länder sind hier wesentlich weiter, und auch die freie Marktwirtschaft hat hier stabile Lösungen, oder sind all Cardreader für das Home-Banking per se unsicher?

Am meisten erstaunt mich, das es obwohl immer mehr Firmen, Gemeinde und Ämter gibt, die die eID Ausweisfunktion anbieten, entweder keine oder eine veraltete Kommunikation gibt, wie man diese Funktionen auf allen Rechnern bedienen kann.

Im post-PC Zeitalter stellt sich auch die Frage, wie sich das Thema in Zukunft entwickeln wird. Selbst wenn es eine stabile und einfache Hard- und Software-Lösung geben würde, gebe es heute schon einen realen Bedarf, dass die Funktionen auch auf mobilen Endgeräten benutzt werden. Wer will schon auf Reisen auch noch sein Karten-Lesegerät mit sich rumschleppen.

Wenn jemand noch andere Alternativen kennt, Tipps und Tricks, dann bitte ich um kurze Mitteilung. Dieser Artikel entstannt als Ergebnis einer halbtägigen, frustrierender Recherche, er hat keinen Anspruch auf Vollständigkeit.

Jeannot Muller

Entrepreneur, developer, author.

Click Here to Leave a Comment Below

Leave a Reply: