"Krawall-Influencerin" Lilith Wittmann: "Baut intern Kompetenz auf"

Lilith Wittmann deckte die Mängel der staatlichen Ausweis-App ID Wallet auf. Im c’t-Interview fordert sie die Bundesregierung auf, aus dem Debakel zu lernen.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 518 Beiträge
, Bild: Martin Moerke, CC BY-SA 4.0

(Bild: Martin Moerke, CC BY-SA 4.0)

Von
  • Christian Wölbert
  • Holger Bleich

Lilith Wittmann bezeichnet sich auf Twitter als „Krawall-Influencerin“ und „schwarzer Block der Verwaltungsdigitalisierung“. Regelmäßig legt sie sich öffentlich mit Behörden und Politikern an. Sie twittert aber nicht nur, sie deckt auch immer wieder Sicherheitslücken auf: Im Frühjahr zerpflückte sie eine Wahlkampf-App der CDU, im Sommer die Videokonferenzsoftware der bayerischen Schulen, im Herbst die ID-Wallet-App der Bundesregierung. c’t sprach mit ihr über die Lehren aus dem ID-Wallet-Fall. Der Staat müsse endlich selbst IT-Know-how aufbauen, statt Projekte an Berater auszulagern, fordert sie. Und statt auf ID Wallet sollte die Politik auf den E-Perso setzen.

Mehr von c't Magazin Mehr von c't Magazin

c’t: Frau Wittmann, warum setzen Sie sich so intensiv mit staatlichen Digitalprojekten auseinander?

Lilith Wittmann: Ich beschäftige mich beruflich seit vielen Jahren mit Digitalisierung und habe in der Privatwirtschaft viele spannende Produkte gebaut. Irgendwann habe ich mich gefragt, warum das beim Staat nicht funktioniert.

c’t: Sie haben zusammen mit einem anderen Sicherheitsforscher demonstriert, wie leicht Angreifer Daten aus der Ausweis-App ID Wallet stehlen konnten. Wie konnte es so weit kommen, dass die Bundesregierung eine derart unsichere App veröffentlichte?

Wittmann: ID Wallet ist ein anschauliches Beispiel. Das Projekt entstand, weil Angela Merkel ihr letztes Kanzlerinnenjahr zum Jahr der Digitalisierung machen wollte. Wenn man Merkel ist, geht man dann zu seinem Digitalreferat im Bundeskanzleramt. Dort sitzt aber keine einzige Person mit IT-Hintergrund. Also wurde IBM reingeholt, plus eine kleinere Beratungsfirma namens Esatus. Die haben schnell eine App gebaut. Doch weder IBM noch Esatus noch das Bundeskanzleramt hatten Kompetenz darin, wie man das datensicher macht. Kurz vor der Wahl kam die politische Entscheidung, die App zu veröffentlichen, damit die CDU schön digital ist. Und dann haben wir keine 48 Stunden gebraucht, um das Ding komplett zu zerlegen.

c’t: Was sollte die neue Bundesregierung aus dem Fall lernen?

Wittmann: Für mich ist der Kernpunkt: Die Verwaltung hat aus diesem Debakel relativ wenig gelernt, insbesondere auf der technischen Ebene. Denn das Projekt war komplett ausgelagert. In der Verwaltung gab es nur zwei Personen, die es gesteuert haben.

Mein wichtigster Appell an die neue Bundesregierung ist deshalb: Baut endlich intern Kompetenz auf! Das Externalisieren von Digitalprojekten muss aufhören. Eine digitale ID ist kein Projekt, das man zu einer Agentur schmeißt, und dann ist das fertig. Das ist Basisinfrastruktur, um die sich der Staat kümmern muss.

c’t: Ein typisches Argument der Politik für das Auslagern von IT-Projekten an Berater lautet, dass der Bedarf temporär ist. Ist da nicht auch etwas dran?

Wittmann: Das ist völliger Bullshit. Digitalprojekte sind immer Produkte. Davon baut man eine erste Version und arbeitet darauf iterativ weiter. Gerade Basisinfrastruktur ist nie fertig. Die Schienen für die Bahn sind auch nie fertig.

c’t: Trotzdem gibt es manchmal auch Arbeitsspitzen, zum Beispiel, wenn einmalig ein Algorithmus für die Grundrente programmiert werden muss.

Wittmann: Ja, manchmal hat man Spitzen, gerade am Anfang. Dann kann man für sechs oder zwölf Monate 100 Leute dazuholen. Aber es müssen auch 100 interne Leute da sein. Wenn die 100 Externen wieder gehen, darf die Kompetenz nicht weg sein.

c’t: Die Corona-Warn-App wurde von SAP und der Telekom entwickelt. Bis das Bundesgesundheitsministerium so etwas alleine schafft, wäre es noch ein ziemlich weiter Weg, oder?

Wittmann: Hätte man zu Anfang der Pandemie gesagt: Wir suchen 200 festangestellte Entwickler, wir zahlen, was der Markt verlangt, und ihr dürft dabei helfen, Deutschland vor Corona zu retten, dann hätten die Leute dem Ministerium die Bude eingerannt. Aber ich gebe zu, es hätte wohl drei Monate länger gedauert, wegen der Einarbeitung.

c’t: Wie realistisch ist es, dass der Staat den Entwicklern ein marktübliches Gehalt zahlt?

Wittmann: Tatsächlich stufen viele Behörden ihre Entwickler nur in den mittleren oder gehobenen Dienst ein. Das ist zu weit weg vom Marktniveau. Aber man kann Entwickler auch in den höheren Dienst einstufen. Dann sind gemäß Tarif rund 75.000 Euro im Jahr drin. Das ist nicht top, aber gut. Manche Behörden machen das auch schon so. Und zum Vergleich: Ein externer Softwareentwickler kostet 15.000 bis 25.000 Euro pro Monat.

c’t: Auf Twitter formulieren Sie Ihre Kritik oft ziemlich scharf. Zum Beispiel haben Sie der neuen Innenministerin Nancy Faeser vorgeworfen, sie sei „auf dem Schoß“ bestimmter Beratungsfirmen auf einem Kongress aufgetreten. Wie haben Sie das gemeint?

Wittmann: Genauso, wie ich es gesagt habe. Man muss sich anschauen, wer die Konferenz organisiert hat: ein großes Beratungshaus. Da waren mehr Berater als Leute aus der Bundesverwaltung, auf den Bühnen, im Publikum.

c’t: Es schwingt aber auch der Vorwurf mit, dass Kumpanei herrscht und Aufträge zugeschustert werden.

Wittmann: Ich will nicht sagen, dass da Geld fließt. Aber es gibt sehr enge Beziehungen zwischen den Beratungshäusern und der Bundesverwaltung. Wenn ich jemanden von IBM sehr gut kenne, werde ich IBM auch für das nächste Projekt fragen. Natürlich gibt es eine Ausschreibung. Aber die wird häufig auch von einer Beratungsfirma geschrieben. Nicht von der Firma, die gewinnt, aber von einer der anderen.

c’t: Sie bezeichnen sich als „Krawall-Influencerin“. Glauben Sie, dass Sie mehr erreichen, wenn Sie scharf formulieren?

Wittmann: Ich glaube, das kann sehr gesund sein. Die Verwaltungsdigitalisierung ist eine Blase an Leuten, die sich den ganzen Tag selbst bestätigen. Da muss man auch mal sagen, hey Leute, das geht so nicht, das ist alles scheiße. Das ist bei mir selten unfundiert, und ich kann es erklären. Primär bin ich Aktivistin, deswegen finde ich es legitim, scharf zu formulieren.

c’t: Nach dem ID-Wallet-Debakel stellt sich auch die Frage, auf welche Technik für digitale Identität die Bundesregierung setzen sollte. Auf den Ansatz der Self-Sovereign Identity (SSI), der mit ID Wallet im ersten Anlauf gescheitert ist? Oder auf den E-Perso, den seit zehn Jahren kaum jemand nutzt?

Wittmann: Diese ganze SSI-Geschichte ist fundamentaler Quatsch. Ich kann eine staatliche Identität nicht besitzen. Der Staat braucht per definitionem eine gewisse Kontrolle darüber. Außerdem gehört zu SSI die Idee, dass Bürger ihre komplette Identität beliebig weitergeben. Wenn ich mich zum Beispiel bei einem Onlineshop identifiziere, bekommt dieser den digital signierten Ausweis und kann ihn speichern. Wenn es dann einen Datenabfluss gibt, fließen garantiert echte, staatlich verifizierte Daten ab. Dann haben wir irgendwann ein offenes Buch, das zeigt, wer alles in Deutschland lebt, mit allen Daten. Das finde ich gefährlich.

c’t: Und der E-Perso?

Wittmann: Das Modell des E-Perso finde ich halbwegs in Ordnung. Das ist zehn Jahre abgehangen, und da gehen keine digital signierten Ausweisdaten an Dritte. Wenn Daten abfließen, ist das zwar auch schlimm. Aber es ist nicht nachweisbar, dass sie echt sind. Außerdem hat der E-Perso den Vorteil, dass er einen eigenen Chip hat. Ich bin ein Riesenfan davon, Kryptografie in Hardware umzusetzen. Das ist in der Regel offline, niemand kann zugreifen. Wenn ich mich ausweisen muss, nehme ich das Ding aus der Hosentasche, halte es kurz ans Handy, fertig.

c’t: Die Bundesregierung will den E-Perso in Smartphones integrieren. Dabei sollen die Ausweisdaten in einem speziellen Sicherheitschip gespeichert werden. Was halten Sie davon?

Wittmann: Das finde ich nicht per se falsch, das kann man machen. Ich glaube aber, dass nur wenige Handyhersteller das unterstützen werden. Wenn man bedenkt, was dieses Projekt bisher gekostet hat, wäre es deutlich sinnvoller, wenn die Bundesregierung es für Unternehmen kostenlos macht, den E-Perso in ihre Onlinedienste einzubinden. Dann hätte der E-Perso einen Marktvorteil: Mehr Unternehmen würden ihn implementieren, und mehr Bürgerinnen und Bürger würden ihn nutzen. Auf diesen Plattformeffekt sollten wir setzen, statt digitale Identitäten ständig neu zu erfinden.

c’t: Dann müssen wir weiter die Ausweiskarte umständlich mit dem Handy auslesen. Glauben Sie wirklich, dass der E-Perso so den Durchbruch schafft?

Wittmann: Der Aufwand ist halbwegs vertretbar, für das, was man da gerade tut. Man sollte den Leuten auch immer bewusst machen: Hey, du zeigst da gerade deinen Ausweis. Ich möchte das gar nicht so einfach machen, wie es irgend geht. Wir sollten nicht in einer Welt landen, in der man bei jedem Login im Internet seinen Ausweis zeigt. Denn es wird immer Datenabflüsse geben.

c’t: Einige Länder nutzen eine zentrale ID-Lösung. Die Ausweisdaten liegen nicht in der Hand des Nutzers wie beim E-Perso, sondern auf einem Server. Wie sehen Sie solche Systeme?

Wittmann: Da gibt es jetzt einen Fall in der Ukraine. Die hat so ein zentrales System. Das ist richtig nutzerfreundlich, schön designt und gut gemacht. Jetzt sind aber auch 20 Millionen Ausweisdatensätze im Internet. Die hatten nämlich einen Datenabfluss. Das ist meine Antwort auf diese Frage.

Im Video sehen Sie das Interview in voller Länge.

c't Ausgabe 11/2022

(Bild: 

c't 11/22

)

Windows 10 oder Windows 11? Wir zeigen, welches Windows in puncto Leistung, Sicherheit und Account-Zwang besser abschneidet und wie das Downgrade auf Windows 10 gelingt. Außerdem haben wir Schwarz-Weiß-Drucker für das kleine Büro oder das Homeoffice getestet und uns die Linux-Distributionen Ubuntu 22.04 LTS und Fedora 36 angesehen. Dazu gibt es frische Raspi-Projekte, die Probleme lösen oder Spaß machen.

(cwo)