Archiv

Estland
Durchdigitalisiert und sicher?

Jeder Bürger in Estland hat einen elektronischen Ausweis – und das war's dann eigentlich auch schon. Denn in dem Kärtchen steckt noch vieles anderes: zum Beispiel der Führerschein, die Krankenversicherung oder der Wahlzettel. Außergewöhnlich: Selbst viele Netzaktivisten im Land vertrauen dem System.

Von Gábor Paál |
    In Deutschland ist es nicht möglich, in Estland geht es: Wählen im Internet, mit dem elektronischen Ausweis. Der ist so groß wie eine Kreditkarte und enthält, ähnlich wie diese, auch einen Chip. Man steckt ihn in den Kartenleser, der an den PC angeschlossen oder direkt in die Tastatur integriert ist, geht auf die Seite mit den Online-Wahlen und klickt seine Partei oder seinen Kandidaten an. Bei der letzten Parlamentswahl hat jeder vierte Wahlberechtigte diese Methode genutzt. Pannen sind bisher keine bekannt geworden. Wichtigste Sicherheitsvorkehrung ist die doppelte Signatur. Zum Beispiel bei den Wahlen braucht man zwei Pin-Nummern: Mit der einen identifiziert man sich lediglich als Inhaber des Ausweises. Mit der anderen bestätigt man die Wahlentscheidung. Auf diese Weise werden die beiden Informationen – die Identität des Nutzers einerseits und wen er gewählt hat andererseits – nicht miteinander verknüpft. Der Netzaktivist und Politikberater Siim Tuisk hält den Ausweis heute für relativ sicher:
    "Auf den elektronischen Ausweisen sind nur diese beiden Zertifikate, Ihr Name und Ihre Ausweisnummer, gespeichert. Der elektronische Ausweis, wie er in Deutschland eingeführt wurde, enthält wesentlich mehr persönliche Daten. Insofern ist der estnische Ausweis schon mal gut."
    Netzaktivisten wie Siim Tuisk haben gerade in Bezug auf die Online-Wahlen immer wieder auf mögliche Sicherheitslücken hingewiesen. Die seien dann allerdings auch weitgehend geschlossen wurden.
    "Insofern bin ich mit dem System schon zufrieden. Ich habe allerdings Freunde, die von Anfang an bei der Entwicklung beteiligt waren, und nach dem, was sie mir sagen, könnten wir etwa bei den Online-Wahlen in den nächsten fünf bis zehn Jahren eine größere Panne erleben. Und da mache ich mir schon Sorgen, was dann passiert."
    Weit über 100 staatliche Dienstleistungen lassen sich inzwischen mit dem elektronischen Ausweis erledigen. Von der Steuererklärung über die theoretische Führerscheinprüfung – auch die kann man im Netz machen – bis zum Gesundheitswesen. Ärztliche Befunde sind ohnehin alle zentral gespeichert und für jeden behandelnden Arzt einsehbar. Krankenakten, Steuerinformationen. Alle möglichen persönlichen Daten sind somit in den staatlichen Datenbanken hinterlegt. Und darüber hinaus kann man mit dem elektronischen Ausweis Bankgeschäfte und andere verschlüsselte Transaktionen durchführen. Nur mal angenommen, schrieb kürzlich der estnische IT-Experte Otto de Voogt, die russische, die chinesische oder die US-Regierung würden ein Verschlüsselungssystem zur Verfügung stellen, wer würde hier auch nur eine Sekunde glauben, dass die Regierung selbst nicht einen Schlüssel behält. Warum haben die Esten so viel Vertrauen, dass ihr Staat anders ist?
    "Dass die NSA und andere jederzeit Ihren Mailaccount lesen können, hat nichts mit unserem System zu tun."
    "Ich bin immer perplex, wenn mir diese Frage gestellt wird. Ich finde, die Diskussion in den meisten Staaten läuft auf dem Niveau von digitalen Analphabeten."
    Das sagt Staatspräsident Toomas Hendrik Ilves, der vermutlich einzige Präsident der Welt, der schon als 13-Jähriger seine ersten Programmiererfahrungen gesammelt hat. Er gehört zu den stärksten Verfechtern des estnischen Ausweises.
    "Die Diskussion, wie sie in Deutschland geführt wird, entschuldigen Sie, aber das ist Wahnsinn. Dass die NSA und andere jederzeit Ihren Mailaccount lesen können, hat nichts mit unserem System zu tun. Es ist anders herum: Die einzigen Daten, bei denen ich mich darauf verlasse, dass sie sicher sind, sind diejenigen, die ich mit meiner ID eingebe."
    Der Präsident vergleicht das estnische System mit dem von Lavabit – dem US-Amerikanischen E-Mail-Service, den auch Edward Snowden genutzt hat. Selbst die NSA war nicht in der Lage, die Lavabit-Verschlüsselung zu knacken und hat deshalb Lavabit, den Betreiber, unter Druck gesetzt.
    "Das war das Ende von Lavabit. Wir verwenden nun dieselbe Methode wie Lavabit, mit einem Unterschied: Sie hatten einen Verschlüsselungsstandard von 512 Bits. Unserer hat 2048 Bits, ist also nochmal um zwei Sicherheitsstufen besser."
    Natürlich müssen auch in Estland Behörden auf personalisierte Daten zugreifen. Doch ist das System so eingerichtet, dass jeder Zugriff registriert und die betreffende Person anschließend darüber informiert wird. Dies bestätigt der Netzaktivist und Datenschützer Siim Tuisk.
    "Es ist schon erstaunlich, wie viele Informationen der Staat über einen hat. Ich kenne aber kein Beispiel, dass unser Staat die Daten missbraucht hätte. Was mir eher Sorgen machen würde, wäre, wenn die Europäer einen gemeinsamen elektronischen EU-Ausweis beschließen. Denn dann würden sie sich vermutlich auf einen Standard einigen, der schlechter ist als unserer. Deshalb versucht Estland gerade, möglichst viele Länder ins Boot zu holen. Aber die europäischen Institutionen sind sehr langsam, deshalb sehe ich das in den nächsten drei Jahren nicht."
    Es fällt schon auf, wie sehr selbst die Netzaktivisten in Estland ihrem Staat vertrauen. Der IT-Experte und Bürgerrechtler Otto de Voogt schrieb kürzlich:
    "Ein Staat, der ein Verschlüsselungssystem anbietet, das er selbst nicht knacken kann, wäre in der Welt eine Ausnahmeerscheinung. Aber er sei gerne bereit daran zu glauben, dass Estland ein solches Land ist."