Digitale Zeugnisse : Braucht das digitale Zeugnis eine Blockchain?

Digitale Schulzeugnisse sollen Bewerbungen einfacher machen, absichern soll das System eine Blockchain. Doch es gibt Probleme – wie schon beim digitalen Führerschein.

Dieser Artikel erschien am 17.02.2022 auf ZEIT Online
Meike Laaff
Zegniss
Zeugniis – Demnächst auch digital verfügbar?
©dpa

Per Fingerwisch das Abiturzeugnis an die Wunschuni oder den potenziellen Arbeitgeber schicken – nicht als Kopie, sondern als PDF, das nicht nur maschinenlesbar ist, sondern auch gleich online verifiziert werden kann: Das soll ab 2023 bundesweit möglich werden.

Das klingt praktisch und verhältnismäßig einfach. Und doch zeichnet sich ab, dass sich der Plan, Zeugnisse zu digitalisieren, zumindest verzögern könnte. Der Grund ist die technische Umsetzung – wie bei so vielen Digitalisierungsvorhaben in Deutschland.

Die Idee: Zusätzlich zur Papierversion sollen Schülerinnen und Schüler eine PDF-Datei ihres digitalen Zeugnisses erhalten können. Eingebettet darin ist eine Datei, die das Zeugnis maschinenlesbar machen soll. Sicher vor Manipulationen soll das sein, weil die Angaben zentral von der Bundesdruckerei signiert und über Blockchain-Technologie abgesichert sein sollen. Jedes Zeugnis hat eine Art digitalen Fingerabdruck. Dieser Fingerabdruck soll in der Blockchain gespeichert werden, sodass später überprüft werden kann, ob das Zeugnis authentisch ist.

Das für die Umsetzung federführende Land Sachsen-Anhalt hat die Bundesdruckerei und den Zusammenschluss öffentlicher IT-Dienstleister Govdigital mit der Umsetzung des Vorhabens betraut. In Nordrhein-Westfalen wurden schon im Sommer erste Abiturzeugnisse mit einem Prototyp ausgestellt, auch Berlin und Rheinland-Pfalz haben sich an dem Test beteiligt. Ende 2022 sollen alle Bundesländer, die möchten, an das Projekt angeschlossen werden und ab 2023 soll der Echtbetrieb starten.

So ist zumindest der Plan. Vergangene Woche allerdings wurde das Testsystem offline genommen. Der Schritt erfolgte, nachdem die IT-Sicherheitsforscher Lilith Wittmann und Flüpke per Twitter auf mehrere Schwachstellen des Systems hingewiesen hatten. So stießen sie zum Beispiel auf eine Cross-Site-Scripting-Lücke (XSS-Lücke). Diese ermöglicht es, dass externer Code ausgeführt werden kann, wenn eine infizierte Seite aufgerufen wird. Bedeutet: Statt wie vorgesehen Blockchain-Daten anzuzeigen, wäre es hier auch möglich, Schadsoftware auszuführen. Wittmann fand außerdem eine Möglichkeit, Daten so in die entsprechende Schnittstelle einzuspeisen, dass man ein offiziell aussehendes Zeugnis-PDF ausgespuckt bekommt – wenn dieses auch nicht signiert ist, nicht in einer Blockchain verankert wird und damit eben auch nicht als validiert bestätigt werden kann.

All das bedeutet nicht, dass es den Sicherheitsforscherinnen gelungen ist, tief in Systeme einzudringen. Die Bundesdruckerei betont: „Die Ausstellung echter Zeugnisse war zu keinem Zeitpunkt möglich.“

„Das patcht man eben und dann geht die Kiste wieder online“

Doch die IT-Sicherheitsforscher konnten Fehler aufzuzeigen, die in ihren Augen so trivial sind, dass sie nicht hätten passieren dürfen. Auch andere Branchenbeobachter sehen in darin einen Beleg dafür, „dass hier einfach nicht fachgerecht gearbeitet wird“, oder bezeichnen die gefundenen Lücken als Anfängerfehler. Ihre Argumentation: Es flößt nicht gerade Vertrauen ein, wenn ein solches Projekt, bei dem es nicht nur um schulische Leistungsnachweise, sondern auch um verifizierte Privatdaten geht, derartige Schwächen aufweist, schon wenn man ganz oberflächlich zweimal dagegentritt.

Die Bundesdruckerei versuchte das Problem in der vergangenen Woche kleinzureden: „Naturgemäß ist ein System während des Testbetriebs noch nicht fertig, kann also Fehler, Schwachstellen oder Funktionseinschränkungen enthalten.“ Man habe die Testsysteme „aufgrund der Berichte bei Twitter“ abgeschaltet – und zwar, „um die Berichte zu überprüfen und weitere Verbesserungen anzustoßen“, hieß es in einer Pressemitteilung auf der Seite. Eine Fehleranalyse laufe noch, Ergebnisse würden „in die weitere Optimierung des Systems einfließen“, der Test danach fortgesetzt.

Sicherheitsforscher Flüpke bezeichnete dieses Vorgehen im Podcast Logbuch:Netzpolitik als „peinlich“: Was Wittmann und er aufgezeigt haben, seien eigentlich Probleme, „die patcht man eben und dann geht die Kiste wieder online“. Tatsächlich ist das System nun schon seit mehr als einer Woche offline.

Eine Verkettung unglücklicher Umsetzungen

Es ist nicht das erste Mal, dass Wittmann und Flüpke ein Digitalisierungsprojekt der Regierung untersucht haben und es sich als ziemlich unausgereift erweist. So fanden sie auch rund um das Projekt ID Wallet massive Sicherheitsmängel.

Die App ID Wallet war im Herbst gestartet und sollte unter anderem den digitalen Führerschein beherbergen. Um die Daten abzusichern, sollte auch hier eine mit Blockchain verwandte Technologie, sogenannte Distributed Ledgers, zum Einsatz kommen. Auch dieses System wurde nach der Kritik der beiden IT-Sicherheitsforscherinnen abgeschaltet, bis heute ist die App nicht verfügbar. Und gerade erst im Februar teilte die neue Bundesregierung mit: Über „die konkrete Ausgestaltung einer Weiterentwicklung“ der ID Wallet sei „noch nicht entschieden“.

Dass es den digitalen Führerschein oder das digitale Zeugnis überhaupt gibt – und dass diese Projekte teils unausgegoren wirken –, hat auch mit dem Onlinezugangsgesetz zu tun. Dieses besagt, dass viele Verwaltungsleistungen bis Ende 2022 auch digital bereitgestellt werden sollen. Der Zeitdruck ist also hoch.

Wittmann weist immer wieder auf Schwächen bei der Umsetzung solcher Projekte hin. Und sie kritisiert die Verantwortlichen dafür zum Teil heftig. Auch im Zusammenhang mit den beim digitalen Zeugnis gefundenen Schwachstellen kritisiert sie gegenüber ZEIT ONLINE, dass es in der Verwaltung „keine Digitalkompetenz“ gebe, hinzu komme eine ausgeprägte „Beratergläubigkeit“.

Im Bundesministerium für Bildung und Forschung, das auf Bundesebene für das digitale Zeugnis zuständig ist, habe man sich für technische Fragen wenig interessiert: Man „wollte ein fälschungssicheres Zeugnis – wie, ist egal“. Wittmann war im Sommer 2020 selbst für einige Monate im Rahmen einer Fellowship in der Verwaltung tätig, kennt die Abläufe und sprach nach eigenen Angaben mit Vertretern des Forschungsministeriums und der Bundesdruckerei über das Vorhaben der Zeugnis-Blockchain.

Angesichts der aufgedeckten Schwächen rund um das Vorhaben steht nun aber auch die Bundesdruckerei im Fokus. Sie ist die Institution, die von der Banknote bis zum Ausweis für viele analoge Dokumente zuständig ist, die zweifelsfrei gelten sollen, bietet aber auch Verifikation und Absicherung für sensible digitale Daten und Dokumente an. Nun war sie erst an der Umsetzung der gefloppten ID Wallet beteiligt und dann am digitalen Zeugnis. Beides kratzt an ihrem Image: Erste IT-Sicherheitsforscher schlagen bereits in etwas flapsigem Ton vor, man solle vielleicht aufhören, die Bundesdruckerei mit Digitalisierungsprojekten des Bundes zu beauftragen.

Braucht’s die Blockchain?

Die ID Wallet und digitale Zeugnisse stehen auch für einen Richtungsstreit: Beide Projekte basieren auf der Idee, dass Blockchain-Technologie dabei helfen kann, Identitäten oder Dokumente abzusichern und zu verifizieren. Dazu, ob man diese Idee falsch oder für wegweisend hält, gehen die Ansichten sehr weit auseinander.

„Einfach, fälschungssicher und datenschutzkonform“ sei die nun verfolgte Lösung für die digitalen Zeugnisse, sagte zum Beispiel Eric Stange im Sommer 2021. Der Projektverantwortliche für die digitalen Zeugnisse in der Bundesdruckerei kommunizierte sein Projekt stets als Erfolgsvorhaben. „Ein dezentral betriebenes Absicherungssystem auf Basis einer Blockchain sorgt nicht nur für technologische Sicherheit, sondern spiegelt auch die föderal verteilte Verantwortung im Bildungssystem wider“, schreibt er über den Blockchain-Einsatz für digitale Zeugnisse an anderer Stelle.

In der IT-Sicherheitscommunity im Umfeld des Chaos Computer Clubs bestehen hingegen große Vorbehalte gegen derartige Ideen. Immer wieder wird aus diesen Kreisen Unverständnis laut, warum der Einsatz von Blockchain-Technologie überhaupt notwendig sein soll, um die Echtheit von Dokumenten zu überprüfen. Denn, so lautet die Argumentation: Was die Verantwortlichen damit erreichen wollen, sei auch mit weniger aufwendiger, längst etablierter Technologie möglich. Mit einer Infrastruktur aus digitalen Signaturen und Zertifikaten zum Beispiel ließen sich Dokumente absichern und verifizieren.

Stattdessen eine Blockchain zu bemühen, sei nicht nur komplizierter, sondern auch teurer und bringe ohne fachgerechte Umsetzung eben auch nicht den Sicherheitsgewinn, den der Modebegriff Blockchain suggeriere. Sicherheitsbedenken klingen auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) an: In einer Bewertung zu einem ID-Wallet-Pilotprojekt schrieb es, man sehe eine „grundsätzliche Anfälligkeit für Sicherheitslücken des gesamten Systems bei unklarem Nutzen“.

Den Grund dafür, dass Blockchain-Technologie trotzdem immer wieder bemüht wird, vermuten Kritikerinnen vor allem darin, dass es sich dabei, ähnlich wie bei künstlicher Intelligenz, um ein Schlagwort handele, das derzeit modern sei.

Was ist die beste Lösung für digitale Identitäten?

Die Blockchain-Frage ist auch deshalb brisant, weil sie immer wieder im Zusammenhang mit digitaler Identität auftaucht. Personalausweise zu digitalisieren, aber auch Dokumente wie Schulzeugnisse, Führerscheine, ist ein Vorhaben, an dem sowohl in Deutschland als auch auf EU-Ebene gearbeitet wird – und das vielen Menschen ein Anliegen sein dürfte. Verwandt mit dieser Diskussion ist auch die rund um die digitalen Impfzertifikate: Hier nahm man erst nach längerer Diskussion Abstand von der Idee, die Nachweise über Blockchain-Technologie abzusichern.

So zäh und kompliziert die Frage wirken mag, welche Technologie für solche Vorhaben verwendet wird, sie ist doch entscheidend. Denn es geht um persönliche Daten, mit denen sich die allermeisten Menschen einen sorgfältigen Umgang wünschen dürften. Aufgabe gerade bei staatlichen Digitalisierungsvorhaben in diesem Bereich ist es, sinnvollen Technikeinsatz von Buzzwords zu trennen und Sorgfalt in die technische Umsetzung zu stecken.

Im Umfeld digitaler Identitäten gilt gerade ein Konzept vielen als besonders modern: Self-sovereign identities (SSI) oder auf Deutsch: „selbstverwaltete Identitäten“. Die Grundidee von SSI ist es, Identitätsdaten so zu digitalisieren, dass Nutzerinnen und Nutzer die Hoheit über ihre Identitätsdaten behalten: Sie sollen sie selbst verwalten, selbst entscheiden können, welche Informationen sie gegenüber Dritten offenlegen. Damit soll es möglich sein, Personalausweise, Führerscheine und andere Dokumente digital vorzuzeigen oder verifizieren zu lassen, ohne dass sie zentral auf einem Server gespeichert sein müssen.

Auch Privatanbieter mischen mit

Umsetzen lässt sich das auf unterschiedliche Weise, oft sollen die Angaben aber auch hier über Blockchains abgesichert werden. Manchmal ist auch die Rede von Distributed Ledger, einer ähnlichen Technologie.

In Teilen der Branche wird der SSI-Ansatz hoch gehandelt, andere Fachleute bezeichnen ihn als „noch nicht hinreichend ausgereift, um vertrauenswürdig zu sein“. Das BSI legte kürzlich ein Papier vor, das sich eher wie eine Warnung davor las, derzeit SSI-Konzepte in Verbindung mit dezentralen Distributed-Ledger-Technologien zu benutzen: Bei letzterer gebe derzeit viele Einzellösungen und Standards fehlten, hieß es dort unter anderem, „das entstehende Sicherheitsrisiko“ sei „sorgfältig abzuwägen“. Wittmann geht in ihrer Kritik noch einen Schritt weiter. „Sowohl Politik als auch Verwaltung müssen endlich verinnerlichen, dass die Wörter Blockchain, Distributed Ledger und alle Konzepte rund um SSI in ihrem Konzept einfach totaler Bullshit sind“, schrieb sie auf Twitter.

Längst schon haben aber auch private Anbieter begonnen, Anwendungen basierend auf SSI-Konzepten zu bauen – etwa solche, die als eine Art digitale Brieftaschen diverse Dokumente vom Ausweis bis zum Impfzertifikat beherbergen. Neben möglichen Sicherheitsschwächen kritisiert Wittmann solche SSI-Anwendungen auch grundsätzlich. So hinterfragt sie etwa das Versprechen, dass die Hoheit über ihre Daten bei den Nutzerinnen verbleibe: „Modelle, bei denen man personenbezogene Daten weitergibt, führen immer dazu, dass man nicht mehr Herrin über seine eigenen Daten ist“.