“Siemens und Openlimit entwickeln Bürgerclient – Anwendungssoftware für den elektronischen Personalausweis” (golem.de)

Siemens wird zusammen mit Openlimit den sogenannten Bürgerclient für den elektronischen Personalausweis entwickeln. Den entsprechenden Auftrag vergab das Bundesinnenministerium jetzt an Siemens IT Solutions and Services, Openlimit und die Bundesdruckerei.

Dieser “Bürgerclient” ist die Software, die auf dem Computer des Bürgers installiert sein muss, die dann die Kommunikation zwischen dem Kartenlesegerät und dem eID-Server herstellt. Es ist eine der Komponenten der ich vertrauen muss, dass sie mit meinen Daten keinen Mist baut.

Die eigentliche Bürgerclient-Software soll Openlimit entwickeln.

“Adhoc-Mitteilung: OpenLimit realisiert den Bürger-Client” (openlimit.com)

Ok, dies ist nur mal wieder etwas Cross-Site Scripting, was wohl an dem CMS bzw. der Form-Erweiterung liegt, aber trotzdem schwindet mein Vertrauen, wenn ich so etwas sehe.

Wer an solch sensiblen Projekten arbeitet, der muss ganz besonders darauf achten, dass nicht der Hauch von Misstrauen auftaucht. Da ich nun annehmen muss, dass diese Firma Software aus fremden Quellen ungeprüft verwendet, stellen sich mir verschiedene Fragen:

• Wird im “Bürgerclient” auch Fremdsoftware zum Einsatz kommen?
  • Ist dies Open Source, damit man prüfen kann was sie mit den Daten anstellt?
  • Wenn es kein Open Source ist, wie wird dann geprüft, um unerwünschte Funktionen darin aufzuspüren?
• Wer bekommt die Möglichkeit in den Quellcode zu schauen, um zu prüfen, was der “Bürgerclient” mit den Daten anstellt?

Da die Verteilung über die Einwohnermeldeämter und deren Websites erfolgen soll, frage ich mich, wie man dort verhindern will, dass manipulierte Versionen unter das Volk gebracht werden?

Im letzten Jahr schrieb ich in “Meldedaten leck(t)en ins Netz” über diese Ämter, weshalb die Frage nicht ganz unberechtigt ist. Mehr als ein Jahr ist in der IT eine halbe Ewigkeit, in der sich viel ändern kann, aber bei den Ämtern?

Am Arbeitslosenamt sah man in den letzten Wochen ja wie man dort tickt:
“Bewerber und Betrüger” (sueddeutsche.de)

Jeder, der sich als Arbeitgeber ausgibt, kommt über die Jobbörse der Arbeitsagentur an sensible Bewerberdaten.

Man wollte erst nichts an der bisherigen Praxis ändern:

“Im Hinblick auf die Engpässe am Arbeitsmarkt wollte die BA eine Erhöhung der Einstiegsbarrieren für die Jobbörse vermeiden”, heißt es in einer Stellungnahme.

Erst nach dem “Missbrauch der Jobbörse der Arbeitsagentur” (faz.net) wollte man handeln:

Die Bundesagentur reagierte auf diesen und ähnliche Vorfälle und verschärft die Zulassungsbedingungen für Arbeitgeber, wie BA-Vorstandsmitglied Raimund Becker gegenüber der F.A.Z. sagte

Und hier “Datenschutzmängel bei neuem Computersystem der Arbeitsagentur” (heise.de) wurde über die Datenbank geschrieben, über die jeder der beim Arbeitslosenamt angestellt ist, auf die Datensätze aller Arbeitslosen zugreifen kann.

Und wenn ich dann auf Golem noch

Unternehmen und Institutionen müssen sich ebenfalls authentifizieren, um auf die Daten der Bürger zugreifen zu dürfen.

lese, so wird mir ganz schlecht. Beim Arbeitslosenamt hat es bisher ausgereicht sich als Arbeitgeber auszugeben, um an die Daten der Arbeitssuchenden zu kommen und bei den Meldeämtern reicht es noch immer aus, wenn man ein paar Euro bezahlt, um an Meldedaten der Bürger zu gelangen, sofern diese der Weitergabe nicht explizit widersprochen haben.

Da werden wir wohl die ersten Missbrauchsfälle abwarten müssen, bis man sich mit großer Vorsicht dem ePerso und dem “Bürgerclient” nähern kann.


Nach wie vor glaube ich nicht, dass die Verantwortlichen in Politik, Wirtschaft und Verwaltung schon reif genug sind, um Projekte solcher Tragweite, unter das Volk zu bringen.