Identity Management in Deutschland – Anfängerfehler

Hacker

Unbekannte Identität

In der  globalen Welt verlieren Staatsangehörigkeit, Bürgerrechte und Pflichten immer mehr an Bedeutung. Die klassischen Methoden für die Administration von Staatsbürgern, Besuchern, „Gastarbeitern“, Fremdarbeitern und Einwanderern funktionieren in der heutigen globalisierten Welt nicht mehr. Innerhalb von Stunden kann man in andere Kontinente reisen und innerhalb von Sekunden kann man im Web in einem anderen Land aktiv werden kann.

Die Grundlage jedes Systems im realen Leben und in der IT ist die Identifikation der Teilnehmer und die Definition der Regeln sowie deren Überwachung. Verbunden mit der Identität sind Zugehörigkeit zu Gruppen (Staat, Firma, Kirche usw) und daraus abgeleitete Rechte und Pflichten wie z.B. Aufenthaltsrecht, Freizügigkeit, Steuer, Wehrpflicht, Führerschein usw. Damit verbunden sind Rechte bei der Justiz auf Einhaltung der Rechte zu klagen aber auch von anderen verklagt zu werden.

Die Identität wird in der heutigen Welt meist von Staaten vergeben. Zunächst durch Eintragung in ein Personenregister (vielfach macht das noch die Kirche) und durch Ausgabe eines möglichst fälschungssicheren Ausweises. Das hat einigermaßen funktioniert solange die Bürger sich regional nur im eigenen Staat bewegten. Natürlich konnte man schon immer Ausweise fälschen oder sich durch Bestechung einen falschen Ausweis ausstellen lassen. Ausländische Ausweise sind häufig nicht mehr zuverlässig und können nicht überprüft werden. Schon in den 80er Jahren konnte z.B. ein Russe in New York mit einem Smartcard Führerschein in Minuten ein Auto mieten während ich mit meinem deutschen grauen Lappen fast eine Stunde warten musste – man traute dem deutschen Führerschein nicht! Letztendlich wurde mein Firmenausweis (auch eine Smartcard) akzeptiert. Die Hertz Mitarbeiter wussten natürlich nicht, dass es in Russland gar keine Smartcard Führerscheine gab aber sehr gute Smartcard Drucker verfügbar waren. Es genügt nicht einen Ausweis auszustellen – Behörden, Unternehmen und sogar Privatpersonen sollten ihn überprüfen können. Nun weiß man in Deutschland einigermaßen wie ein deutscher Ausweis aussieht und kann ihn zumindest grob überprüfen. Ausweise aus arabischen Staaten können Deutsche z.B. weder lesen noch die Jahreszahlen umrechnen. Man verwendet ja nicht überall die westliche Zählweise und die Geburt Jesu als Nullpunkt! Allenfalls speziell ausgebildete Beamte z.B. an Flughäfen können ausländische Ausweise mit speziellen Geräten prüfen. Gegen korrekte amtliche Ausweise, die mit falschen Daten ausgegeben wurden, sind auch diese Beamte hilflos. Viele Personen haben auch völlig legal mehrere Ausweise und können diese beliebig einsetzen.

Ausweise werden Personen durch biometrische Merkmale wie Porträtphoto, Unterschrift, Fingerabdruck, Irisbild, Stimme u.a. an reale Personen gebunden. Photo und Unterschrift können auch Laien auf Plausibilität grob prüfen. Ist das Photo aber schlecht gemacht, gelingt die Identifikation nicht. Mein Photo für die „Fast Lane“ am JFK Flughafen wurde von einem US Army Veteranen z.B. so ungeschickt gemacht, dass bei Vorträgen über Identifikation niemand mich identifizieren konnte! Sind die Bilder älter als 10 Jahre und haben sich Bart- und Haartracht geändert, wird die Prüfung schon schwierig. Mit IT Systemen kann man sowohl gute Porträtphotos als auch Unterschriften in Datenbanken mit mehreren Millionen Einträgen vergleichen und Personen identifizieren. Die Systeme arbeiten sehr schnell und mit besserer Qualität als menschliche Prüfer. Die Fehlerraten sind relativ hoch genügen aber für Plausibilitätsprüfungen und die Identifikation von Duplikaten.

Auch bei Fingerabdrucksystemen ist die Fehlerrate bei einem einzelnen Fingerabdruck recht hoch. Vergleicht man allerdigs 10 Finger, wie in der Kriminalistik üblich, kann man Personen in Millionen von Einträgen identifizieren. Dieses Verfahren kann man wohl im täglichen Leben nicht einsetzen. Sowohl bei der Unterschrift als auch beim Fingerabdruck lassen sich manche Personen nicht registrieren. Etwa 10% der deutschen Bevölkerung können keine verlässliche Unterschrift leisten. Der Fingerabdruck verändert sich z.B. bei Handwerkern und Musikern (Gitarre, Kontrabaß) und auch bei Kälte. Dann arbeiten z.B. die Türöffner mit Fingerabdruck Systemen nicht zuverlässig.

GroupHat man die Identität festgestellt wartet schon das „Wer darf Was“ Problem. Ein relatives simples Beispiel ist z.B. das Zutrittssystem einer Firma. Hierfür werden die Mitarbeiter bestimmten Gruppen zugeordnet und Zugangszonen eingerichtet wie z.B. Allgemein, Rechenzentrum, Postraum, Forschungsabteilung, Fertigung usw. Schon das Management solcher einfacher Systeme kann sehr komplex werden.

Bei staatlichen Stellen gibt es unzählige Gruppen von Mitarbeitern und „Kunden“, die unterschiedliche Rechte und Pflichten haben, die meist unklar definiert sind und gemäß vielen Gesetzen und Verordnungen gebildet werden. Dabei sind Fehlern und Willkür Tür und Tor geöffnet. Wer ist z.B. in Deutschland ein Flüchtling und welche Rechte und Pflichten hat man als Flüchtling in welcher Stadt, in welchem Bundesland,  in der EU?

In der IT von Großfirmen ist Identity Management und die Verwaltung der Benutzerechte ein Schlüsselthema. Allerdings gibt es große Unterschiede beim Grad der Umsetzung. Es gibt aber inzwischen Methoden und Verfahren wie man das Problem angeht. Ein ganz wichtiges Prinzip ist dabei die Selbstorganisation. Komplexe Systeme lassen sich zentral nicht effizient verwalten.

Bei den staatlichen Stellen in Deutschland,  sowohl bei der Gesetzgebung als auch in der Verwaltung, fehlt das Bewußtsein (Awareness) als auch die Methodik für die Umsetzung. So ist es kein Wunder, daß die staatliche Verwaltung bei der Erfassung der vielen Flüchtlinge 2016 völlig versagt hat. Dabei kann man solche Probleme mit heutigen Mitteln der IT und der Kommunikation einfach und schnell lösen. Beim Tsunami 2004 in Südostasien (230 000 Tote) wurde innerhalb von zwei Wochen von freiwilligen Mitarbeitern der IBM ein zentrales Meldesystem für Millionen von Betroffenen basierend auf einem Standard Portal aufgebaut. Mit der heutigen Cloud/Smartphone  Infrastruktur ginge das noch schneller. Typisch ist dabei, daß das System mit privater Initiative aufgebaut wurde. Die staatlichen Stellen waren hilflos.

Bei der Administration der Flüchtlingswelle 2016 in Deutschland wurden vier grundlegende Fehler gemacht:

  • Es wurden keine sicheren, vom Staat geprüften Ausweise beim Eintritt in das Staatsgebiet ausgegeben.
  • Es wurde kein zentrales Register angelegt (geht ja nicht wann man die Teilnehmer nicht identifizieren kann)
  • Es wurde kein weitgehend automatisiertes Meldesystem eingerichtet (Wer ist wo?)
  • Die auch bei den Flüchtlingen vorhanden Infrastruktur mit Smrtphones wurde nicht konsequent genutzt.

Als sicheeuro_10ren Ausweis hätte man z.B. einen numerierten Geldschein verwenden können. Geldscheine sind relativ schwierig zu fälschen und können sogar an Registrierkassen mit einfachen Geräten geprüft werden. Ordnet man der Nummer des Geldscheins (kann mit Smartphone) eingescannt werden und als Zugangsindex zu einer zentralen Datenbank mit Personaldaten und Photos verwendet werden. Damit könnte man ein dezentrales Identitätssystem in wenigen Wochen aufbauen. Mal sehen wie lange die deutschen Behörden brauchen werden, bis ein solches Basis System in Betrieb gehen kann.

Advertisements

Kommentare wieder erlaubt

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s