Transcript
Einspieler
Torsten:
[0:38] Ja hallo und herzlich willkommen zur 96. Folge des E-Government-Podcasts. Ich habe heute zwei Gäste, die dem einen oder anderen auf Twitter mit Sicherheit ein Begriff sind. Einmal Christian, einmal Manuel. Hallo ihr beiden.
Vielleicht mal vorstellen. Fangen wir einfach mal mit Manuel als erstes an. Manuel, wer bist du genau?
Manuel:
[0:59] Mein Name ist Manuel Attok. Ich arbeite als Head of Business Development bei der High Solutions AG als IT-Sicherheitsberater mit dem Schwerpunkt,
schutzkritischer Infrastrukturen.
Und in meiner Freizeit beschäftige ich mich um Dinge wie äh gründen und betreiben einer unabhängigen Arbeitsgemeinschaft kritischer Infrastrukturen. Also in der unabhängigen AG Kritis.
Und äh befasse mich noch mit den Themen Hackback, Ethik, Katastrophenschutz, was alles so aus diesem Kriterienfrastruktur und der Grundversorgung der Zivilbevölkerung äh entstanden ist.
Torsten:
[1:33] Ja schön, dass du da bist. Äh Christian, wer bist du?
Christian:
[1:37] Ja, Christian Carlo mein Name, ähm Security Architekt bei der ist seit 12 Jahren mit dem Thema ID auch unterwegs,
Arbeitsgruppen vom BSI selber diverse Dinge dort implementiert.
Insgesamt seit 20 Jahren ungefähr AED, als das Ganze aufkam mit dem Thema E-Commerce. Damals beim Kaufhaus des Bundes, QES-Karten eingebaut für die Identifizierung der Mitarbeiter unserer Freigabe von Orders, darüber über und die Identtrost System Conference,
gegangen, das heißt das Thema ID und auch alle ID-Verfahren, die dazugehören, ne, irgendwo gesehen, viel auch im Bereich rumgerührt und gebaut und gemacht.
Daher eben mal tief in dem Thema drin und beobachte natürlich auch die aktuellen Projekte daher.
Torsten:
[2:18] Ja, ich freue mich, dass ihr beide hier seid. Ich euch auch mal hier leider nur virtuell sehe, aber immerhin sehe. Und wir haben uns heute hier zusammengefunden, um über Lok for Schell zu sprechen. Nein, natürlich nicht. Nein.
Manuel:
[2:33] Ich jetzt auch machen, aber das habe ich schon Tag und Nacht die letzten Tage gemacht.
Torsten:
[2:37] Nein, wir wir sprechen hier natürlich über was anderes, weil wenn ich hier ID-Experten habe und Sicherheitsexperten, dann spreche ich natürlich nicht über irgendwelche Javakrams, sondern wir wollten über die ID Mollet sprechen.
Vor ungefähr zwei Monaten geplatzt ist und ähm das wollten wir uns einfach mal angucken. Was da passiert ist, was.
Manuel:
[2:58] Ich hätte ja eher gesagt, die ist in einem Feuerball aufgegangen, aber geplatzt, kann man auch sagen, ja.
Torsten:
[3:03] Ja lass uns lass uns doch diese diese Kraftausdrücke erst für später verwenden und äh wir fangen mal an sanft an.
Manuel:
[3:10] Okay, wir fangen sanft an mit einem geplatzten Feuerball. Verstehe.
Torsten:
[3:13] Genau, mag einer von euch zusammenfassen, was passiert ist oder ähm gleich einsteigen?
Manuel:
[3:20] Na ja, die Kurzfassung kann ich ja mal kurz vorgreifen. CK kann ja dann mal die Details liefern, aber äh wenn wenn wir dann einsteigen.
Im Endeffekt hat sich äh das Bundeskanzleramt gedacht, äh och, wir haben so eine AID seit vielen Jahren, die echt funktioniert, aber irgendwie nicht gut beworben wurde und keiner versteht,
wie man digitale Identitäten nutzt, um den digitalen Staat, na dann äh machen wir jetzt was eigenes und zwar am Tisch mit Blockchain.
Ach nein, ist ja nicht Blockchain, sondern mir wurde ein Projekt erklärt, das ist DLT, Distribute, Gletscher und gar nicht Blockchain. Das ist ja was ganz anderes. Aber man hat eben gesagt, wir machen das jetzt mit einer mit einer Blockchain-ähnlichen DLT-Struktur.
Und ähm ja, das Ganze hat man dann äh versucht auf die Beine zu setzen mit IBM und der Digital En Apling GmbH von,
Äh von als Tochter oder ja doch Tochtergesellschaft ist es glaube ich,
die haben also die die App geschrieben und IBM hat halt die äh,
den sozusagen bereitgestellt und dann hat man im Bundeskanzleramt versucht, das Ganze äh umzusetzen und ähm ja wie es so kommt, wenn man Blockchain einsetzt, ne? Man glaubt immer fest dran, aber am Ende zählen halt harte Fakten,
man hat's online gesetzt, dann haben Leute draufgeguckt, dann hat sich eine eigene Dynamik entwickelt, jeder hat auf ein Stück geguckt, aber jedes Stück, was man anguckt, hat äh.
[4:45] Wie hast du gesagt? Es ist geplatzt, genau und dann gab's äh,
gab's nach vielen kleinen äh Platzern einen einen großen geplatzten Feuerball, weil äh die die ganze Infrastruktur war unsicher, die die Blockchain war irgendwie äh schrubbelig und hatte
Angriffsmöglichkeiten bei verifizierten, digitalen also verifizierten äh ähm digitalen Identitäten.
So der ultimative Gou, der eigentlich passiert, wenn du wenn du so was hast ähm ja das war kurz vor der.
Vor der Wahl. Äh man wollte anscheinend kurz vor der Wahl unbedingt noch online gehen mit dem Ding, um irgendwie zu sagen, juhu, wir haben hier ein Leuchtturmprojekt,
Hast du diesen Begriff Leuchtturm inzwischen, aber im Digitalen nutzt man das ja gerne da in der Verwaltung,
Ja und dann äh war's halt kaputt und äh man hat gesagt, na ja, das ist jetzt eine Woche hat Schwierigkeiten wegen Überlast,
Nicht nur die Ballast. Wir müssen ein paar Dinge korrigieren. Na gut, wir brauchen noch was längeren Monat,
inzwischen sind ja, du hast gesagt, zwei Monate rum und äh planen es im April, also in circa vier bis fünf Monaten,
Wieder online zu kommen mit dem Ding. Also es ist äh ich glaube ein geplatzter Feuerball trifft es dann ganz gut.
Christian:
[5:58] Ergänze ich mal.
Torsten:
[5:59] Ergänzt mal bevor ich bevor ich das Ganze aufdröse, weil ihr habt wieder so viele äh Fachworte gesagt, da muss ich gleich da nochmal reingrätschen.
Christian:
[6:06] Also vielleicht eine kleine Vereinfachung, IBM spricht selber in seinem Sicherheitskonzept von der IBM Indie Blockchain, das heißt also egal ob jetzt andere Leute drauf bestehen, ob das ein DLT ist oder nicht, es ist sicherlich das richtige Detail.
Aber gemeinhin wird von der gesprochen. Das heißt, das ist auch genau das, was die Politiker dort verstehen, äh wenn man Blockchain sagt, dann ist genau das gemeint, auch wenn es im Detail vielleicht anders aussieht.
Ah das vielleicht einfach zur Begriffsauflösung ähm ansonsten ja wo fange ich da jetzt an? Ähm,
Das ganze Thema ist relativ spontan gestartet letztes Jahr, äh wo es dann hieß, okay, wir greifen mal dieses eine Ding raus, bauen da diese ID Wallet, machen da so einen Referenzfall raus, prügeln den auf jeden Fall auch noch,
durch um den halt vor der Wahl auch noch zeigen zu können was auch so ein bisschen dem Thema widerspricht dass man eigentlich eine Exekutive so vor der Wahl stillschweigend bewahrt,
ist mir auch nochmal so von verschiedenen Seiten gesagt worden, dass das untypisch ist und man hat hier also auch tatsächlich auf Teufel komm raus agiert.
Das kann man gar nicht anders sagen.
Torsten:
[7:08] Er wollte fertig werden und wollte noch schnell vor der Wahl Erfolge verbuchen. In dieser Digitalisierung.
Christian:
[7:13] Genau und das ist grad für Security und Identity ist ein Teil von der Security-Welt äh der falscheste Ansatz, den man fahren kann. Das macht man nicht mit übers Knie brechen, sondern das macht man entsprechend mit einem vernünftigen Vorlauf,
Einbeziehung auch von Experten und das ist halt auch das nächste Thema, was dort eine Rolle gespielt hat. Es ist halt alles ringsum, was da passiert ist, ist eigentlich eine Sammlung von Hype begriffen,
Man hat sich so Dinge, die irgendwie sexy klingen, zusammengebaut und es hat aber niemand drauf geschaut oder das Projekt mitgesteuert äh mit einer Erfahrung im Bereich Aufbau von Identitätssystemen.
Ja, also wen muss ich da wie abholen? Welche Garantien? Also Sicherheitsaussagen muss ich tatsächlich auch liefern und zwar auf allen Seiten, ja,
und das ist halt nicht berücksichtigt worden. Das ist jetzt im Nachgang auch immer klarer geworden, dass diese Kompetenz schlichtweg nicht existiert dort. Die ist nicht da.
Torsten:
[8:00] Irgendjemand muss das ja gebaut haben. Da muss doch wenigstens einer äh Christian kein Baukasten, sonst könnte's ja jeder.
Christian:
[8:07] Richtig, es gibt keinen Baukasten in dem Sinne.
Manuel:
[8:08] Ja du siehst ja, es hat nicht funktioniert, also diesen Baukasten konnte offenbar auch keiner bedienen. Ähm.
Christian:
[8:14] Ja also es gibt so eine Reihe von Standardprotokollen zum Beispiel, die man heute einsetzen würde. Ne, die sich so im Laufe der Zeit entwickelt haben, wo man noch sagen muss, seit der Einführung vor elf Jahren,
hat sich ein bisschen was getan. Da gibt es jetzt, da gibt es jetzt Fighters so seit äh zweitausendfünfzehner zweitausendsechzehner Zeitmarke und,
Das sind so Dinge, wo man sagt, okay, da hätte man was Fertiges, halbwegs da. Da gibt's Leute, die sich mit wieder auskennen, ne und auch selbst das wird eben halt komplett verlassen. Man sagt, man baut sich komplett neue Protokolle und man macht das alles mit der mit dem äh mit der Indy Blockchain und
baut sich da halt irgendwas zusammen, schustert sich da auf diesem dit chor Standard, der ja auch in den Draftmodus zurückgeschickt worden ist,
ein eine neue heißt das dann, das heißt also man schreibt dann mal auf, okay wie kommunizieren die Parteien miteinander und wie sollte halt so eine Identitätsgarantie aussehen äh,
Das ist alles komplett from Scratch von sogenannten Blockchain-Experten gebohrt. Äh wo aber auch dann zum Beispiel beim Thema,
Ja Security in Kryptografie, mitunter auch, ich will jetzt mal nicht einen Namen an die Wand nageln, aber mir wird ja dann auch gesagt, dass in der Abteilung, die da groß rausgeht und sagt, ja wir haben ja Blockchain Expertise, dass da zum Beispiel gar kein Kryptografisch Kyrotino auch vorgesehen ist.
Auch nicht existiert. Deswegen hatte ich nachgefragt, weil da oben.
Torsten:
[9:28] Okay. Ja, aber ähm jetzt ich ich glaube, wir müssen das jetzt erst mal mit dieser Vorgeschichte so lassen. Ich würde gerne mal einsteigen, weil sonst äh vergessen wir die ganzen äh Wörter, die ihr gesagt habt. Hyper Legger, trist Distributed Legure. Äh.
Richtig verstanden habe, ist das alles Blockchain, aber warum heißt das dann unterschiedlich?
Christian:
[9:47] Genau genommen ist die Blockchain eigentlich so der Begriff, der mit Bitcoin aufgetaucht ist, ne ähm der Unterschied zwischen dem Distribute Leture Blockchains, die also Distributor Letches, die generische Form,
Blockchain ist eine Ausprägung davon und
sagt hier im Unterschied, wir speichern hier keine Daten, ja, weil die Blockchain zum Beispiel Transaktionsdaten speichert und auch sonst alles andere, also sie zum Beispiel auf Smart Contracts aufnehmen könnte und die dabei ausgehandelten Ergebnisse, so würde der Distributed Leture nur Metadaten enthalten.
[10:15] Ähm was mehr oder weniger auch nur, sagen wir mal, frechen Konfigurationsthema ist, wie viele Daten oder welche Daten ich dort drin speichere oder nicht,
Das Grundprinzip ist
Am Ende ähnlich. Man hat tatsächlich eine verteilte Liste, die halt offen im Netz liegt, die sich zwischen Pears synchronisiert. Das heißt also, jeder kann da sozusagen sagen, okay, ich greife da jetzt rein.
Synchronisieren mit diesem Anteil und habe die Daten erstmal da. Was man dort noch zusätzlich hinzufügt, sind natürlich verschiedene Wege,
also bei also einzubauen zum Beispiel,
Bestimmte Rechte, wir darf eine Identität hinzufügen, wer darf sie wieder entfernen? Äh was man dann auch gesehen hat in den Projekten, hinter die Bundesdruckerei, auch wieder eine zentrale Rolle ein, die also aus dem Ausweis einmal die Daten ausliest. Dann auf das Endgerät transferiert und,
entsprechend einen äh Schlüssel dazu erzeugt auf dem Gerät und da landet dann entsprechend der Publicy dann auf dem DLT, der dann verankert ist, mit das ist meine Identität.
Und dann werden dann Meterdaten drangeschrieben, wer darf die zum Beispiel wieder zurückziehen und solche Sachen?
Manuel:
[11:18] Du musst dabei noch erwähnen, dass dieser Mediator, den du nonschalland ganz nebenbei von der,
oder wieder dieses dezentrale und immer verfügbare System mit einem Single-Point of Failia Gateway versehen hat, was ja dann auch,
unter anderem äh sozusagen dafür gesorgt hat, dass das Ganze nicht mehr funktioniert, ne. Eine zentrale Komponenten äh Komponente in einem dezentralen Blockchain-Konstrukt, ne?
Torsten:
[11:44] Das heißt also auf äh auf äh nicht nördisch zusammengefasst ähm bei einem Bitcoin hat jeder die komplette ähm,
kompletten Letscher quasi auf seinem äh auf seinem Endgerät liegen und hier ist dann noch quasi so ein Gateway dazwischengeschaltet, dass nicht jeder äh alles auf seinem Endgerät haben muss.
Das so richtig.
Christian:
[12:03] Nee, das das nicht unbedingt, sondern es geht auch dadrum, Rechte zu verwalten. Wer darf etwas?
Ähm der libertäre Gedanke der Blockchain, jeder kann da im Prinzip Dinge reinschreiben und mit Proof for Work oder Proof Steak wird das dann halt anerkannt im Netz. Ähm gilt hier nicht mehr, ja, weil hier tatsächlich zwischen den Science entscheiden, wer darf Dinge,
damit ist eigentlich das Konzept der Blockchain oder auch das absurdum geführt.
Weil da kann ich auch eine Datenbank hinstellen, weißt du? Oder ich kann halt auch eine PKI einsetzen.
Torsten:
[12:31] Wollte ich gerade sagen, weil dann brauche ich ja eigentlich bloß eine eine Datenbank hinstellen und eine eine Liste.
Manuel:
[12:35] Würde da nicht Blockchain heißen oder was im Moment ja auch gerne genutzt wird oder genutzt wurde in der Politik ist ja dann KI oder Quantencomputer und wenn das nicht eins dieser hat, dann ist es natürlich nicht ein krasses Vorzeigeleuchtturmprojekt.
Ich ich glaube wirklich, der äh es gibt unheimlich viele,
Szenarien, wo irgendwie Blockchain um der Blockchainvillen gehypt wird, wenn man sich das technologisch anguckt, macht das einfach keinen Sinn, ist ineffizient oder wie das PSI sagt, komplex ohne einen Vorteil zu bringen,
oder auch nicht ausgegoren und ausgereifte Technologie, aber es wird eben beispielsweise durch Fördergelder,
befördert, das heißt im Zweifelsfalle gehen auch Unternehmen oder Startup Sendungen sagen,
könnten das jetzt so machen, dann interessiert's keinen. Wir können aber auch eine Blockchain da reinfriemeln, dann kriegen wir viel Fördergeld, ne? Dann machen wir das jetzt mit Blockchain, dann ist es finanziert.
Insofern ist dieser allein schon dieser Begriff oder diese nicht mal die Technologie, sondern der Begriff einfach nur mit Geld konnotiert.
Äh äh Aufmerksamkeit und beides äh oder eins von beiden will man ja in der Regel erreichen und da hier würde ich jetzt sagen lag's weniger am,
Geld vom vom Bundeskanzleramt. Die wollten die Aufmerksamkeit, aber ich glaube IBM wollte das Geld mit ihrem Hyperletscher, so. Also da treffen sich dann die richtigen.
Torsten:
[13:58] Was ich so besonders schön finde an dem ganzen Blockchain-Thema, das Ding ist ja schon uralt. Das ist ja von 1979 und äh als es Merkel-Tree hieß, war's ähm,
Nein, okay. Also ich habe jetzt hier äh der Ralf Merkel, der war ja hier in in in München an der an der Uni und äh.
Uraltes Zeug. Da hieß es Merkel, da war's was unsexy. Jetzt heißt Blockchain und es ist cool.
Manuel:
[14:24] Vor seiner Zeit.
Christian:
[14:25] Ja, also tatsächlich ähm.
Vielleicht mal zu zu der Herkunft ursprünglich so Blockchain ist ja an sich erst mal der Punkt, dass ich Dinge hasche und dann eine Hash-Kette baue.
Torsten:
[14:36] Was ist ein was eine Heschkette, was eine Hesch?
Christian:
[14:39] Ja genau, weil das ist alles vor. Also ein Hash ist eine Besachtung dazugraphische Prüfsumme, das heißt ich reduziere einen großen Datenstrom, eine Datei, eine eine E-Mail, eine sonstige Nachricht äh auf eine kürzere,
Zahl, ja, die dann auch immer noch lang ist, aber meinetwegen aktuell mit Charts waren nur sechs5und, kommen dann zweihundertsechsundfünfzig Bits raus, die mir mit einer gewissen,
Das ging eindeutig zuordnen. Kollisionsresistenz. Deswegen ist es klar, wenn ich also einen Dateninput, der meinetwegen,
Zwischen paar Kilobyte für eine längere E-Mail, bis hin zu etlichen Megaarbeit für meinetwegen einen MP3-Feil variieren kann, dann ist es natürlich so, wenn ich das vor 246 Bett reduziere.
Habe ich die Gefahr, dass das kollidieren kann. Das heißt, ich habe zwei Inhalte, die denselben Hash erzeugen.
[15:27] Das ist eine Dopplung, genau, richtig, aber das ist genau die Kunst eigentlich. Mazda hat so maximale Entropie pro BIT, was man bei den Verfahren erreichen will,
dass sie eben halt genau kollisionsresistent sind. Ja, dass sie also möglichst nicht solche Kollisionen zeigen und dass man diese Kollision auch nicht absichtlich provozieren kann. Wenn, dann treten sie zufällig auf,
aber nicht so, dass ich Sie vorher deterministisch einsetzen kann. Das ist genau der Punkt, warum zum Beispiel MT5 und Schar eins als unsicher gelten, weil dort diese Kollisionsresistenz nicht mehr gegeben ist.
[15:57] Betrifft auch noch einige andere Verfahren und,
Wenn man jetzt so so einen Hash hat, der also eine möglichst gute Kollisionsresistenz hat und das sah in den fünfziger Jahren, wo das übrigens eigentlich herkommt, noch ein bisschen anders aus als dann in den 70ern und in den Zweitausendern.
Hat man gesagt, okay, wir können also Texte nehmen, Buchseiten zum Beispiel können die haschen.
Können wir die hintereinander setzen, das heißt also so 'n so 'n findet nicht nur immer die Seite statt, sondern der enthält zum Beispiel auch den das Ergebnis der vorhergehenden Operation.
Deswegen Hashtag Kette, ja? Man man hängt es aneinander. Der erste Hersch, der da reingeht zum Beispiel beim Start, der ist meinetwegen alles null, ja, da merkt man sich 320 bei und dann nimmt man den ersten Inhalt,
ab dem ab dem nächsten ist es dann so, dass man den vorhergehenden Hashtag an den an den Beginn setzt und danach kommt der nächste Inhalt. Ganz einfach gesprochen,
Das kann man noch erweitern, dass man Zeitstempel mit dran hat an den einzelnen Blöcken und so weiter. Das ist eine Hashtag Kette. Die geht also von vorne, hinten linear durch,
Und dann hat man diese zwischen, die dabei entstehen.
Genommen und hat die dann zum Beispiel irgendwo aufgeschrieben. In der in der Tageszeitung abdrucken lassen zum Beispiel, ne, die dann in,
dann auch gelagert wird, ne? Da hat man dann so so bestimmten Ausgaben äh auf jahrelang hinweg die Möglichkeit, das Tag genau zu verifizieren, ne. Sagen wir's mal von Montag bis Freitag, Tageszeitung Bub,
nachschlagen, wann war der? Und dann habe ich eben halt auch zig Bibliotheken, wo diese Zeitung ist, so dass ich eben halt eine Manipulation an einer Stelle,
nicht einfach auf alle replizieren kann, sondern ich muss ja, wenn dann alle fälscht, das würde auftauchen.
[17:27] Es ist Distributed. Richtig und zwar Distributed in Papier in Bibliotheken. Das ist tatsächlich der Distribute-Ansatz, der bei der ganzen Geschichte dahintersteht. Nix anderes, ist total unspannend eigentlich.
Oder vielleicht ist es auch spannend, ja? Also.
Manuel:
[17:40] Für Buchmacher bestimmt.
Christian:
[17:43] Das ist das ist das, wo wo's herkommt.
Das hat man eingesetzt, weil man damals noch nicht in der Lage war so eine Form von Authentizität, in irgendeiner anderen Form darzustellen, ja. Also man war drauf gezwungen so ein sogenanntes ewiges Lockfeil zu bauen, indem man das halt irgendwo runterprintet und dann eben halt über Bibliotheken verfügbar.
Als man dann weitergegangen ist in die ersten Publique Kryptoverfahren gebaut hat, was so in die Richtung ging und das geht dann in die Richtung vom Herrn Herrn Merkle.
Äh das war dann, wie kriegt man Effizienz, solche Ketten von Hashes?
Also strukturiert, ja, dass man die paralysieren kann. Ich habe jetzt verschiedene Quellen, wo Datenströme herkommen und dann fällt einem ganz schnell auf, worum kommt der Begriff Baum her?
Ein Baum hat eine Wurzel und dann hat er ganz viele Äste. Dann hat er Zweige und hat Blätter.
Blätter sind dann zum Beispiel die einzelnen Datenbestände, die Zweige sind dann genau solche einzelnen Heschketten, die dann eben mal zu größeren Hashketten eine Form der der Äste zusammenlaufen, die sich dann irgendwann in dem Stamm treffen und in der Wurzel kann man sagen, alles klar, das ist jetzt der finale Wert und dann kann ich damit sagen,
alles, was hier erfasst worden ist, kann ich damit nachweisen, ja? Und das war damals eine Zusammenfassung, so diese damaligen Verfahren tatsächlich möglich zu machen.
Und was in der Zeit dann auch geschah, ist, dass wie Miss Charme und Edelman sich hingesetzt haben und haben das RSA Kryptoverfahren auf basierend auf einem ganz klassischen mathematischen Logarithmus äh publiziert, haben auch nachgewiesen, dass man das dafür einsetzen kann. Das war so der erste Schritt in Richtung, wir haben Publique Gruppegrafie tatsächlich.
[19:08] Und ab dem Moment konnte ich einen beliebigen Datensatz nehmen, habe den um den meinetwegen von fünf, sechs Megabyte für ein kleines MP3-Feil runter zu reduzieren auf so ein paar Bits, um den in so einen Schüssel reinzustecken.
Äh hat man da so einen Hesch eingesetzt, hat dann an an PKI-Verfahren genommen, hat das eben signiert mit dem privaten Schlüssel. Dann konnte jeder mit einem öffentlichen Schlüssel, den ich natürlich frei verteilen kann, ne, wie so ein Art Telefonbuch,
Verifizieren, ja, das hat der Seecare signiert und dieses Pfeil ist tatsächlich auch unverändert bei mir angekommen. Darum geht es eigentlich an der Stelle, ne? Und das ist das war der Punkt
PKI so ins Leben traten, dann hat man das noch eine gewandte Weile analysiert und dann in den 80ern kamen die olympischen Kurven dazu und dann äh
kam dann auch X509 Zertifikate, das setzte sich dann zu den 90ern so langsam durch und wurde halt richtig relevant. So auch mit dem Internet und dem dot com Boom so in den zweitausendern. Das heißt, ja, wir brauchen sowas wie CLS zum Beispiel. TLS-Zertifikate, HTDPS, ja,
dann so plötzlich der Hauptanwendungsfall für so X509 und RSA und so weiter und so fort, ne,
Und das ist eigentlich so der so so der Trick dahinter, wo das herkommt. Das heißt, alles was Blockchain ist, ist lockere 60 Jahre alt im Zweifelsfall,
Eine Grundidee und es ist Technologie, die man verwendet hat, bevor wir die neue Technologie kannten.
Weil's versucht man so mit hängen und würgen und haufenweise esoterischen Argumenten, Entschuldigung, wenn ich das deutlich sage.
Alte Technologie irgendwie nochmal aufleben zu lassen. Ja das kann man alles nochmal anders denken, das können wir neu machen, ja und wir ignorieren mal den ganzen Rest.
[20:38] Bestandteilen kann das Sinn ergeben, zum Beispiel wenn man sagt, ich habe einen verschlüsselt, dass das Heißsystem,
Wo ich möchte, dass sie einzelnen Datensektoren, ja, wo dann Daten enthalten sind, auch authentifiziert sind. Dass man weiß, alles klar, die Daten sind echt. Einfachstes Beispiel, eine Festplatte geht kaputt.
Landkippen da so einzelne Bits, dann weiß ich nicht mehr, ist denn das jetzt noch original oder nicht,
Gab's auch so diverse Probleme mit etablierter ähm Plattenkryptographie Software, die dann zum Beispiel einfach also leere Sektoren vorgegaukelt hat, ohne zurückzumelden, dass der Sektor kaputt ist.
Wenn das zum Beispiel ein Bild war, was in als Big Map gespeichert ist, dann sehe ich eine große schwarze Fläche bei einem Röntgenbild, kann das auftreten. Dann weiß ich aber nicht mehr, ist das ein Defektorsektor gewesen mit dem schwarzen Flächen in einem Röntgenbild,
Oder ähm ist das tatsächlich schwarz an der Stelle.
Genau der Punkt. Also wir haben zum Beispiel genau für so einen Zweck, dass angefangen mal zu bauen mit dem und Verschlüsselung oben drauf. Das ist zum Beispiel ein Punkt.
Ergibt Sinn, um einzelne Daten, Transaktionen vernünftig nachzuweisen ist das tatsächlich noch im Original oder nicht, gerade wenn ich's langzeit speichern will.
[21:42] Das sind so Anwendungsfälle. Da haben wir auch heutzutage durchaus ähm einen großen Sinn und Zweck dahinter. Aber eine Identität im Internet, ja oder eine Identität, die ich als Person habe,
Ähm die kommt nicht aus zehn, 20 verschiedenen Strömungen, sondern die kommt genau von einer Instanz.
Nämlich von dem Staat, in dem ich wohne, zumindest wenn ich eine sozial marktwirtschaftliche Orientierung habe, bin ich auf staatliche Leistung angehieß, dass der Staat sagt, na wie ich heiße, wo ich Leistungen bekomme, äh Gesundheitsleistungen.
Arbeitslosengeld, weißt du weiß der Geier was, ja und in dem Moment brauche ich eben halt auch keinen weder eine Konsensfindung noch verschiedenste Datenströme, sondern es reicht mir aus, wenn ich eine deshalb sage, das ist er und dann müssen eigentlich nur alle Instanzen in der Lage sein, das zu verifizieren und das Ganze möglichst.
Effizient auf der technischen Seite, aber eben halt auch kosteneffizient an der Stelle, weil der ganze Aufwand, der jetzt getrieben wird, der heißt überall neue Technologie reinbauen, Leute müssen das aufgleisen, das Zeug frisst auch einfach Strom, so in der Art und Weise, wie es jetzt arbeitet,
Das muss man einfach mal so gegeneinander legen, ja? Und da haben wir existierende Verfahren, die das eigentlich alles mal gelöst hatten.
Torsten:
[22:45] Das heißt, dieser ganze ähm.
Blockchain-Kram kommt eigentlich nur daher, weil irgendwann mal einer äh äh Bitcoin erfunden hat äh als Experiment, was äh sich dazu entwickelt hat, dass wir hier ein neues Spekulations äh,
Medium haben und die Leute drauf aufgesprungen sind, weil man damit virtuell wunderbar Geld verdienen kann und jetzt finden das alle cool.
Christian:
[23:10] Genau so und da gibt's einen schönen,
von von einem der Co-Entwickler, die bei Bitcoin sagen, ey ähm Blockchain ist nichts, was man haben will. Das ist ein notwendiges Abfallprodukt, also Abfallprodukt im Kontext von Giftmüll, der dabei entstanden ist. Ähm,
Weil äh es nicht das effizienteste Verfahren ist, um tatsächlich äh Dinge sich zu merken oder Dinge auch zu synchronisieren. Es ist aber notwendig, es um die Idee von Bitcoin umzusetzen.
Für alle anderen Anwendungsfälle sagt der Kollege aber auch ganz deutlich äh Leute, lasst es. Das ergibt keinen Sinn.
Das heißt also tatsächlich, wenn er Bitcoin-Welt hat diese Mathematik.
Jenseits der siebziger Jahre rückblickend. Ähm tatsächlich ein Anwendungsfall. Ja, weil da trifft das auf.
In allen anderen Anwendungsfällen ist das tatsächlich einfach nur Dollarzeichen in den Augen und Hype.
Torsten:
[24:00] Ja Bitcoin will ja auch einen Wert generieren, also und einen Wert generieren muss ich Arbeit reinstecken und äh das brauche ich aber in einer ID nicht. Die Identität.
Manuel:
[24:09] Ja, aber das das ist ja kein Wert, die es generiert, sondern es ist reine es ist ein Spekulationsobjekt, genauso wie auf Blockchain basierend die NFTs, sind auch Spekulationsobjekte. Das ist kein Wert, der,
oder stabil ist, sondern ein Wert, der extrem volatil ist und dann würde ich da nur bedingt von einem Wert sprechen,
einfach ein Spekulationswert ist, der kann von heute auf morgen gar nichts mehr wert sein und dann ist es kein Wert.
Torsten:
[24:34] Das stimmt, aber rein betriebswirtschaftlich gedacht, äh steckst du Arbeit hinein,
Arbeit und ähm und äh damit generierst du einen gewissen Wert. Also wenn du äh aus äh Mehl, Eiern und äh und Milch einen Pfannkuchen machst, dann hast du eine hast du äh Zutaten benutzt und äh einen Mehrwert generiert.
Das ist.
Manuel:
[24:55] Blockchain ist es so, du nimmst die Blockchain und dann generierst du halt Podcasts.
Torsten:
[24:59] Genau. Gibt's eigentlich einen Blockchain-Podcast bestimmt?
Manuel:
[25:04] Äh wahrscheinlich, also mindestens gibt's ja vom,
Chaosradio 2 Folgen. Einmal Blockchain Comadi, äh den den können wir ja dann verlinken, der ist auch super,
der klärt erstmal die Grundlagen, da hat Andreas Burg und das muss ich echt nochmal hervorragend lobend erwähnen. Andreas Book hat sehr, sehr, sehr, sehr, sehr geil dadrin einfach mal not im Blockchain erklärt, aber auch gleichzeitig zersägt,
Gab's ja noch äh den den äh äh Podcast zu äh ID Wallet in in äh im Chaos-Radio. Da haben wir ja dann ein bisschen,
Und äh erklärt, warum das kaputt ist. Ähm und das ist ja auch ganz nett geworden. Da haben wir mal ein paar Hintergründe auch erzählt, wie wie's eigentlich,
Dazu kam, was kaputt gegangen ist, warum es kaputtgegangen ist die ganzen Details.
Torsten:
[25:53] Über über die Details sprechen wir jetzt, glaube ich, nicht im Netz. Ähm gehe ich nochmal zurück. Ja, du kannst das gerne noch anzünden, wenn du möchtest, aber gehen wir erstmal zurück zum Thema,
Wozu brauche ich denn überhaupt äh so eine ID Wallet und äh was ist das überhaupt? Weil ich habe ja ich habe meinen Personalausweis, meine ähm ich kann mich im Internet ausweisen, ich kann mich offline ausweisen, wozu bei ist so eine komische Wallet noch.
Manuel:
[26:17] Also salopp gesagt, brauchst du sehr, weil du die AID kaum irgendwo so richtig verwenden kannst und sie nicht Verbreitung bekommen hat,
politische Aspekt, den erkläre ich einmal kurz, warum ich denke, dass doof ist oder ein die Details sagen, aber ähm aus aus meiner Sicht sieht's ja so aus. Du willst als äh Bürgerin,
mal ein Ende zu Ende Prozess benutzen und sagst, hey, ich habe doch diesen Personalausweis, dass eine ID drauf,
Fängt ja schon damit an, dass du wenn du den Perso kriegst, äh äh einfach nur die Frage kriegst mit oder ohne,
Dann sagst du so, wat ist denn der Vorteil? Ähm also ähm mit oder ohne? Äh hier ist noch so ein Begleitzettel. Also,
motivierender kann man eigentlich nix äh mitgeben, weil man kann auch nicht genau erklären, ja damit können Sie jetzt alles digital online tun oder so, weil wäre ja auch gelogen,
So und dann äh sagen schon viele, hm, vielleicht lieber ohne, ist komisch, aber wendet dann doch was, versuch's da halt so was wie äh,
Okay, ich bin umgezogen. Ich kann ja mal mein KFZ äh ummelden.
Und dann fängt die Odyssee an, ne? Du gibst den ganzen Klipper auf deinen Rechner ein und hast aber dann äh äh Karten-Lesegerät nicht wird nicht erkannt, weil du hast das ja erst nachträglich reingesteckt. Du hast ja die Webseite vorher.
[27:27] Hm dann mache ich's vielleicht irgendwie so, dann kann ich das ja per Handy, hat ja ein FC irgendwie oder so, hast aber alles schon eingegeben im Rechner, äh ja gut, kannst du alles wegwerfen, musste alles auf der Krüppel-Handy-Tastatur neu eintippern,
Wenn ihr dann versuchst AID zu nutzen, sagt das Ding irgendwann Fehlermeldung und am Ende also so haben wir es zumindest versucht meine Frau nicht,
gescheitert und mussten zum äh äh Rathaus, um umzumelden. Da aber auch der nächste Digitalisierungsfeld sozusagen, hey, sie können sie können natürlich nur Digitalzahlen, Bargeld geht nicht,
Ja gut, hier ist beide Visa Karte äh und und dann so ja nee äh Kreditkarte geht nicht, nur äh äh Giro-Card.
[28:08] Ja wat könnt ihr natürlich vorher auf der Webseite schreiben, dat nur dieser einzige Bezahlkanal geht? Ich habe jetzt kein Bargeld und die Pin habe ich nicht im Kopf. So, weil neue Karte gekriegt,
schade, dann ist der Zeitslot jetzt rum, machen Sie sich einen neuen Termin äh auf dem Onlineportal und dann machen wir das beim nächsten Mal,
So und Verlauf war wieder drei bis vier Wochen. Also insgesamt hat der ganze Prozess, statt du hast eine funktionale AID und Back-End-Prozesse und Ende zu Ende,
so Maske in fünf Minuten zu Hause, hat einfach zwei Monate gedauert, fünfmal halber Herzinfarkt, dreimal Anzünden, zweimal Brandroden und noch zweimal äh zum Rathaus gehen,
der Outcome ist einfach, Ende zu Ende Prozess funktioniert immer noch nicht vernünftig. An ganz vielen Stellen.
Und dann muss man sich auch nicht wundern, warum die Leute A E I D kaum kennen und B kaum nutzen können.
Um du darfst jetzt technisch erklären, was eine ID soll, warum man die eigentlich haben will, weil ich will sie haben. Ich will digitale Verwaltung, ich will digitales Rathaus, ich will digitale Prozesse nutzen können, aber bitte vernünftig und sicher und funktional.
Christian:
[29:12] Ja danke erstmal für diese Einleitung.
Manuel:
[29:14] Ja es sind drei drei Wünsche auf einmal, ne? Das geht nun wirklich nicht.
Christian:
[29:18] Ist völlig solide. Also ich muss dazu sagen, meine über 70-jährige Mutter hat es dann auch mit insistieren hinbekommen. Ähm die hat sich da durchgefräst. Ähm.
Manuel:
[29:26] Dabei.
Christian:
[29:27] Nee, der hatte mich nicht dabei. Ich war tatsächlich nicht zu Hause in dem im Moment. Ähm.
Torsten:
[29:30] Also äh zu zu dem Thema IKFZ, ich glaube ich zeige euch mal wie das geht, weil ich arbeite zufällig für eine Firma, die äh äh super funktionierendes äh IKFZ äh äh online äh gebaut hat, dass äh auch mit funktioniert.
Christian:
[29:44] Also draußen ist das Problem war nicht das Fachverfahren. Das Problem war tatsächlich die Behörde.
Manuel:
[29:49] Wer hätte damit gerechnet?
Christian:
[29:54] Ja, also die die Meldebehörde meinte auch so, ja, also äh warum wollen sie das überhaupt benutzen? Das bringt ihnen doch gar nix.
Torsten:
[30:00] Ja super, klasse.
Christian:
[30:01] Im Jahre 2020 sagte deine Tochter so, ja sie will das jetzt halt äh online machen und äh sie hat da alles da und ihr Sohn arbeitet in dem Umfeld und sie sollen da jetzt gefälligst diese scheiß PIN freischalten.
Torsten:
[30:12] Mein Sohn schimpft sonst.
Christian:
[30:15] Na ja, einmal mit einem Flammenwerfer da durchmarschieren dann, ne. Dann können sie mal einmal heiß sanieren. Ähm,
Jedenfalls mal zum zu dem Punkt zurück. Warum braucht man eigentlich so ein Online-ID? Also ich weiß, dass ich vor.
[30:26] Etwa über 20 Jahren auf jeden Fall mit dem Professor Doktor Bernhard Esslinger, der damals hier oder Deutsche Bank war, genau über das Thema diskutiert habe,
eine Internet-ID haben oder nicht und äh Doktor Bernhard Esslinger sagte damals so ja, nein, das kann er sich nicht vorstellen, das würde er nicht haben wollen. Ich hatte damals aber aus Sicht des des E-Commerce, ich war damals äh und wir hatten dann eben halt so die ersten Pub,
Kaufhaus des Bundes zum Beispiel,
gesehen, okay, wir brauchen tatsächlich, wenn wir hier anfangen von der Kleinkalibermunition bis zum Schützenpanzer, irgendwie eine Identifikation der Leute auf der anderen Seite, die das im Warenkorb legen.
Und dann bitte auch nochmal von den Leuten, die diesen Warnkopf freigeben.
Das war so der erste Anfang, so okay, irgendwie braucht man schon mal ID. Und das war noch zu einer Zeit, da war so Online-Banking und sowas noch wirklich in den Kinderschuhen, ne. Da fing das grad erst so an, dass man drüber nachgedacht hat. Da gab's die ersten Anwendungsfälle und,
Das zeigt aber, dass man halt irgendetwas braucht, mit dem man Remote sicher feststellen kann, ist denn die Person diejenige, die man auch tatsächlich erwarten würde, ja, die als berechtigt ist, auf so ein Konto zuzugreifen oder
da jetzt eben halt als 'ne Person XY irgendwas zu bestellen und 'nem größeren Wert, vielleicht auch sogar in 'nem Kontext eines Arbeitgebers tätig zu werden und
Haben wir umso schmerzlicher gemerkt, wenn der Pandemie.
Als es dann hieß so ja wir müssen hier irgendwie in Richtung Homeoffice gehen, wie kriegen wir das denn hin, dass die Leute remote sicher arbeiten können und dass die dann eben halt auch sich sicher identifizieren können, ne? Und das ging los auch tatsächlich bei,
Public Sektor als als Arbeitsplatz, was für uns interessant war, also an der Stelle so wie melden sich die Leute an dem Fachverfahren von Zuhause an und bearbeiten einfach die Fälle.
[31:56] Wie macht man das, ne, also Heimarbeit zu unterstützen, zu ermöglichen.
Und das kann man nun auf verschiedenste Art und Weise lösen. Die Privatwirtschaft hat das eine Zeit lang mit so unterschiedlichsten Lösungen von RSA, also
und so weiter äh gemacht, die waren aber auch kaputt, da war die Entropiehalter drin nicht so ganz so ideal, man konnte das auch knacken, aber das gibt es so im,
Hochsicherheitsbereich ist immer dann, wenn's um
nach zum Beispiel auch ging ja oder gerade bei den bei den Amis immer sehr dadurch getrieben wer da irgendwie an die Regierung geliefert hat oder in irgendwelchen Forschungsgeschichten beteiligt war,
Gab es immer schon einen einen Markt, wo man sowas gebaut hat, so mehr schlecht als recht am Ende des Tages,
die Breite tragen will und man sagt, okay, ich möchte jetzt tatsächlich nicht nur einfach als Micky Maus im Netz unterwegs sein, sondern ich möchte als EK jetzt hier was bestellen, möchte was auslösen, möchte meinetwegen bei meiner eigenen Firma ähm mein Passwort zurücksetzen, weil ich habe das einfach vergessen.
[32:50] Das sind so Sachen, wo wir aus Compliance Gründen ja schon feststellen müssen, so ist das wirklich der CK oder nicht,
Das ist zum Beispiel so ein Punkt, wo man tatsächlich der gesamten Wirtschaft in Deutschland ein zentrales Medium anbieten kann, sagen, guckt mal Leute.
Äh nicht nur der Wirtschaft der Verwaltung, dieser Ausweis, den hat im Prinzip jeder oder jeder hat eine Möglichkeit, ihn zu haben und
ein zentrales Spermamanagement, wir haben ein zentrales äh,
Ist dafür, das heißt also die ganzen Behörden an sich können also die Meldebehörden kümmern sich um das Ausrollen des Devices. Wir haben eine zentrale Softwareentwicklung dafür, dass es zumindest erstmal so was gibt wie ein Ausweis-App und so weiter. Das heißt, ich muss diesen ganzen Kram nicht selber anschaffen,
habe nicht irgendwie wie früher so locker ein Dutzend verschiedene Systeme, die es dann auf dem Markt gibt, sondern ich habe genau eins,
So und diesen Punkt haben wir hier schon mal geschafft. Ja, das ist das ist ein Novum.
Das nächste Novum, was übrigens auch wichtig ist beim Thema SSI, weil die Frage ja auch dazu kommt zum Thema Digitalinität. Ich will nicht nur sagen, wer ich bin, sondern ich möchte vielleicht auch selektiv offenlegen können, wem ich was über mich sage,
Zum Beispiel reicht eine Altersbestätigung, das heißt ich bin über achtzehn, ja, ich darf dieses Ballerspiel hier runterladen.
Oder aber ähm möchte jemand mein komplettes Geburtsdatum wissen? Weil zum Beispiel der Notar, den wir auf der anderen Seite sitzt, der für mich was machen soll, einfach genau überprüfen muss, ob er wirklich mit dem richtigen Sieg her redet.
[34:11] Das ist halt genau das der Punkt, den der Ausweis auch löst, weil die ganzen anderen EU-Staaten ringsrum, wenn man nach Österreich, nach Belgien, nach Finnland, nach Island, et cetera schauen, die haben noch alte Zertifikatsbasierte Verfahren, ja, also auch schon neuer als das Blockchain-Zeug,
aber Zertifikate haben halt den Nachteil, dass sich immer alle Daten gleichzeitig übertrage,
Fall Falle der Balk ID war es so, dass man dann die kompletten Personendatensatz bis zum des Passbildes direkt auf der Leitung übertragen hat.
Wenn man das halt in einem mehr oder weniger unsicheren Kanal gemacht hat, dann konnte man tatsächlich als Angreifer mit lauschen und einfach echte belgische IDs mitschneiden.
Hatte die dann zumindest erstmal auf Tasche. Und das ist der Punkt, den man hier also auch verhindert, dass es nicht einfach nur irgendein Zertifikat ist, was dann auch,
bei Island ganz wichtig, festgenagelt ist auf ein kryptografisches Verfahren, sondern was die ID auch kann ist, dass sie es jetzt schon Krypto Agilität. Das heißt, wenn man feststellt, bestimmte Verfahren sind über die Zeit gealtert, sind jetzt unsicher, ne, siehe so ein Ding wie würde uns erwischen in der Mathematik.
[35:08] Dann könnte man beim Ausweis ganz einfach sagen, okay, man tauscht transparent im Feld die Kryptographie unten drunter aus. Das kriegt der Anwender überhaupt nicht mit. Haben wir übrigens auch schon zwei, drei Mal gemacht, aber im positiven Fall, wir haben einfach nach oben geupgradet, dass größere Schlüssel unten drunter gebaut. Das passiert transparent,
Das sind so Eigenschaften, die auch bei den SSI-Prinzipien gefordert werden, ja? Die SSI-Prinzipien sind auch jünger als die ID,
Aber vieles, was da drinsteht, ist sicherlich erst mal keine doofe Idee,
Genau das machen wir aber auch die ganze Zeit schon und da kommen wir zum sichersten Ass oder nicht zum sichersten und wichtigsten Aspekt bei der ganzen Sache. Ähm warum ist das nicht so verbreitet?
Tatsächlich gibt's eine ganze Menge Hürden, das was Malow auch schon grad sagte, dass gerade die Integration, die Anbindung von der ganzen Geschichte immer auch irgendwo schwierig ist. Das fängt an, dass das eben halt Anwendungen gibt, die das nicht richtig können. Der Support für die Bürger durch die Bürgerämter ist auch nicht so ideal,
das heißt er wird oft noch von abgeraten und auch dieses Internet, dieses neumodische Zeug, das wollen sie doch überhaupt nicht und dann sind die Bürger auf sich selbst gestellt, ne und müssen dann suchen,
Und tatsächlich ist es auch so, dass man also für diese ID Services, die man da anwendet, hat an an wenige Anbieter herantreten muss, fassen da alle.
[36:15] Was Geld kostet. Da muss ich Entwickler haben, die das Thema verstehen, die das betreuen können. Ich muss meine Datenschutzerklärung bauen. Ich muss meine TLS-Zertifikate da registrieren, ne, muss sie verknüpfen. Das kostet alles richtig Geld. Also man entrichtet auch regelmäßig Gebühren für,
Das ist ein Modell, was wir tatsächlich organisatorisch drehen können. Ja, dafür müssen wir den Ausweis nicht abschaffen, sondern wir müssen einfach mal diese Art und Weise, wie eine Behörde oder auch ein ein ziviles Unternehmen in der Lage ist zu sagen, okay, ich kann jetzt hier einen IRD basierten Prozess anbieten,
Den brauchen wir einfach nur zu modernisieren, weil da hat sich auch einiges getan und der ist immer noch genauso hombein-alt wie vor zwölf Jahren.
Torsten:
[36:51] Euch bin ich nicht richtig verstehe, haben wir mit dem Personalausweis
viele dann immer noch immer ja immer noch den neuen Personalausweis haben wir ja quasi schon äh SSI
vollständig implementiert. Es ist zwar jetzt kaputt gemacht worden, weil man nicht mehr verschiedene Zertifikate beantragen kann, sondern wenn man ein Zertifikat hat, kriegt man gleich einmal einmal alles. Ähm,
aber wenn wir es äh so anwenden würden, wie es äh mal gebaut wurde,
wir schon SSI und wir müssten uns nicht irgendwelche äh SSI Walled Apps oder Sonstiges bauen.
Christian:
[37:25] Genau. Also exakt so wäre es, weil die Daten sind dezentral,
System erlaubt tatsächlich hier auch mehrere, das System erlaubt jetzt schon mehrere independent very Fire. Das heißt, ich muss nicht, das ist grad ein ganz wichtiges Konzept bei SSI.
Nicht durch einen zentralen Gate-Way-Prozess durch muss, ja, der dann mich zuordnet zum Beispiel und dann sagt alles klar, dit ist der Thorsten, das ist der Manu, sondern äh ich selber habe das Ding bei mir, gehe zu jemanden hin und sage, bitte verifiziere du,
Und diesen diesen,
Aspekt haben wir ja schon, ne? Also meinetwegen der DATEV hat ihren eigenen ERD Silver, eine eigene, eine Bonusdruckerei eignen. Wir haben eigene, viele andere, ihr habt auch eigene IRD-Server denke ich. Und in dem Moment sieht man schon diese Dezentralität, ja und
so ein betreiben ja? Aber es hat prinzipiell erstmal mehrere Anbieter auf dem Markt und jemand der das dann nutzen will
hatte freie Einbieterauswahl, das heißt da habe ich eine Dezentralität drin, was natürlich richtig schön wäre, um halt tatsächlich noch ein bisschen mehr zu unterstützen,
tatsächlich so was wie ein Grundrecht auf digitale Identität, das heißt also einfach die Unterstützung zum Beispiel bedürftiger zur digitalen Teilhabe.
[38:29] Das ist momentan glaube ich noch nicht geregelt und das regelt ja auch so eine ID Wallet nicht an der Stelle. Und,
Dann dann hätten wir tatsächlich ein System, was vernünftig, offen standardisiert ist, was um's mal sozusagen auch gut abgehangen ist. Ja, weil Frankreich wird das jetzt zwanzig zweiundzwanzig nämlich auch ein, gerade weil's nämlich nicht so doof ist,
und das ist halt so ein so ein Aspekt, den man einfach nur mal vernünftig unterstützen, weiterverfolgen müsste. Aber ich reflektiere kurz in die Vergangenheit
Ähm wir hatten das Thema zur Zeit des Griechenlands äh Konflikts
ne, als es da hieß, wahr, wir brauchen alle Geld. Äh schon mal, und da hat er nämlich auch das Bundeskanzleramt gesagt, okay, wir streichen jetzt mal 25 Millionen Euro raus. Das war nämlich eigentlich dafür gedacht, um die Bürgerämter einfach auch zu schulen
Das war Geld, was dafür da war, damit die Leute dort aufgekleist worden sind. Wie funktioniert das? Wie betreue ich den Bürger? Wie tut das alles? Das hat einfach nicht mehr stattgefunden.
Torsten:
[39:17] Ja also da da habe ich ja äh auch schon öfter drüber gesprochen, als wir die fünfstellige Postleitzahl äh,
eingeführt haben und gab's Fernsehwerbung, Radiowerbung, Zeitungswerbung überall war eine Riesenkampagne, weil unsere Postleitzahlen jetzt eine Stelle mehr haben, äh aber für so was Wichtiges wie der Personalausweis ist neu und der hat auch Funktionen, die euch echt weiterhelfen können und so und so nutzt sie den
da hat man nichts gemacht außer irgendwelche komischen Billo-Flyer gedruckt die man mit dem mit dem Ausweis bekommen hat und direkt weggeworfen hat
bevor man das Bürgeramt verlassen hat.
Christian:
[39:50] So ungefähr, ja, weil da stand auch nicht viel Hilfreiches drin.
Torsten:
[39:54] Ja aber äh ich habe ja äh ich habe ja mehrere von diesen äh Lesegeräten inzwischen verschiedenste Modelle. Äh am Anfang lagen auch diese diese gleichen Flyer bei den Lesegeräten mit bei.
Manuel:
[40:05] Ja, ich habe, ich glaube, ich habe diesen Flyer sogar noch original hier irgendwo in irgendeiner Kiste liegen, weil ich den so wi.
Christian:
[40:10] Ich ja.
Manuel:
[40:12] Aber aussagelos, also zu dem Zeitpunkt, wo ich den Flyer bekommen hatte damals, auch gedacht, wat will der mir sagen? Also der spricht mich nicht mal an und ich,
Schon so, als würde ich diese IT-Gedöns kennen. Äh wie soll das denn bei meiner kleinen Schwester, bei meinem großen Bruder und und bei meinem Onkel funktionieren? Genau nicht so.
Torsten:
[40:31] Also
ich kenne eine Stadt, also die Stadt Ingolstadt, die war ja von Anfang an dabei, die haben äh vor vor zehn Jahren äh direkt angefangen mit äh mit und die haben tatsächlich die Bürger aufgeklärt.
Bei jeder Aushändigung nicht nur diesen komischen Flyer gegeben, den haben die Bürger dann auch nicht angeguckt, aber die haben aufgeklärt. Die haben gesagt, wir haben hier einen Bürgerservice-Portal, da könnte das und das machen. Da müsst ihr euch äh mit eurem
könnt ihr hier kaufen oder ihr kriegt hier so ein da gab's am Anfang diese einfachen Lesegeräte noch dazu geschenkt wenn man die haben wollte und ähm.
Haben aufgeklärt und äh diese Aufklärung äh hätte eigentlich überall stattfinden müssen.
Ich habe damals meinen ersten neuen Personalausweis in der Stadt München beantragt. Ist auch zehn Jahre her inzwischen und äh die wollten mir noch nicht mal die ERD freischalten.
Da musste ich extra drauf hinwirken, dass sie mir die ERD freischalten, weil die braucht man ja nicht.
Manuel:
[41:25] Ja, das ist doch schon inneren fail, oder? So also das zeigt ja auch, wie dermaßen wir,
Zwar technisch eine funktional und super gebaut haben, aber wie,
das wie bei guter Kryptografie, ja, die der Algorithmus und die Schlüssellänge sind hinreichend sicher, also alles total toll,
Aber die Einbettung und Implementierung in die Systeme ist meistens das, womit du dann einen erfolgreichen Seitenkanalangriff machst.
Und genauso haben wir nicht geschafft, diese wirklich sichere und gute
in sozusagen die digitale Verwaltung einzubetten oder besser gesagt in die analoge Verwaltung einzubetten und was digitales draus zu machen.
Dieses Einbetten funktioniert einfach nicht, weil das so widerspenstig ist gegen Digitalisierung.
Deswegen eben auch nicht sauber da drin funktionieren kann, obwohl wir es eigentlich klar sehen und sagen, ey, das müsste man doch so machen und dann läuft das super.
Aber leider tritt dieser Fall nicht ein, so ne.
Torsten:
[42:23] Aber lassen Sie mal zurückkommen zu dem Thema IDollet. Also ich glaube ähm kurz zusammengefasst äh sollte man eigentlich äh weiterentwickeln äh es ist ein SSI äh schon vorhanden, aber lass uns mal zurückkommen zur zur ID-Wolle, die ID Wallet kann ja noch mehr als nur mich
ausweisen.
Konnte unter anderem äh mich in einem Hotel ausweisen und äh mir eine Reservierung organisieren und ich konnte dann glaube ich damit sogar mein Hotelzimmer öffnen und
was die noch konnte ist Führerschein.
Christian:
[42:57] Ja gut, aber das sind alles alles keine keine Neuigkeiten. Entschuldigung, aber das sind tatsächlich Dinge, die wir auch schon mit der halt durchdiskutiert haben. Das Einzige, was du da brauchst, ist halt tatsächlich eine App auf deinem Telefon, die genau das kombiniert und tut.
Das ist halt bei diesem Ökosystem Digitalität ein Projekt dadurch gegeben, dass dort eine Hotelkette mitgemacht hat,
tatsächlich Jahre vorher auch schon mit einer anderen Hotelkette gesprochen und genau solche Dinge zu lösen. Weil genau nur ein Hotel dieser ganzen Kette, was in Berlin ist, hunderttausend Karten pro Jahr nachbestellt,
richtig Geld, weil die Karten gehen verloren, die Kunden nehmen die mit, ähm die gehen kaputt, weiß der Geier was, ne? Fallen den Fahrschulschacht, irgend so was.
Auch schon die ganze Zeit überlegt, ja wie kriegen wir das denn hin, dass wir tatsächlich sagen können, Kunde kommt an, legt das Handy aufn Tresen. Ähm dann ist da ein Lesegerät meinetwegen drunter. Der
per NFC die App an, sagt dann alles klar, hier ist dein dein dein Hotelschlüssel beziehungsweise wenn ich vorher das Ding irgendwo reserviere dass ich mir das auch in die App importieren,
also auch schon weiß, alles klar, äh Reservierung ist da und da ist eine Art Travel Management dabei habe, meinetwegen auch verknüpft mit persönlichen und auch mit ähm den wirtschaftlichen Identitätsdaten, also sprich zu welchem Unternehmen gehöre ich, bin ich dienstlich da, wie will ich abrechnen
Und äh dann diesen ganzen Prozess streamen leihen kann. Das ist jetzt nicht irgendwie etwas, was tatsächlich eine ID Wallet auszeichnet an dem Punkt. Ne, also diese Dinge sind tatsächlich auch schon alt.
[44:16] Hat ein Nachteil auch, ähm wenn man das tatsächlich als App macht, deswegen hat man das früher auch immer zurückgestellt, ist immer der Punkt, wenn das Handy mal leer ist.
Oder es ist nur zwischendrin mal kaputtgegangen, weil man auf der Reise das Ding hat runterfallen lassen. Dann funktioniert der ganze Kram nicht mehr,
Und dafür gibt's einen anderen Weg. Das ist das, wo die Smart-Idee auch hingeht. Man hat tatsächlich an den Geräten auch Securements. Ne,
so zwei Protagonisten von denen man hört. Der eine ist Apple, der andere Samsung. Tatsächlich gibt's noch mehr.
[44:41] Und wenn man so ein Sequirelement da drin hat, ne, dann kann ich auch so ein totes Board nehmen an der Stelle, ne. Wir sehen uns ja grad nebenbei, ich halte mal so ein Ding in ihren in die Kamera,
das Ding kann ich dann eben halt auch nehmen und kann dann dort äh auch mit diesem Element immer noch reden, wenn es eben halt kein Strom mehr hat,
Das wäre der Punkt, wo man dann sagt, okay, das kann ich als Autoschlüssel verwenden, da kam die Idee nämlich her. Das kann ich dann auch super als Hotelschlüssel nehmen oder eben halt auch als als ID immer noch, wenn ich das Ding nicht mehr bedienen kann.
[45:07] Wo Miss Martia die hin wollen, weswegen ich seit 2014 in dieser ganzen Smart-ID-Thematik rumrühre und das alles angeschoben hatte und.
Das ist denke ich ein Ding, das ist sicherlich sinnvoll, genauso was zu kombinieren. Das ist ein richtiger Aufschlag,
Das Ganze wird dich mal loslösen einfach von dem, wie mache ich das konkrete Identifizierungsthema da drin? Was man jetzt hier versucht zu bauen, ist eine eierlegende Wollmilchsau.
Irgendwie alles können soll und nichts davon richtig kann am Ende des Tage.
Und wenn man das noch miteinander integriert kriegt, dann ist das sicherlich eine gute Idee. Aber dafür muss man keine Blockchain einsetzen, dafür braucht man keine esoterischen Kryptographieverfahren, dafür braucht man nicht irgendwelche Standards, die's die ausm Draftmodus noch nicht mehr rausgekommen sind.
Also die Idee, gut, schön wäre gewesen, wenn man dieses Geld, was wieder mal woanders hingeht,
mal einfach da reingesteckt hätte, die ID dort mit reinzubohren und zwar zuverlässig reinzubohren, nicht nur einfach so, man geht einmal bei der Bundesdruckerei vorbei, die machen aus meiner ID im Wesentlichen eine Art Zertifikat
nennen wir es mal einen ID talken und schieben mir das rüber und dann habe ich eine App oben drüber, die das Ding dann verwaltet. Also das ist Quatsch, ja, weil.
Torsten:
[46:08] Aber mit der ID Wallet soll ich doch auch meinen äh Führerschein zu Hause lassen können. Das soll ich doch äh meinen Führerschein bei der Polizei vorzeigen können mitm Handy.
Christian:
[46:17] Seit seit Jahren reden wir dadrüber, dass diese Führerscheinnummer, ja, das ist das Einzige, was den Führerschein geht nur dem Ausweis auszeichnet,
Einfach als Datengruppe in dem Ausweis aufnehmen. Das haben zum Beispiel die Niederländer und auch die Polen verlangt. Die Niederländer haben ja einen digitalen Führerschein. Genau dasselbe mit deiner Versichertennummer, von deiner Edeka.
Das sind einfach so Dinge, wo die anderen europäischen Länder gesagt haben,
Leute seid ihr bescheuert, warum braucht ihr hier irgendwie drei verschiedene Karten? Ja, das sind alles staatliche hoheitliche IDs. Und deswegen haben wir zum Beispiel auch im Alterstroken, das ist die Norm über dem deutschen Ausweis. Der ist ja nur Inkarnation eines europäischen Dokuments, ne? Es gibt den deutschen Haushalt in dem Sinne gar nicht,
Da steht der ist halt in Deutschland ausgegeben, ja, aber die Technologie ist europäisch.
Und deswegen haben wir dort Attribute, ja? Das weil man da einfach sagen kann, pro Mitgliedsstaat kann er sagen, ach wir haben noch was anderes, wir haben noch mehr als eine Edeka und einen Führerschein. Hier gibt's noch einen staatlichen Bibliotheksausweis, ja, dann kannst du den als auch die gut mit da drauf hauen,
hast du genau eine ID, wo dieser ganze Kram drauf ist,
Und das nächste was eigentlich bei der Smart ID auch interessant geworden ist, ist du kannst das Ding halt klonen. Du kannst dir eben halt eine beglaubigte Kopie davon anlegen. Du kannst, du darfst mehrere haben.
Ganze den ganzen Originalkram zu Hause lassen, wenn du irgendwo unterwegs bist, sei es im Urlaub, auf Dienstreise, weiß der Geier, was abends in der Stadt noch mit Kollegen treffen,
nimmst du halt einen deiner Klone mit dann hast du da deine ID drauf, da ist deine EGA drauf, da ist dein Führerschein drauf,
was warum du noch brauchst und gut ist und wenn das Ding kaputt oder verloren geht dann machst du es zu Hause neu. Ne also da sind wir schon.
Manuel:
[47:45] Den digitalen äh Führerschein und dann kann ich den der Polizei vorzeigen, ne. In dem Moment hat sich bei mir innerlich ja ein bisschen was gekrümmt und gezuckt, ne, als ich diesen Prozess mir angelesen habe.
Ich stelle mir das so vor, ich habe mein Telefon, mein Smartphone, mein meine tiefsten innersten Gedankengänge in Chats und,
Die da drauf sind und dann entsperre ich das kurz und reiche das dem Polizisten rüber oder der Polizistin und sagt, hier gucken Sie gerne rein. Ich äh bin, das ist mein Führerschein.
[48:17] Ey so was von nein, das kannst du dir gar nicht vorstellen. Nein, ja,
und ähm abgesehen davon die Funktionalität in dieses man in the middle war ja so im Endeffekt,
analoge Prozess, ich reiche das mal Polizistin rüber und und äh,
vertraut da mal drauf, dass es Polizistin ist? Nö, ich würde mir erstmal den Dienstausweis zeigen lassen, ne. Würde sagen, ist schön, dass sie mit einem Polizeiwagen angockeln und das sich Anzug anhaben, aber das interessiert mich leider nicht. Ich hätte jetzt gern den Dienstausweis gesehen und dann weiß ich auch, dass sie,
Servus oder Lieschen Müllers sind und und äh mit der Dienstnummer so und so und dann dürfen sie meinen Ausweis sehen. Vorher zeige ich den einfach nicht.
[48:56] Das ist A mein gutes Recht und B ein rechtsstaatlicher, demokratischer Prozess so sich auszuweisen zu können gegenüber und was kann die ID Wallet genau diesen Teil nicht?
Das Gegenüber musste sich nicht ausweisen und konnte es auch nicht. Das heißt, du hast einer beliebigen Instanz deine validierten äh und verifizierten Nutzerdaten äh äh gegeben,
gar keine Option hattest zu sagen, zeig mir doch mal, dass du wirklich,
Hotel A, Polizist B oder Plattform Cbis. Ähm wann ich vorgesehen. Also dieser dieser eklatante Gegenverifikationsfail war ja von Anfang an bekannt und ist ein Problem,
Man hat's einfach ignoriert bei einem staatlich geprüften validierten Datensatz der Bürgerinnen. Ich meine,
dass das nicht irgendwie sofort in einer Risikoanalyse auffällt, wo man sagt.
[49:48] Ähm da sind grundinerrennt das Defizit, dass es nicht secure by Design, dass es das ist komplett fail, zeigt ja auch schon, mit welchen Gedankengängen diese Menschen in die Risikoanalyse und in die Umsetzung gegangen sind. Die wollten wir umsetzen, Risiko war egal.
Torsten:
[50:02] Ja vor allen Dingen ich habe eine verifizierte ID und die wird dann über einen QR-Code äh ausgelesen oder mit den Augen.
Manuel:
[50:10] Ist mir egal. Dies verifiziert, aber das Gegenüber ist nicht verifiziert. Also ich,
meine verifizierten Daten an Donner und bekannt, äh ob Donner unbekannt Augen hat oder oder eine einen QR-Code oder sich anzieht wie ein Polizistin oder was auch immer, ist doch egal. Es ist einfach nicht verifiziert.
Sein.
Christian:
[50:28] Man nennt das Thema terminal of Hecation. Das ist uralt.
Und Terminal of Fantication ist genau dafür da, dass sie gegenseitig sich erstmal identifiziert und quasi ausweist, wer bin ich überhaupt und welche Rechte habe ich,
Damit ich als Nutzer in der Lage bin, zu prüfen, mit meinem Endgerät, dem ich vertraue, wer ist diese Seite?
Ist dieses Berecht ist diese Berechtigung gültig? Zeitlich gesehen einfach.
Was darf diese Seite überhaupt lesen? Und dann kann ich das noch sagen, okay, was möchte ich freigeben und was nicht.
[50:59] Die Hardware unten drunter, zum Beispiel die Smart ID oder ID, die sagt dann alles klar. Ich prüfe jetzt nochmal diese Berechtigungszertifikate gegen das, was die Seite lesen will und das. Ja, da kann also keiner sich dran vorbeimogeln und irgendwas aussetzen, was er gar nicht lesen darf.
Und das ist halt so ein Punkt,
der eben halt bei der ID Wallet komplett vergessen worden ist, ja? Man man hat das ja gar nicht drin. Also es gibt zu dem Ditor-Standard sogar noch die Aussage, ja das ist Out of scope,
Party of Hecation spielt ja keine Rolle, ne? Also ähm das ist immer die Identifikation der Gegenseite. Dieses Beispiel halt äh Polizei, die den Führerschein kontrollieren will,
Und das ist halt auch so der Aspekt, wo man tatsächlich im relativ einfach auch als Angreifer dazwischengrätschen kann,
Und dann eben halt, das war ja das Beispiel von Lillet, ne, sich als Helge Braun auszugeben, zu sagen, Helge möchte, hättest deinen Ausweis oder deinen Führerschein sehen.
So, dabei ist es aber nicht Helge gewesen, sondern Lillet.
Und das erstmal diese Erkenntnis ankam im Bundeskanzleramt. Das hat eine ganze Weile gedauert. Also man hat das überhaupt nicht verraten, ob man das überhaupt nicht verstanden gehabt.
Und das ist eigentlich das, was mich am meisten erschreckt hat. Ja, also das geht einfach um Architektur und Sicherheitsgarantien von ID-System. Und eine Sicherheitsgarantie, ein ID-System ist nämlich auch der Datenschutz gegenüber dem Anwender dem Bürger einer Stelle. Das ist komplett vernachlässigt worden.
Manuel:
[52:13] Na ja, ich meine, die haben ja auch vernachlässigt äh in irgendeiner Form äh sozusagen mitzubekommen, ob und was das BSI davon hält.
Das heißt, äh man man hat äh sozusagen auf Bundesebene ein ein Kompetenzzentrum mit vierstelliger Anzahl Mitarbeiterinnen für Sicherheit, das ist ja auch nicht selbstverständlich in ganz Europa, ja? Wir sind,
Äh einer der wenigen, wenn nicht der einzige Staat, der sich so eine so ein Bundesamt gönnt, ja und äh was machen wir? Wir ignorieren das erst mal. Wir beziehen das nicht ein,
Wenn die dann eine Sicherheitsanalyse schreiben dazu, kennen wir die noch nicht mal. Ich meine, das muss ja auch erstmal hinkriegen, ne.
Torsten:
[52:50] Ja, also ich finde ja unser BSI inzwischen äh wirklich ein äh guten Laden mit echt guten Leuten drin. Äh man muss halt nur drauf hören, was sie sagen. Also das äh ist äh.
Manuel:
[53:00] Na ja, vor allem muss man erstmal dafür sorgen, dass das was die sagen, zu einem kommt, ne. Man man kann natürlich auch sagen, oh, wir sind Bundeskanzler und wir warten jetzt mal, dass die sich bei uns gefälligt melden.
[53:11] Äh oder oder was auch immer die Ausrede ist, warum man eigentlich nicht in der Lage ist, sich mit dem BSC austauschen zu können. Wir wir mussten formal übers BMI gehen und das BMI hat leider vergessen und sie ist mir völlig egal warum.
Einfach nicht sein, dass wir dieses Bundesamt haben und und man nicht schafft, miteinander die Kommunikation aufzubauen und um sich abzustimmen und dann auch drauf zu hören und zu sagen, okay, die sagen also Folgendes, dann sollten wir vielleicht gucken, dass wir die Dinge anpassen, weil,
Haben die sich damit beruflich öfter und länger und intensiver befasst. Aber das ist ja dasselbe wie äh sozusagen externe Expertinnen oder auch die.
Sicherheitsforscherinnen Community, die da unzureichend oder kaum einbezogen wird oder viel zu spät oder über drei Ecken.
Und dann äh äh wenn Sie einbezogen wird oft genug ignoriert wird, äh äh selbst auf höchster Ebene. Ich war Sachverständiger im im,
für für das IT-Sicherheitsgesetz zwei null, ja? Äh alle sechs, nicht nur ich, alle sechs Sachverständiger haben echt heftig Kritik abgelassen,
Was ist davon im im Gesetz angekommen? Äh also nicht heftig in Form von null alles Anzünder als doof, sondern auch teilweise konstruktiv und gesagt, na ja dieser und jener passt doch so und so.
Davon ist fast gar nichts umgesetzt worden. Also wenn man halt Expertise hat, sollte man diese auch nutzen, einbinden, zuhören.
[54:31] Dinge besser machen,
Ich sehe das alles nicht in dem Ausmaß in der in der Verwaltung, leider. Ja, an an vielen Stellen. Ich muss fairerweise sagen, es gibt auch Stellen, wo das sehr konstruktiv und toll miteinander klappt,
Aber auch an dieser Stelle hat man gesehen, so die diejenigen, die.
[54:46] ID-Systeme, SSI und und einen Wallet Scan haben sich dann einmal kurz angeguckt und gesagt, oh mein Gott, jeder, jeder, die man gefragt hat,
Und dann tun die äh sozusagen total erschrocken oder noch schlimmer, so wie CK gerade gesagt hat, ne, ist das überhaupt erst mal angekommen ist, was das Problem war, hat aber auch eine ganz schöne Zeit gedauert,
die waren noch nicht mal in der Lage zu transformieren und zu adaptieren, was eigentlich das Problem ist, was da Leute kommunizieren. Äh das ist schon irgendwie trauriges Lagebild.
Torsten:
[55:15] Auch so eine rote Warnung, wie jetzt bei Jay machen sollen. Das stand, war sogar eine Tagesschau.
Manuel:
[55:19] Ja, aber wenn du wenn du irgendwie also ich meine, das BSC hat muss man ja krasserweise sagen, dieses Jahr zweimal Fahrstufe rot ausgesprochen und das letzte Mal davor war, glaube ich, vor zehn Jahren, ne? Vor zehn Jahren, dann dieses Jahr und nochmal dieses Jahr,
Zwanzig dieses fiese zwanzig einundzwanzig ja findet ganz schön viel an. Aber wenn du das halt jetzt bei permanent, bei jeder,
In Anführungsstrichen Kleinigkeit oder bei ihrem Digitalprojekt machst, ne? Wenn du permanent Warnstufe rot hast, sehen die Leute halt auch nicht mehr, dass es rot ist. Dann ist halt, ja, ja, normal Zustand, die leiden immer über Rot in den,
bringt ja auch nix.
Christian:
[55:53] Aber vielleicht nochmal.
Manuel:
[55:54] Dann hätte das BKM das ja mitbekommen müssen, die haben ja leider gar nicht mitbekommen, was das BSC sagt. Da können ja auch Warnstufe rot aussprechen, kriegen sie auch nicht mit. Das ist ja irgendwie schon.
Christian:
[56:04] Vielleicht noch mal kurz zurück dazu, ist ja nicht nur das BSI. Ich hatte ja zwei ähm Informationsfreiheitsgesetzanfragen gestellt und ähm die eine ging an den BFI, die andere ans B kamt.
Die vom BFD kam übrigens extrem vorbildlich mit 31 Dokumenten zurück, also da gilt auch mein Dank an den BFD und ähm die Mitarbeiter.
Muss er immer noch antworten. Was aber dabei ersichtlich ist, dass genau diese Fragen äh glaube im März schon vom BFTI gestellt worden sind.
Das heißt also ähm das Thema an sich ist im Bundeskanzleramt auch schon mal präsent gewesen, weil es gibt Antworten dadrauf aus dem BAMT,
Man hat das grundsätzlich gesehen. Das Problem war nur hier, dass man sich dort noch äh rausgeretet hat und gesagt hat, ja ja, das machen wir schon alles, kriegen wir schon hin,
BSI das nochmal angeguckt, hat genau was Manu gerade sagte eben halt auch schon gesagt so stopp aus, Moment äh also das das geht so nicht, das kann man so nicht umsetzen.
Es immer noch ignoriert worden. Und ich kenn's tatsächlich selber aus eigener Erfahrung, weil ich saß nämlich mit ein paar dieser Kollegen auch zusammen,
Das war genau dieser Bericht, der nämlich jetzt vom BK Amt auch zurückkam wo es dann hieß, ja das sind ja alles äh irgendwelche politischen Hacker und das ist ja hier äh ja irgend so eine Community und die machen ja sowieso alles nur do.
Ähm also das ist eine überhebliche, arrogante Einstellung. Ähm Fachexpertise im eigenen Land zu ignorieren, einfach nur, um da irgendeine Agenda durchzuziehen,
Das ist das Problem. Das ist nicht unbedingt die Technik. Es ist einfach die charakterliche Eignung der Praktikerung.
Torsten:
[57:32] Vielleicht sagen wir auch noch mal ganz kurz, das waren auch die 19. Bundesregierung und nicht die zwanzig wie jetzt. Also das war noch die Vorgängerregierung und wir können jetzt hoffen, dass die äh aktuelle Bundesregierung das äh besser macht.
Manuel:
[57:43] Definitiv. Schlechter geht ja auch kaum noch.
Christian:
[57:46] Ja
Manuel:
[57:47] Ich also wenn wenn der Maßstab der ist äh ne, wenn wenn du wenn du aufm Boden liegst, kannst du eigentlich nur noch hochkommen, ne? Na ja hm schauen wir mal aber ja ich habe also ganz ehrlich ich habe da auch Hoffnung. Das könnte was werden, ja.
Torsten:
[58:00] Ja man muss sich bloß mal den Koalitionsvertrag an angucken da sind ja viele Sachen drin, die unter anderem der CCC hat ja auch eine Stellungnahme äh gestellt, was die ähm Bundesregierung anders machen sollte, davon ist einiges im im Koalitionsvertrag gelandet. Also das ist schon mal ein großer Fortschritt.
Manuel:
[58:15] Ist aber erstmal nur eine Willensbekundung. Wir also.
Bin schon noch pinsig und sage, ich möchte auch sehen, dass die Sovillensbekundung transformiert werden. Da stehen ja auch so Highlights drin wie, wir machen das mit dieser OZG Geschichte jetzt einfach mal schneller,
Ja dann da bin ich ja mal gespannt, wie ihr das hinbekommt, ja, diesen,
diesen riesen Kran irgendwie äh um um drei Grad nach links oder rechts zu bewegen, das ist ja haben haben schon viele ausgesessen ja mal gucken ob ob ihr das bewegt bekommt. Wenn ja Kudos und Respekt, gar kein Thema,
aber solange bin ich noch verhalten und sage, dann da kamen schon viele und haben das erzählt, ne? Mal schauen, so.
Torsten:
[58:53] Ich sage nur zwei Milliarden Euro in zwei Jahren, da kann man sich mal kurz hochrechnen bei einem äh Tagessatz von 1tausend Euro, wie viel wie viel Mitarbeiter das sind oder wie viele Leute das sind. Das gibt's nicht. Zu viele Entwickler gibt's in.
Manuel:
[59:05] Ist ja, du kannst selbst wenn. Du kannst das Problem ja nicht. Du kannst Probleme in der Digitalisierung nicht ausschließlich mit Geld erschlagen,
Du musst ja zum Beispiel im in den,
In der Verwaltung, machen wir's mal generisch an den Stellen, wo du solche Projekte einführen willst und das du kannst ja eine RID nicht einfach nur auf.
[59:24] Bundeskanzleramtebene beschließen, dann hat keine Kommune irgendwie ein funktionales System oder gibt,
eine Karte raus und versteht sogar, dir zu erläutern, warum die Mehrwert hat. Ähm äh in der Verwaltung brauchst du Menschen, die diese digitalisierten Systeme verstehen,
Projektleiten und Projekt managen können,
die sogar in der Lage sind, so eine Ausschreibung selbst zu formulieren, ohne sich äh Berater und Wirtschaftsprüfer einzukaufen und anschließend so ein Projekt auch zu begleiten, eine Roadmap zu machen und zu sagen
was kommt denn, wenn wir Version 10 fertig haben? Wie sieht denn die Weiterentwicklung aus? Und nein, das machen wir nicht erst, wenn Version 1 0 aufm Markt ist und seit fünf Monaten Stille, sondern ausflippen.
So wie zum Beispiel bei der Corona-Warn-App, ja, das war der große Fail, den man sich ja geleistet hat, bis Version 10 war episch geile Weiterentwicklung und da waren wir Funkstelle.
Projekt abgeschlossen, Gelder sind jetzt fix, gibt's nicht,
Wann sind sie wach geworden? Haben gesagt, oh Mist, wir müssen ja doch was tun. Äh also wenn man dieses Know-how und dieses Wissen in die Verwaltung bringt.
[1:00:25] Dann kann das was werden, wenn man das nicht tut, können wir ewig warten. Dann können wir auch zwei Millionen, zehn Milliarden,
oder oder hundert Milliarden drauf werfen. Das Problem bleibt immer noch dasselbe, weil wir an den Auswirkungen das Geld investieren, nicht in der Ursachenbehebung. Und dann werden wir nach Ende des Geldes wieder in derselben Ursache stecken,
nämlich,
Es fehlt sozusagen diese diese Kompetenzen, dieses Know-how, diese Ausbildung in der Verwaltung zu haben und in den Köpfen der Mitarbeiterinnen, Sachbearbeiterinnen und und Führungskräfte da, damit die auch wissen, was die tun müssen und damit die auch,
nicht nicht nur sozusagen Hilfe, ich muss Verantwortung tragen, sondern hey krass, diese Verantwortung kann ich entspannt tragen, weil ihr einfach weiß, was wir da tun,
Da will man doch hin. Das das ist die Lösung, ja.
Torsten:
[1:01:11] Ja, da müssen wir aber weg von unserem Wasserfalldenken, hin zu einem agilen Denken. Agil ist inzwischen äh ein Schimpfwort geworden in der öffentlichen Verwaltung, ähm aber das ist genau das, wo wir hin müssen. Wir sind immer am weiterentwickeln, immer am Iterieren und es wird immer besser.
Ähm und das muss auch in der Verwaltung so passieren.
Manuel:
[1:01:29] Ja, bin ich bei dir? Absolut.
Christian:
[1:01:31] Also vielleicht noch ganz kurz, also ich kann das nachvollziehen, warum das agil in der öffentlichen Verwaltung ein ein Schimpfwort geworden ist. Es ist auch einfach massiv missbraucht worden von allen Seiten. Also ich sehe da selber, es ist der erste Begriff, den ich vermeide oder auch draufhaue, ist halt agil.
Was man machen kann, ist tatsächlich so ein also was ich selber auch einsetze, so eine Art V-Modell XT, das kann man anpassen mit einem agilen Innenprozess. Hm, nach meiner.
Ja kann man aber hey, guck mal, das funktioniert ganz gut, weil ich gehe erstmal mit einer Anforderungsanalyse vor,
und versuche zu verstehen, was wollt ihr denn eigentlich, ja und wat davon ist denn schon vielleicht da und äh wo haben wir vielleicht auch Probleme in den Requirements, weil sich das beißt, ja und dann fangen wir mal an und bauen dann halt so schrittweise etwas, was so einen Durchstich leistet,
dann verifizieren wir auch, ob das euch am Ende auch das erfüllt, was ihr uns mal am Anfang vorgestellt haben, weil ich glaube, das wird nämlich ganz oft vergessen.
Torsten:
[1:02:18] Früher früher hieß es mal KVP, kurdierliche Verbesserungsprozess oder Kai Sen äh heißt das die Japaner äh mal neu erfunden haben bei Toyota, glaube ich.
Manuel:
[1:02:26] Ist viel zu krass.
Christian:
[1:02:28] Kommt ja auch aus der Ecke. Äh ja und tatsächlich also,
was Manu grad sagt ist, wir müssen auch gucken, dass wir genau diese Prozesse einbinden, dass das Denken eben halt auch in der Verwaltung landet, weil ansonsten ist der ID Wallet nämlich genau dasselbe Schicksal schien wie der ID. Ja, wir haben jetzt ein paar tolle äh,
sagt ja nicht mal Leuchtturm, weil Leuchtturm braucht ja keiner mehr. Man sagt jetzt Schaufenster.
Torsten:
[1:02:49] Ja, das ist.
Christian:
[1:02:49] Ähm die Begründung.
Torsten:
[1:02:52] Nicht mehr ganz so hoch die Schaufenster.
Manuel:
[1:02:55] Aber die sind vor allem wieder analog, ne? Die die können in digital nicht denken und sagen dann, wir brauchen eine analoge Denker, also ein Schaufenster, ne? Dann geht man dat stellt man sich klassisch vor, wie man in die Stadt geht,
vor so eine Einkaufsmeile und dann dieses Schaufenster anguckt und reinschaut und analog sieht, was da geht.
Also die die brauchen diese Denke, damit die irgendwie Digitalisierung können. Das zeigt ja. Ich sage ja, die die das Know-how ist nicht da,
Die müssen dann von so was wie Schaufenster oder Leuchtturm reden. Die können gar nicht in digital sprechen, weil er kennen die nicht. Ist schon ist schon irgendwie schlimm.
Christian:
[1:03:28] Ne? Oder man muss äh Leute ansprechen, die außerhalb dieser geförderten Projekte sind,
Passiert genau dasselbe. Es steht wieder still und dann es kommen solche Krefeldprozesse raus, wie Manu was so am Anfang gesagt hast, dass das Zeug halt einfach nicht funktioniert, dass es nicht benutzbar ist. Ja damit da landen wir dann am Ende.
Manuel:
[1:03:44] Der Witz ist, dass die Bürgerinnen das ja wollen. Ich will's ja auch. Jeder, der mir irgendwie, ich meine, das sind nicht viele, ne, aber jeder, der mir sagt, ja äh wenn du so viel meckerst, dann brauchst du ja auch nicht wundern, ob das nicht funktioniert oder so, ne? Dann sage ich immer,
oder du bist ja dagegen. Dann sage ich, nein, ich bin absolut dafür, ich hätte liebend gerne funktionale ID. Endlich könnte ich mich online ausweisen und muss gewisse,
einfach nicht mehr vor Ort tun, schon gar nicht in der Pandemie, so zweimal nicht, ja? Äh da da strebt sich jede jede Pore, jeder jeder Zelle, die irgendwie keine Lust hat, infiziert zu werden und das sind alle bei mir.
Aber wenn wenn das halt so machst, dann
dass man fünf Minuten draufguckt und es auseinander fällt, aber im Prinzip kann man traurigerweise danach sagen, weil war doch klar,
das ist ja noch nicht mal was, was einen wie soll ich sagen, was einen befriedigt oder einem Kraft gibt oder oder wo man sagt, hey geil, ich habe heute wieder was zerrissen, ich habe das ist,
Ich will's doch gar nicht. Ich will einfach nur Lobeshymnen sprechen können, aber wann und wo.
Einem ja jedes Mal die volle Breitseite an Elend, statt irgendwie ein sinnvolles Konstrukt, wo man gemeinsam dran wirken kann und wo man auch sagt, ey weißt du was, ehrenamtlich bringe ich meine Freizeit auch noch rein und investiere das. Das ist nämlich gut investiert. Da kommt nämlich was bei rum für die Bürgerinnen,
Wäre ja mal was, aber das passiert leider sehr selten.
Torsten:
[1:05:01] Aber ich glaube, wenn man die Bevölkerung daran gewöhnt, dass schrittweise besser wird und nicht äh,
ein Jahr lang erzählt wird, dass wir eine eine Corona-Warn-App bauen und die Corona-Warn-App hat dann 100.000 verschiedenste Funktionen, wovon die Hälfte nicht funktioniert. Ähm,
des Quark.
Manuel:
[1:05:17] Ne ne, die Corona-Warnapp funktioniert einwandfrei und alle Funktionen sind drin. Jetzt nicht diskreditieren an der Stelle, wo's nicht tut.
Torsten:
[1:05:25] Lass mich kurz, ich finde die Corona-Warn-App auch gut und ich wollte das eigentlich als leuchtendes Beispiel bringen, weil die Corona-Warn-App hat mit einem einfachen äh Funktionsumfang angefangen und wurde mit jeder hat die Mehrfunktionen gebracht und
mehr äh Komfort gebracht. Und genau so müssen IT-Projekte auch in öffentlichen Verwaltungen funktionieren. Also es kommen immer mehr Funktionen dazu.
Wenn wir gewartet hätten, bis bis alle Funktionen äh drin sind, dann hätten wir jetzt noch keine Corona-Warn-App.
Manuel:
[1:05:52] Aber selbst da, ne, äh hat hat der Staat wieder mal hingekriegt zu sagen.
Der Staat um die Verwaltung ganz generig. Oh, wir haben eine Corona-Warn-App, achtet funktioniert sogar. Warte mal, wir versuchen diesen Luca Crab von diesem äh Covid-Glücksritter und und gehen damit nach vorne. Und dann denkst du dir so,
Ah ja, das eine funktioniert, das andere ist Marketing, von Corona und da drauf springt ihr wieder auf.
Man sich das an und sagt, warum gibt's jetzt wieder zwei Systeme, warum ist dat wieder irgendwie krude,
und dann hat man auch schon wieder keine Lust mehr und denkt, okay, haben sie wieder also immer immer mit Vollgas vor die Wand und feuer schön den Airbag ausbauen. Was soll das?
Torsten:
[1:06:32] Von Luca müssen wir jetzt mal wieder weg, weil die sind ganz schnell mit ihren Anwälten und da habe ich keinen Bock drauf. Ähm.
Manuel:
[1:06:37] Genau, als äh ah ja, aber du äh du bist ja nur Podcaster und nicht Journalist, ne? Journalisten werden weggeklagt, nicht Podcaster.
Torsten:
[1:06:43] Ja genau, ich bin ich bin ja kein Journalist. Aber lass uns mal wieder zurückgehen zu dieser ID Wallet. Ähm wir hatten jetzt äh schon drüber gesprochen, was die machen soll. Ähm
gibt's überhaupt irgendeinen äh Grund, wofür ich sowas brauchen könnte, so eine ID Wallet?
Inzwischen mehrere, mehrere ähm ähm Initiativen dazu. Also da gibt's hier äh ID Union, Ones, ID Ideal, äh alles Mögliche. Gibt's dazwischen. Ähm,
die alle vom vom äh Bund irgendwie finanziert und gestützt werden.
Manuel:
[1:07:18] Sie geht zuckt in die in die Kamera. Ich hänge hier auch grad so hm ja, weiß nicht. Also äh ich ich sehe grad äh äh vor meinem geistigen Auge diesen Strohballen über über die Straße rollen. Ähm.
Ich weiß es echt nicht, ey.
Christian:
[1:07:34] Ja, das ist das, was ich schon meinte, dass er außerhalb dieser geförderten Dinger.
Ja keine Use Cases. Also das ist die da wird jetzt ganz viel rumgetönt. Ja wir haben jetzt ganz viele tolle Sachen gebohrt. Ähm.
Ich bin halt auch schon über 20 Jahre im Business und ich habe halt oft solche Dinger schon gesehen. Das ist halt ein Strohfeuer, ne, denn das Geld weg ist, ähm dann klimmt das noch eine Weile vor sich hin, dann raucht es und dann war es das.
Ich sehe noch nicht, dass das sich tatsächlich etabliert. Das hängt schon damit zusammen, dass die Standards unten drunter ja gar nicht mal fix sind, dass die da final sind,
Stelle und ich muss halt überall eine neue Technologie einbauen, die ich halt nicht mit irgendwas anderem einbinden kann. Ich versuche ja grad den Leuten zu zeigen, wie man ganz einfach mit jede beliebige Bestandssoftware reinkriegt,
Und jetzt kommt dann also an und sagt, okay, wir machen da mal so einen halbgaren Standard und jetzt müssen sich da alle mit den Blockchain Notes hinstellen, um mitzuspielen und IBM Technik kaufen, ne. IBM wird das auch so drehen, dass die hinter ihre Consultants und ihre Lizenzen da bezahlt haben wollen,
Und jetzt hat sich schon die Bundesdruckerei zwei Patente auf das ganze Verfahren, das heißt also aus dieser offenen lipertären Geschichte wird also dann doch wieder so ein Ding, was geschlossen ist, was genau zwei Leute bedienen können, ne, also zwei Unternehmen,
Weiß nicht, ob sich das durchsetzt. Also das ist momentan nicht absehbar, also wir gehen auch nicht davon aus, dass wir das irgendwo einbinden werden, weil das momentan alles viel zu ungar ist in irgendeiner Form, dass man sagt, als Softwareschmiede, wir bauen das mal ein.
Torsten:
[1:08:53] Was ist was ist denn mit äh dem digitalen Schülerausweis? So ein Schüler hat ja keinen Personalausweis. Äh taugt taugt so eine ID-Wolle
dafür oder dem digitalen ähm,
Bibliotheksausweis oder der digitalen Gästekarte oder dem digitalen Sozialpass oder Ähnlichem? Taugt sowas.
Manuel:
[1:09:14] Na wenn du wenn du Schülern äh also man man könnte jetzt sagen, wenn du Schülerinnen, die irgendwie unter 16 sind, ein äh Smartphone in die Hand drücken willst, wird ja eigentlich in fast allen Funktionalitäten in der AGB sagt,
darfst du mitspielen. Gut, die meisten ignorieren's, ne und und sagen dann,
ich mache das mal über Mama oder über Papa und die ging's dann ein, weil heutzutage muss man da irgendwie agieren können, dass auch wieder eher so ein,
formales Gesetzesschutzkonstrukt, was in der Realität gar nicht funktioniert, weil fast alle Schülerinnen unter 16 haben irgendwie schon ein ein Smartphone äh und und nutzen das Ganze, aber so so rein formal wäre das ja schon irgendwie,
zu berücksichtigen und wird dann nicht so ganz entspannt funktionieren, ne? Es sei denn, wir kämen mal weg von diesen ganzen
Smartphone-Betriebssystem, die immer gekoppelt sind an diesen ganzen App direkt, den du automatisch mit installieren musst, der dann ab 16 zu nutzen ist und werde mal freie Software auf freiem Telefon und könnten sagen, eine reine,
Schüler äh Ausweisfunktionalität,
oder dieser digitale Bibliotheksausweis wären ja mal was wat Sinn machen würde und dann muss das auch kein eintausend oder wieviel auch immer Euro äh fette Smartphone sein oder vielleicht einfach ein günstiges kleines Gerät, ne? Aber.
[1:10:32] Zumindest nichts, was da in Massenproduktionen angeboten wird, was so frei ist, dass die Hardware und die Software offen ist, damit unter 16 entspannt genutzt werden kann und wenn's dann geklaut oder vergessen oder verloren wird, äh
nicht gleichen äh vierstelliger Betrag, der flöten gegangen ist.
Also wer vielleicht ja auch mal was für so einen digitalen Staat, der vielleicht diese Infrastruktur bereitstellt, weil wenn du die Infrastruktur nicht hast, ne, kannste
total toll über Anwendungsfälle reden. Das ist ungefähr so, wie wenn du sagst, weißt du was? Wir setzen jetzt die Bürgerinnen in so ein, in so ein Formel-eins-Wagen und kann die 400 fahren.
Hat sogar vor eine Sicherheitsausbildung bekommen und dann setzt er dir auf so einen holprigen Feldweg, wurde maximal 20 fahren kannst und sagst, ja nu hopp.
Und dann stehst du da und denkst, äh ja nee, ohne Infrastruktur tut das nicht und solange die Schülerinnen diese Infrastruktur nicht haben in einer,
In einer Schülerinnenkonform in einer Kinderschutzform, ja ähm ist das eine schöne Idee, aber ehrlich gesagt.
Hat so ein Geschmäckle.
Torsten:
[1:11:33] Wer da vielleicht so ein so ein Hardware Token mit Securelement was? Thema an Schüler austeilt.
Christian:
[1:11:38] Ich wollte gerade sagen, also es gibt erstens muss man bei solchen Sachen hinterfragen was bringt mir das überhaupt? So ein digitaler Bibliotheksausweis oder äh Sozialausweis, was auch immer, aber die Gegenseite muss ihn lesen können. Ne? Und da fängt's nämlich an und grad so beim Thema Tourismuskarten haben wir.
Manuel:
[1:11:53] Ja.
Christian:
[1:11:55] Ja genau und die Infrastruktur, die ist da momentan zum Beispiel dabei von Barcodes auf QR-Codes umzustellen. Ja, wir haben da auch mal äh böse nachgefragt, dem einen oder anderen, sag mal, ihr wollt hier nicht mal FC-Karten einsetzen, so weil äh QR-Codes kopieren und so weiter, ne,
Da geht's aber los, ne? Die Leute haben das erstmal da und das wäre erstmal der entscheidende Punkt, dafür zu sorgen, dass jetzt vielleicht was Übergreifendes, Einheitliches gibt, ja? Man kann ja anfangen mit so einer Art Burger oder Tourismuskarte.
Entsprechenden Tourismusregionen, wo genau nämlich sowas schon gefordert wird. Zugang zu irgendwelchen öffentlichen Einrichtungen, Nahverkehr, Strandbad besuchen, weiß der Geier wird.
Da jetzt eine Bibliothek mit anzukoppeln ist auch nicht gerade schwer. Das kann man eben tatsächlich auch für Jugendliche ausgeben, ja und,
Auch für Kinder und da ist halt die Frage, welche Technologiebasis will man denn haben und sich da vielleicht auf einen einheitlichen Standard zu einigen, um einfach auch mal so solche Sicherheitsaussagen, ne? Das ist wieder so ein Thema, einmal festzuziehen und sagt, okay, was kann ich damit beweisen, was brauche ich damit nicht beweisen, ne? Was ist da nicht wichtig?
Und äh wie kriege ich das Ganze auch kosteneffizient so hin, grade äh digitale Teilhabe, ja? Nicht alle Eltern werden ihren Kindern da irgendwie gleich so ein Smartphone kaufen können, um da einfach so ein mitzumachen.
[1:13:05] Das ist, glaube ich, erstmal wichtiger, sich die Sinnhaftigkeit zu überlegen und das kann auch eine einfache NFC-Karte sein, ne. Also einfach heißt bei mir schon, mit Krypto-Controlle, also nicht so eine Memory-Karte wie so ganz viele Hotels, wo ich dann immer Tag der offenen Tür spiele. Ähm sondern eben halt schon noch ein bisschen mehr
aber auch das gibt es in günstig. Kann man sagen, okay, ich kann dann irgendwie digital was damit tun, wenn ich an einem Telefon hänge, kann ich auch was mit machen. Aber manchmal reicht vielleicht auch einen QR-Code aus.
[1:13:29] Also ich muss ja nur wissen, dass der Vorliegende irgendwie mal von autorisierten Stelle kommt und so eine Diktatur da reinzupacken ist auch kein Problem. Das heißt, es gibt durchaus auch andere Lösungen.
Bestes Beispiel, ist zwar in Indien immer so ein bisschen schief gegangen, Art H, das ist deren ID-System, das ist ein Din A4 Zettel mit einem QR-Code.
Weil alles andere einfach Quatsch war.
Torsten:
[1:13:47] Du musst ja trotzdem immer noch die Person, die vor dir steht, auch identifizieren, weil wenn ich mit deinem QR-Code ja.
Christian:
[1:13:51] Wenn das notwendig ist. Thorsten, wenn das notwendig ist, du hast nicht immer die Notwendigkeit einer Sichtprüfung.
Nicht alle nicht nicht alle Anforderungen ergeben lassen, Sozialausweis, ein ja
Okay, da bräuchtest du vielleicht ein Foto drauf. Okay, dann machst du das ganze Ding laminiert mit einem Foto daneben. Du musst ja immer das Angriffsniveau auch sehen. Also sprich, welche Werte kann ich denn erschleichen, wenn ich da Betrugsszenarien drauf habe?
Und nicht immer ist das tatsächlich sinnvoll, weil nicht nicht immer erworfen nicht gleich ein Bankkonto und mache Geldwäsche. Ja, also das ist ja das Niveau vom Ausweis. Und,
Das will ich aber in den meisten Fällen dort gar nicht erst haben, sondern ich bin da irgendwo weit unten drunter, sondern es geht nur drum, habe ich eine grobe Berechtigungszusage, ja? Das ist dieses Ei das Level Substential, von dem wir mal so oft gesprochen wird, ne?
Oder halt sogar low an der Stelle. Ja und genau diese Einstufung gibt es ja und das kann man auch übertragen auf solche Verfahren,
kann man überlegen, dass man irgendwas baut, was halt tatsächlich auch niederschwellig ist im Sinne der Etablierung im gesamten.
Raum, also sprich bei den Leuten, bei den Bürgern, bei den einzelnen Ämtern, bei was weiß ich, Bibliotheken, weiß der Geier ähm und da aber erstmal dafür zu sorgen, dass es eine zentrale Infrastruktur gibt. Also das wäre tatsächlich mal interessant, weil dann spare ich Kosten damit.
Alles andere ist glaube ich äh mit Kanonen auf Spatzen, da habe ich wieder eine tolle Lösung, ja? Wo ich ein Smartphone für brauche, aber die mir nix bringt.
Torsten:
[1:15:08] Ja? Kann man da.
Christian:
[1:15:09] Kann installiert oder kann einsetzen kann.
Torsten:
[1:15:11] Nicht vielleicht äh zumindest für die Erwachsenen, um jetzt lassen wir mal die die Untersechzehnjährigen rauskommen, nicht für die Erwachsenen äh das mit den Attributen auf dem äh Ausweis machen, mit den Attributen.
Christian:
[1:15:20] Natürlich rede ich ja seit Jahren drüber. Das muss halt nun mal jemand mitmachen.
Manuel:
[1:15:25] Ich wollte gerade sagen, kann man kann man machen, aber macht halt der Staat nicht, weil wäre ja nachher noch funktional und effektiv, ey.
Christian:
[1:15:32] Ausweise kommen bei mir so so ein Block. So ein Block wiegt anderthalb Kilo, ja? Und äh zack und da zeige ich genau diesen ganzen Spaß mit diesen Dingern. Ja, das sind Testausweise, die funktionieren auch bei Neunikus. Kann man da einsetzen?
Manuel:
[1:15:45] Anderthalb Kilo Ausweiseblock, die du da in die Kamera hältst zweihundert.
Christian:
[1:15:50] Bei.
Torsten:
[1:15:52] Ja, so ungefähr so groß wie ein Ziegelstein. Also für für die Hörer. Die sehen ja nix.
Christian:
[1:15:55] Na ja.
Manuel:
[1:15:57] Ein Ziegelstein voll authentifiziert. Sehr schön.
Christian:
[1:16:03] Also technisch ist das alles möglich und vorgesehen wäre dann sogar innerhalb von Europa kompatibel, weil's ein europäischer Standard unten drunter ist, ne und.
Torsten:
[1:16:10] Attribut äh zum Beispiel so eine sozialversicherungsnummer oder sowas eintragen.
Wo ich dann äh äh mit einem berechtigten System diese Nummer nur diese Nummer auslese und ich habe im Sichtbereich, habe ich das Passbild und dann kann ich vergleichen, ja das ist der Richtige, der hat quasi jetzt äh die kriegt jetzt den Sozialpreis.
Das wäre sogar äh Datenschutz Datenschutz äh schonend,
ähm weil er nicht extra eine Extrakarte, die vielleicht noch äh leuchtend grün ist und sie sagt, oh, da vorne steht wieder einer, der sich wieder auf Sozialkarte irgendwie einschleicht.
Christian:
[1:16:43] Mhm genau. Also das ist eine Möglichkeit.
Torsten:
[1:16:47] Warum macht man's nicht? Ist äh das zu einfach oder ist es zu politisch nicht gewollt? Ist es hat den Ausweis die falsche Regierung eingeführt oder.
Christian:
[1:16:55] Naja, das kommt ja alles aus Bund online 2tausend5, ne? Also das ist ähm alles gestartet worden, ist aber der EGK äh vor der Regierung Merkel. Seitdem ist da nichts mehr dran passiert.
Torsten:
[1:17:07] Echt schade. Also äh ich finde ja den der ich bin ja auch ein großer Fan von dem von dem Personalausweis, von unserem elektronischen Personalausweis, weil der kann halt viel und ist äh ein echtes äh modernes Stück Technologie und ähm funktioniert, wenn man weiß, wie funktioniert's.
Christian:
[1:17:22] Ja also für den deutschen Markt ist das so ein bisschen ein schwieriges Thema, weil.
Wenn du nicht so richtig verstanden worden ist, dass die Möglichkeiten existieren, ne, an den TRS steht das alles drin
wäre tatsächlich auch dafür, wenn man dort auch mal weiter reingeht, einfach mal überlegt, okay, wie kriegt man das vereinfacht, ne? Zugangsvoraussetzungen vereinfachen für die Behörden, äh aber eben halt auch für Unternehmen in der Wirtschaft, ähm diese Konzepte auch so ein bisschen
mehr kommunizieren, einfach dort die Werbetrommel mal rühren. Ähm das passiert bisher nicht und das wäre eben halt ähm.
Also auch bei der Smart-ID. Bisher ist das ja auch ganz niedriges Level, dass da mal irgendwas zu gesagt wird,
Das wäre aber wichtig, genau dort zum Beispiel auch mal anzusetzen, so was weiterzuentwickeln und auch mit einem gewissen Erfahrung auch unter Einbeziehung der Zivilgesellschaft und den ganzen Dingen, die wir gelernt haben in den letzten über zehn Jahren, äh,
zu modernisieren. Einfach mal, das macht nur zu fair, nach elf Jahren draufzuschauen, okay, was können wir denn noch verbessern,
werden wir ganz viele Dinge lösen können, die jetzt hier versucht werden mit irgendwelchen Riesenprojekten irgendwie zu adressieren.
Torsten:
[1:18:19] Christian, ich glaube, wir machen mal nochmal einen Podcast nur zu dem Thema AID und Personalausweis. Wie wie können wir den.
Manuel:
[1:18:25] Das ist sinnvoll. Das kann man nicht oft genug vernünftig zusammen schreiben, genau.
Torsten:
[1:18:33] Super, habe ich habe ich notiert? Äh komme ich im nächsten Jahr auf dich zu und dann machen wir mal vielleicht bringe ich äh Dirk noch mit, äh der hier im Podcast auch bekannt ist, denn das ist ja auch ein alter Recke, der damals von Anfang an mit dabei war.
Manuel:
[1:18:45] Da höre ich doch gerne zu, sehr schön.
Torsten:
[1:18:47] Genau, du, ja. Okay, ähm Ide Wallet zurück. Zimmer so so oft abgeschliffen.
Manuel:
[1:18:55] Immer ab. Ja ja, das ist einfach ein schwieriges Thema.
Torsten:
[1:18:58] Ja, letztendlich haben wir festgestellt, all die Woche ist Quatsch, brauchen wir nicht. Die ganzen ähm äh Walletprojekte äh am besten einstampfen, weil die Infrastruktur ist vorhanden,
Ausweis könnte das alles. Äh der Ausweis ist SSI äh fähig oder ist quasi schon SSI, weil jeder, der den schon mal verwendet hat, äh wird auch sehen mit der Ausweis-App, kann er sich auswählen, welche Daten er übertragen möchte und welche nicht. Kann er äh selbst an- und abwählen.
Und ähm ja was kann man dazu noch sagen.
Manuel:
[1:19:26] Schwierig.
Torsten:
[1:19:28] Ihr wolltet hier anzünden, ihr wolltet hier äh die ID Wallet anzünden.
Manuel:
[1:19:33] Wir wir wollen die ID wollen das anzünden ey,
sich ja alles von selbst an. Du kommst ja nur in die Nähe und das fängt schon an zu funken und und da liegt überall Benzin. Das kann man ja da kann man ja gar nix für.
Aber äh alles drumherum sieht ja auch nicht besser aus, ne? Die EID ist toll, aber dat ganze Setup, wie man's einbettet, ist komplett fail, da kannste auch noch alles abfackeln und sagen, meine Güte, ey, also,
da reicht nicht Anzünder musst du eigentlich brandroden, denn nach einem brandroden entsteht Neues. Ja und aus diesen ganzen alten Schnodder irgendwie losgekriegt und vielleicht müssen wir tatsächlich äh wegkommen von diesem Anzünden und eher hin zu meinem Brandroden und und äh,
Wir hatten doch letztens noch irgendwie auf Twitter gespaßt. Wir brauchen Doppelflammenwerfer.
Wer vielleicht wirklich mal eine Option, dann gehen wir mal im Duett einmal abfackeln und und sagen so und jetzt kann dadrauf Neues entstehen und das ist dann,
diese ganzen kaputten Konstrukte und damit kriegen wir auch mal was Schönes kreiert, wat wat auch wirklich Funktionales unendlich mal für die Bürgerinnen da ist. Das wäre doch.
Christian:
[1:20:30] Also ja, äh vielleicht auch mit Blick auf die EU ähm fällt mir das grade mal so auf. Wie gesagt,
der Weg, warum man jetzt in Richtung dieser ganzen Blockchain ID Wallets nun mal gegangen ist, war ja auch diese europäischen Blockchain-Bestrebung und das kommt daher, weil die anderen Länder alle noch diese Zertifikatslösung haben, ne, die auch tatsächlich mitunter zwei Dekaden alt sind,
und dort habe ich immer noch diese ganzen alten Probleme, weswegen man die Zertifikate loswerden will und ich glaube, man hat einfach noch nicht verstanden, dass hier Frankreich und Deutschland was gebaut haben, was das ganze Thema schon löst.
Von der Richtung Blockchain los und das ist glaube ich so der Punkt, wo man einmal auch die Notbremse ziehen muss und genau einmal brandroten, weil ähm,
Klar, Zertifikate müssen weg, ja, weil da wissen wir, dass die sind nicht SSI-fähig, da habe ich keine Kryptoagilität und nichts. Die ganze Technologie dahinter ist wirklich alt,
Aber Blockchain ist auch nicht der richtige Weg. Da sind wir einfach falsch abgebogen.
Und das wäre so der Punkt, wo man jetzt aber sagen muss, okay, das ob mein Haufen die neue Bundesregierung äh zu sagen, stopp, aus, lass uns mal ganz kurz nachdenken, was hier eigentlich passiert ist,
und überlegen, was vielleicht auch schon richtig ist in der anderen Ecke und wie man die anderen vielleicht mitnehmen kann,
statt hier einfach blindlinks mit Leuten, die von der ganzen Thematik, was ich mit ID-System tue, keine Ahnung habe, äh durch diesen Blockchain-Zug aufspring.
Das hilft uns nämlich nichts, außer Geld zu verbrenn.
Manuel:
[1:21:44] Aber glaubst du wirklich, dass sich was ändern wird? Ich meine, äh jetzt haben wir ja gesehen, dass irgendwie äh auch die neue Innenministerin von der SPD sagt,
Übrigens, wir lassen die ganzen,
Ebenen so wie sie sind und die ganzen Leute, die Leute, die da digitalisieren, versagt haben, bleiben jetzt an ihrer Position und sie erwartet jetzt aber, dass sich plötzlich magisch Dinge ändern.
Ähm ich weiß nicht, das ist schon der erste Hieb, wo ich sage, also in dem Koalitionsvertrag stand eigentlich was anderes drin, ne? Wenn dieselben denkenden Köpfe mit derselben Denkweise jetzt plötzlich sagen, hey, wir gehen total anders an die Sache,
was soll das sein? Schizophrenie?
Christian:
[1:22:21] Sehe das ähnlich wie du. Ich sehe das ja, enttäuschend auf jeden Fall. Ich sehe das auch unter zwei Dingen. Das eine ist natürlich, dass man vielleicht kurz nach dem Start sagt, wir lassen mal die Leute noch im Amt. Ganz einfach, um erstmal eine Übergabe der Projekte hinzukriegen und tauscht die vielleicht noch später aus. Das wäre so meine Hoffnung, weil das ist notwendig.
Manuel:
[1:22:35] Ja aber hat man nicht gesagt, hat man gesagt, macht man mit denen jetzt weiter. Ist schön alles.
Christian:
[1:22:38] Genau den selben Feld, den wir grad schon hatten. Wir haben da Verwaltung, die das System nicht versteht, die halt irgendwie mit den Armen rudert, äh Steuereuros zu den Fenstern rausschmeißt. Ähm und es kommt halt Bullshit hinten.
Und das ist das Risiko, was ich hier auch ganz klar sehe, ne. Das ist auch so die Hoffnung gewesen aus dem Koalitionsvertrag. Das ist jetzt nicht erfüllt worden und das ist so das erste Ding, was ich der Frau auch so ein bisschen anlastet, dass sie genau dort nicht aufgeräumt hat.
Da werden wir sehen, was draus wird.
Torsten:
[1:23:05] Ja, man muss aber auch eins sagen, manchmal braucht man, gerade wenn die in der Regierungswechsel stattfindet, braucht man äh Köpfe, die man leicht abschlagen kann, die dann rollen können, wenn irgendwas schief läuft. Ich denke mir nur, das Thema.
Manuel:
[1:23:17] Keine, das ist doch keine Struktur, wie man konstruktiv und und motiviert, innovativ neue Digitalisierungsprojekte aufsetzt. Wenn man
aha, ich platziere dich ja, aber dann machen wir Politik und nicht echte Umsetzung von sowas wie ID und und SSI, weil dann äh weiter mit Politik um. Jeder muss auf seinen Kopf aufpassen.
Damit haben wir wieder Verantwortungsdiffusion, Zuständigkeitsvarianz und irgendwie äh,
irgendwelche politischen Projekte, die die aber politisch sind und nicht hatte tatsächlich effektiv. Gut, dann können wir's auch einfach sein lassen. Ist sogar besser, weil dann kannst du nix kaputt machen.
Weiß ich nicht, ob das die Zukunft ist, will ich nicht. Ich ich hätte gern funktionale Systeme.
Christian:
[1:23:58] Zur Entspannung zur Entspannung. Vielleicht muss ich auch noch eins dazu sagen. Ähm das Thema ist aus dem Bundeskanzleramt raus. Das heißt also da hat schon ein Wechsel stattgefunden,
Und ähm beim BMI die Kollegen haben ja auch das Thema Smart-ID offenbar. Da haben das auch weiter gebaut an der Stelle, ne? Sicherlich auch nicht mit dem EP, die wir uns vorgestellt haben,
aber dort ist es ja an der Mache. Und da finde ich jetzt auch nicht zu doof, wenn da vielleicht eine Übergabe erst mal stattfindet, ähnlich wie's Horsten schon gesagt hat,
man hat die da erstmal drin, wenn das halt nicht funktioniert, tauscht man die halt später aus. Das ist so ein bisschen die Hoffnung und gut ist schon mal, ähm dass tatsächlich also dieses Team, was im Bundeskanzleramt das bisherige so versenkt hat, so in der Form nicht mehr existiert.
Torsten:
[1:24:35] Bundeskanzleramt haben sie ganz schön aufgeräumt. Äh schade, dass der Normenkontrollrat da auch äh rausgewandert ist und jetzt irgendwie unter Fernerlifen im Justizministerium rumhängt, weil die haben schon ganz gut auch
die Finger in die Wunden gelegt und zwar ganz schön tief mit mit Salz dran und ähm,
Schade, dass dass diese Kontrollinstanz nicht mehr äh nicht mehr so wirklich vorhanden ist. Vielleicht haben sie was, vielleicht machen sie was anderes was Neues.
Christian:
[1:25:00] Ja, ist auch die bittere Pille. Ich hätte mir auch beim Normenkontrollrat auch gewünscht, dass die auf das ganze Thema ID-Rolle draufgucken beziehungsweise rauf das Ökosystem.
Weil es spielt ja noch mehr eine Rolle, ne? Man hat ja seitens des Bundeskanzleramt gesagt, man will eine Public Private Partnership aufbauen, über die man übrigens keine Details verraten will, weder im Bundestag noch irgendwo anders,
Und äh das ist etwas, was was es was das ganze Land betrifft. Ja, die gesamte Bevölkerung jeden hier, also auch die die juristischen Personen, die Unternehmen.
Und ähm das ist also so eine ganz seltsame Nummer, ähm spätestens das ist für den Normenkontrollrat nicht nur für den äh Bundesrechnungshof ein Thema, was man sich ganz genau anschauen muss.
Und das ist halt schade an der Stelle, dass das noch nicht aufgeräumt wird. Aber.
Da müssen wir wahrscheinlich auch mal gucken, wie du grad schon sagst. Mal schauen, was sie machen. Äh wie das aufgehängt ist. Äh vielleicht funktioniert das jetzt besser. Wir werden sehen.
Torsten:
[1:25:54] Ja, die sind jetzt seit einer Woche im Amt äh da wird schon ein bissel was passieren. Gehe ich von aus. Vielleicht nicht mehr dieses Jahr, aber ab Januar habe ich da große Hoffnung,
Gut. Jetzt haben wir viel geredet, äh sind quasi ständig abgeschweift, abgeschwofen, wie man so schön sagt, ein Podcast sprich.
Manuel:
[1:26:10] Geschwobbelt, oh nein.
Torsten:
[1:26:16] Aber ähm ich werde jetzt hier mal den Sack zumachen. Christian Manuel vielen Dank, dass ihr da wart. Es hat mich sehr sehr gefreut Christian, ich habe dich auf der Liste. Du kommst im Januar nochmal ran oder im nächsten Jahr nochmal dran und äh Manuel
Wir lesen uns die ganze Zeit auf auf Twitter und ähm vielleicht finden wir auch mal wieder einen Anknüpfungspunkt äh für eine der nächsten Sendungen. Vielen Dank, dass ihr da wart,
und an euch, liebe Hörerinnen und Hörer, bis demnächst.
Einspieler
Manuel:
[1:26:44] Danke für die Einladung. Bis zum nächsten.
Christian:
[1:26:46] Bis bald, tschüss.