Es regt mich ja immer fürchterlich auf, wenn Leute die digitale Identifizierung per #ssi, also mit Apps wie #idwallet mit dem Vorzeigen eines Ausweises in der analogen Welt vergleichen.
Wenn ich in der analogen Welt meinen Ausweis vorzeige, dann kann den sich jemand anschauen und weiß "Das ist Lilith".
Vielleicht kann jemand auch eine Kopie des Ausweises machen. Aber es ist nicht trivial zu beweisen, dass diese Kopie mit dem Originalausweis übereinstimmt.
Wenn man sich nun mit der #idwallet irgendwo ausweist. Dann zeigt man allerdings nicht seinen Ausweis vor.
Sondern dann gibt man jemand eine staatlich beglaubigte Kopie seines Ausweises. Inkl. einer Verifikationsmöglichkeit, wo jeder immer prüfen kann, ob der Ausweis echt ist.
Wenn ein Haufen Ausweiskopien aus einem System abfließen und z.B. verkauft werden, dann ist das ziemlich scheiße.
Aber immerhin kann niemand beweisen, dass die Ausweiskopien alle wirklich echt sind.
Bei einem über die #idwallet gewonnen Ausweisdatensatz ist das nachvollziehbar.
Ich glaube sowohl der Verwaltung als auch den beteiligten Firmen an dem Projekt #idwallet hat diese Perspektive auf das Thema einfach gefehlt.
Oder ihnen ist einfach nicht bewusst, was für Risiken es birgt, jedem eine beglaubigte Kopie seines Ausweises in die Hand zu drücken.
Ich hoffe, das wir Konzepte wie #ssi für staatliche Dokumente in ihrer heutigen Form ganz schnell tot bekommen.
Das nicht mal die Leute, die es implementieren, verstehen, wie gefährlich der Ansatz ist, zeigt die Problematik vielleicht ganz gut.
(und jetzt frage ich mich, warum es mehrere Monate dauerte, diesen Erklärung auf ein paar Tweets herunterzubrechen 😂)
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Das ist ein super Beispiel, wie die öffentliche Verwaltung ihren Verpflichtungen zu #publiccode unter dem Vorwand der "Digitalen Souveränität" nicht nachkommt.
Es ist einfach das allerletzte staatlich finanzierte Software nicht auf GitHub zu entwickeln.
Leider ist es aber genau das, was das @BMI_Bund und Vereinigung wie die "Open Source Business Alliance" mit ihren eigenen Verwaltungsrepositories propagieren.
Weil es ihnen bei #FOSS eben nicht um die Zugänglichkeit zu Code und Community sondern ihr Geschäftsmodell geht.
Das Konzept der Digitalen Souveränität im staatlichen Sinne ist für uns als Zivilgesellschaft einfach immer nur von Nachteil und muss endlich sterben.
"Lilith, warum hetzt Du denn hier die ganze Zeit gegen Berater*innen, Du bist doch selbst eine!"
Also ich halte Beratung nicht per se für falsch. Es kommt halt auf den Einsatzzweck an.
Ein Team aufbauen irgendwo als Externe, kann eine Leistung sein, die einem Unternehme hilft.
Manchmal gibt es auch kurzfristig viel zu tun oder man muss mit einer Technologie arbeiten, die niemand im Unternehmen bisher kennt. Auch dann können Berater*innen helfen, Wissen aufzubauen.
Das sind Leistungen, die ich nicht pauschal aber in bestimmten Situationen für sinnvoll halte.
"Projektsteuerung macht Capgemini", "Das komplette Projekt wird von Accenture umgesetzt", "Die IBM, …" sind allerdings Sätze in Anfragen, die dazu führen, das ich diese ignoriere.
Der #ITPlanungsrat ist eines der wichtigsten Gremien im Kontext der Verwaltungsdigitalisierung in Deutschland. Er entscheidet zB über die technische Umsetzung des #ozg und #RegmodG.
Leider ist er ziemlich intransparent und nicht sehr offen für Feedback aus der Zivilgesellschaft.
Es wäre in der Vergangenheit häufiger wertvoll gewesen, seine Beschlüsse, bevor sie gefasst werden, zu kommentieren oder sogar Feedback im Rahmen eines Konsultationsverfahrens der Zivilgesellschaft zu geben.
Wenn die Beschlüsse veröffentlicht werden, ist es dafür schon zu spät.
In diesem Gremium Transparenz herzustellen, wäre allerdings eigentlich relativ einfach: die Beschlussvorlagen des IT-Planungsrats müssen etwa 5 Wochen vor der Sitzung feststehen. Man könnte diese dann einfach veröffentlichen und um Konsultation der Zivilgesellschaft bitten.
Das Bundeskanzlerinnenamt antwortete in der #IFG Anfrage zur #idwallet, das ihnen nicht bewusst war, dass das System nicht sicher ist.
Das klingt erst mal abwegig.
Insbesondere für Menschen mit technischen Sachverstand, die den BSI Bericht gelesen haben.
Im BKAmt war EIN Referat mit der #idwallet betraut. In dem Referat gibt es keinerlei technischen Sachverstand. Also keine Person mit einem Background in Informatik, IT-Sec, … oder gar Ausweissystemen.
Das war ein komplett externalisiertes Projekt mit einer wirklich völlig inkompetenten esatus AG, die das technisch umsetzte. Und der IBM. 🤣
Ob ich gerade dabei bin, die komplette Struktur der deutschen Bundesverwaltung maschinenlesbar zu machen, habt ihr gefragt?
Ja das ist richtig.
Die Idee dahinter ist, bereits heute verfügbare offene Daten über die Verwaltung der niedrigsten möglichen Ebene maschinenlesbar zuzuordnen.
Also z.B. Jobbeschreibung, Ausschreibungen, Vorträge und per #IFG befreite Dokumente werden den Referaten zugeordnet, die sie betreffen.
Hmm. Ob der "Bundesservice Telekommunikation" eine Tarnbehörde eines Geheimdienstes ist?
Ich würde jedenfalls meine Tarnbehörde genau so beschreiben, wenn ich ein Geheimdienst wäre. service.bund.de/Content/DE/DEB…
Wollte ihnen eine IFG-Anfrage schicken, aber leider geht ihre E-Mail-Adresse nicht.
Also habe ich angerufen. Telefonnummer geht auch nicht.
Also habe ich jetzt einfach mal beim Bundesverwaltungsamt - Website, auf der die Behörde gelistet ist - nachgefragt. fragdenstaat.de/anfrage/inform…