BundID: Jubel über Zwangsregistrierung und wie ich als "Donald Duck" so ein Konto bekommen habe

Stop - PixabayDie BundID soll ja das Benutzerkonto des Bundes sein, mit der Bürger sich für viele Online-Verwaltungsleistungen anmelden können. Die einmalige Energiepreispauschale für Studierende und bestimmte Schülergruppen geht nur mit dieser BundID. Gerade freute sich ein Staatssekretär über "die Steigerungszahlen der BundID" – kein Wunder, wenn die Leute das brauchen, um ihre 200 Euro zu bekommen. Ein Blog-Leser hat nun so seine eigenen Erfahrungen mit dem Einrichten der BundID für den studierenden Sprössling gemacht. Wegwerf-E-Mail reicht, um die BundID zu bekommen. Jetzt gibt es "Donald Duck", wohnhaft im Bundesinnenministerium, der mit einer BundID registriert ist und jetzt "ne Million beantragen" kann.


Anzeige

Ministerium feiert BundID-Steigerung

Es war der Artikel Zwangsregistrierung: Forschungsministerium feiert Steigerung der BundID-Zahlen der Kollegen von heise, der mich bewog, das Thema mal aufzugreifen (zumal eine Mail mit der Beobachtung eines Lesers im Posteingang schlummerte). Der Beitrag on heise transportiert die Information, dass man sich im Bundesforschungsministerium freut, dass mehr BundID-Konten eröffnet wurden. Warum?

einmalzahlung200.de

Weil die Studierenden und Auszubildende zwingend die BundID benötigen, um die Einmalzahlung von 200 Euro als Energiekostenhilfe auf einmalzahlung200.de beantragen zu können. Inzwischen sind wohl über 1,4 Millionen Anträge beim Bund eingegangen und fast 1,3 Millionen Anträge ausgezahlt worden.

Sieht man in der Politik als "Erfolgsgeschichte". Der heise-Artikel zitiert aus dieser Erklärung des parlamentarischen Staatssekretärs im Bundesministerium für Bildung und Forschung, Jens Brandenburg (FDP), der bilanziert, dass "die Anzahl der für die Beantragung notwendigen digitalen Bürgerkonten seit Anfang Februar 2023 um mehr als 1,3 Millionen Konten stieg". Jens Brandenburg sagte dazu:

Wir haben unser Versprechen gehalten und den Studierenden sowie den (Berufs-)Fachschülerinnen und -schülern eine Antragsplattform zur Verfügung gestellt, mit der sie die Energiepreispauschale von 200 Euro sicher, schnell und unkompliziert beantragen können. […]

Jens Brandenburg sagt, dass dies zeige, wie gut die Plattform einmalzahlung200.de funktioniere. Die Plattform sei vom Bundesforschungsministerium gemeinsam mit Sachsen-Anhalt aufgebaut worden. Damit habe man einen neuen Maßstab für die digitale Verwaltung in Deutschland gesetzt. Mehr als eine Million neue digitale Bürgerkonten seien seit Anfang Februar angelegt worden. Die Vorbereitung der Antragsplattform sei echte Pionierarbeit gewesen, die sich jetzt auszahlt habe.

Was ist die BundID?

Die BundID ist laut dieser Seite des Bundesinnenministeriums (BMI) das Nutzerkonto des Bundes. Mit diesem Konto können sich Bürger für viele Online-Verwaltungsleistungen anmelden. Diese BundID soll irgendwie sicherstellen, dass die Leute sich eindeutig gegenüber der Verwaltung identifizieren.

Dazu zwei Anmerkungen: Für die Einmalzahlung der Energiekostenhilfe kommen Betroffene, als praktisches Beispiel, nicht wirklich an der BundID vorbei. Die Steigerung der Nutzerzahlen der BundID ist daher auf genau diesen Effekt zurückzuführen – und nicht darauf, dass diese einen wirklichen Nutzwert in der digitalen Verwaltung bringt. Als zweiter Punkt bleibt anzumerken, dass die BundID so angelegt ist, dass die Vertrauensstellung des Konteninhabers von "ganz sicher über Personalausweis identifiziert", bis hin zu "Basisregistrierung mit ganz schön Gaga-Daten" reicht. 

Wo gibt's die BundID?

Auf die Frage im Titel schoss mir spontan die Antwort – geprägt durch eine gewisse Werbung – "bei Eisen-Karl … oder bei OBI" durch den Kopf. Scherz beiseite, die BundID kann auf dieser Seite beantragt werden. Um ein BundID-Konto zu nutzen, gibt es laut der BMI-Seite verschiedene Möglichkeiten sich eindeutig zu identifizieren:


Anzeige

  • Verwendung der Online-Ausweisfunktion des Personalausweises, des elektronischen Aufenthaltstitels oder der Unionsbürgerkarte, oder
  • Verwendung der EU-Identität, das heißt die elektronische Identifizierung (eID) des europäischen Heimatstaats, oder
  • Verwendung des persönlichen ELSTER-Zertifikats.

Wer noch kein BundID-Konto hat, kann sich dieses zum Beispiel mit der Online-Ausweisfunktion einrichten (hier geht es zur Anleitung). Das ist aber ein "wackeliges Unterfangen", wie ich 2021 im Blog-Beitrag eID, Pass auf dem Smartphone: Neuer Schlenker, neues Desaster mit Ansage? mal aufgeschlüsselt habe. Inzwischen besitze ich genau ein Android-Smartphone, welches den Personalausweis zur Identifizierung lesen könnte. Aber ich bin mir nicht sicher, ob die benötige AusweisApp2 noch funktioniert. Das obige Geraffel sieht aber schon mal sehr sicher aus – Du musst dich identifizieren, so mein Gedanke. Die packen es wirklich noch mit dieser Digitalisierung.

Eine Wegwerf-E-Mail geht aber auch

Da ich vor mehr als einem halben Jahrhundert mal als Lehrling öfters bei "Eisen-Karl" Schrauben und andere Teile besorgen musste, bin ich auf unkonventionelle Wege "getrimmt"  worden – da geht bestimmt was, war so mein Gedanke. Aber an dieser Stelle musste ich nicht wirklich suchen und experimentieren, denn die Arbeit hat mir Blog-Leser Karl H. abgenommen. Er schrieb mir zum Wochenende in einer E-Mail mit dem Titel Kontoanmeldung bei BundID nur mit Kennwort und Wegwerfmailadresse:

Hallo Herr Born,

die BundID schlummerte bisher unbeachtet von mir (zumindest für mich) vor sich hin.

Grundsteuer wurde mit PDF gemacht, andere Anmeldungen beim Staat auch nicht genutzt.

Die Aspekte wie elektronisches Anwaltspostfach, elektronische Patientenakte, Arztanbindungen zu KK mit Cocobox….. das ist alles sehr schlecht umgesetzt.

So ganz spontan: Das geht mir genau so – Elster läuft bei mir zwar mit Zertifikat und auch die Grundsteuererklärung habe ich elektronisch gemäß Vorgaben erledigt. Ich wusste nicht einmal, dass es eine BundID gab – ich Ignorant. Karl stand nun aber vor der Problematik, dass eines seiner Kinder die 200 Euro als Energiekostenhilfe auf einmalzahlung200.de beantragen wollte. Karl schrieb mir dazu:

Da der Nachwuchs (studiert) nun die Energiepauschale haben wollte, braucht man nun eine BundID.

Mangels Steuererklärung bisher kein Elster….  [der Junior bräuchte ja Elster]

Der neue Personalausweis mit der Anmeldung [war] gerade nicht greifbar.

hatte er wohl ein Problem. Das sind die Fälle, wo man dann ans Schwitzen kommt, man will sich erklären, aber die Digitalisierung hält Stolpersteine bereit. Glücklicherweise denken die Leute beim Bund da wirklich mit – oder wie Karl es formuliert: Aber es reicht ja zur Kontoanmeldung eine Emailadresse. Auf der Webseite hier wird in der Tat eine Registrierung mit Benutzername und E-Mail-Adresse angeboten.

BundID anlegen

Karl schrieb mir dazu: Man kann zwar dann nicht alles damit sehen (Funktionalität eingeschränkt), aber ich habe nun zumindest einen "Fakeaccount" mit Phantasiedaten. Auf der Seite heißt es:

Ein Online-Ausweis (z. B. Ihr Personalausweis) ist für jeden Online-Antrag nutzbar, weil er als Identifizierungsmittel das höchste Vertrauensniveau erfüllt.

Bei einer Anmeldung mit einem Online-Ausweis können Sie immer alle Bescheide und Nachrichten in Ihrem BundID-Postfach öffnen und lesen (mit anderen Zugängen wie z. B. Benutzername & Passwort können Sie eventuell manche Bescheide aus Sicherheitsgründen nicht öffnen).

Karl fragt mit Recht: Was passiert denn, wenn ich mich als mein Nachbar oder als mein Arbeitskollege anmelde? Ich finde das ein starkes Stück und mein Misstrauen gegen den Staat und die Zwangsdigitalisierung wird nicht geringer.

Ich, Dagobert Duck will ne Million

An dieser Stelle wollte ich es dann wissen, ob es wirklich so einfach geht. Eine Weg-Werf-E-Mail-Adresse dagobert.duck@muell.monster war schnell generiert und ich habe mich dann als:

Dagobert Duck
Alt-Moabit 140
10557 Bäerlin

geboren am 1.1.1920, registriert. Der Benutzername dagobert war schon vergeben, aber einige Ziffern angehängt, schon passte alles. Nun habe ich also eine BundID für die oben genannte Person, die als Untermieter unerkannt im Bundesinnenministerium logiert.

BundID-Konto von Dagobert Duck

Hier noch die betreffenden Kontendaten für mein BundID-Konto, welches zwar nur eine Vertrauensstellung Basisregistrierung besitzt. Aber ich könnte immerhin Anträge stellen.

BundID-Konto: Details von Dagobert Duck

Überrascht hat mich, dass das ohne weitere Verifizierung – z.B. über einen PIN-Code, der per Brief zugestellt wird, möglich ist. Und die Prüfung der eingegebenen Daten erfolgt auch nicht auf Plausibilität – ich konnte den Benutzernamen wählen, erfuhr aber erst nach mehreren Schritten, dass dieser vergeben war. Meinen absichtlich eingegebenen Tippfehler in der Adresse hat man bei der Registrierung auch nicht abgewiesen – dabei hätte der Städtename anhand der Postleitzahl durchaus abgeglichen werden können.

Mein Fazit

Das "Versprechen" von Herrn Brandenburg, "die Million" sicher, schnell und unkompliziert beantragen zu können, wurde also eingelöst – obwohl ich dann den Antrag sicherheitshalber nicht gestellt habe. Es ist klar, dass man immer einen Kompromiss zwischen Komfort und Sicherheit bei der Authentifizierung finden muss. Aber so einfach, wie oben skizziert, hatte ich mir das dann doch nicht vorgestellt. Ich glaube, wir brauchen noch ein paar Schritte, bis wir "Digitalisierung in der Verwaltung" können. Mein Zutrauen in die Sicherheit der Digitalisierung ist dadurch nicht wirklich gestiegen. Danke an Karl für den Hinweis.

PS: Ich gehe davon aus, dass gewisse Beantragungen mit der Basisregistrierung nicht gehen, sondern eine höherwertige Authentifizierung mittels Elster-Zertifikat oder Personalausweis erfordern – probiert habe ich das aber nicht – der Kommentar hier wirft aber ein gewisses Licht auf die Geschichte.

Ähnliche Artikel:
eID, Pass auf dem Smartphone: Neuer Schlenker, neues Desaster mit Ansage?
Video-Ident durch Chaos Computer Club "sturmreif geschossen"
gematik untersagt Video-Ident-Verfahren in der Telematikinfrastruktur (9. August 2022)
Verimi-Fiasko? Dem ID-Dienst droht wohl Ärger …
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Macher der Luca-App löschen die bisherigen Daten – neuer Dienst gestartet
Bye, bye, Luca-App spielt für die COVID-19-Nachverfolgung keine Rolle mehr
Visa EMV-Karten: PIN-Autorisierung bei NFC-Pay ausgehebelt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu BundID: Jubel über Zwangsregistrierung und wie ich als "Donald Duck" so ein Konto bekommen habe

  1. R.S. sagt:

    Ich hätte da ja als Ort Entenhausen und als Straße/Hausnummer Glatzenkogel 1 angegeben.

    Schon erschreckend, was der Bund da macht.
    Selbst ein Informatikstudent im 1. Semester hätte das besser hinbekommen.

    • Günter Born sagt:

      Hatte ja einen Adressabgleich erwartet und mir über eine Suchmaschine die Dienstadresse von Innenministerin Nancy Faser auswerfen lassen … dass Bäerlin gefressen wird, hätte ich mir in meinen kühnsten Träumen nicht vorstellen können.

    • Paul sagt:

      Zu einer Zeit als Wünschen noch geholfen hat.
      So rein theoretisch…

      Uni kann eine Pin geben.
      Diese Übermittelt sie mit den Adressdaten an den Bundesservice.
      Kommt jetzt jemand mit der Pin, sollten eigentlich die Adressen verglichen werden. Das scheint nicht zu erfolgen.
      Die Eingabe sind nur Fake, darum kommst bäerlin und das frische Alter durch.
      Mit der PIN wurde die ID erzeugt, mit den Daten die von der Uni kamen verknüpft. Diese waren wohlformatiert und validiert.
      Warum sollte man sich mit mit den User Eingaben herumschlagen? Dann hätte man noch mehr Hotline einrichten müssen die beim Tippen hilft.
      Wenn mit der Bund ID der Antrag gestellt wird stehen da natürlich die Richtigen Daten und das Richtige Konto, aus den Uni Daten.

      Wo steht ihr alle da einen Skandal?
      Rein theoretisch könnte ein Dritter die ID beschaffen, wenn er zur Uni geht.
      Aber was hat er davon?

  2. Paul sagt:

    "Alternativ dürfen die Hochschulen auch eine zusätzliche PIN herausgeben, wenn sie die Identität des Studenten geprüft haben. Dann reicht auch die BundID mit niedrigstem Vertrauensniveau = E-Mail-Verifikation."

    EM, die Uni hatte nicht die PIN gegeben mit der sich ein Student hätte identifizieren können?
    Dann haben die einen dicken Bug in der Software.

    Aber es sollte die Million erreicht werden.
    Facebook hat damals auch nicht so genau hingeschaut.
    Aber später doch geprüft und Fake Accounts waren dann schon nicht mehr so einfach zu bekommen. Aber Facebook hatte ja was sie brauchten: User accounts.

    Nebenbei
    War das nicht Computer Betrug?

    Der Mail Schreiber war ja nicht zum Pentesten beauftragt und auch kein Journalist.
    Und unser Whislerblower Gesetzt, der solche Menschen schützen würde ich deren Information der Allgemeinheit nutz, wird und wird nicht fertig. Ein Schelm der..m

  3. Iku 173 sagt:

    Hahaha….
    Iku 176, Alt Moabit 12a, 10559 Börlin funktioniert dann sicher auch.
    Der Scheck kommt sozusagen 'in-house' in die Ze…, äh ins Appartment. ;-)

  4. paul sagt:

    Was ganz sicher was auch geht ist
    Robert'); DROP TABLE students;–, nicknamed Little Bobby Tables,
    Es werden vermutlich gar keine Werte geprüft.
    Er erst wenn etwas mit der ID gemacht werden soll, fällt es auf

  5. Karl sagt:

    Vertrauensstufe Hoch (Ausweis), Mittel (Steuer-ID), Niedrig (Mailadresse).
    Der Antrag s.u. wird ohne die passende Vertrauensstufe(n) nicht angenommen.

    https://netzpolitik.org/2023/einmalzahlung-an-studierende-verpflichtung-zur-bundid/

    Das Problem sehe ich eher darin, dass Studierende über diesen Hebel dazu gezwungen werden sich eine eindeutige Personenkennziffer zu besorgen.
    Technisch gesehen hat das tatsächlich Vorteile. Allerdings haben wir, nicht nur in D, ausreichend Anlass das als kritisch zu betrachten. Dass wir für den Staat nicht durchsichtig werden, ist ein wesenliches, im Grundgesetz verankertes, Abwehrrecht gegenüber zukünftig möglicher staatlicher Willkür.
    Falls sicherstellbar wäre, dass die Regierungen dieses Landes ihre Macht nie wieder missbrauchen und die Systeme gegen externen Missbrauch absicherbar sind, her damit.
    Bis dahin müssen wir darauf wohl besser verzichten.

    • Dolly sagt:

      > dass Studierende über diesen Hebel dazu gezwungen werden sich eine eindeutige Personenkennziffer zu besorgen.

      Das war der Sinn und Zweck der Übung. Und 200 € reichten aus. Persönliche digitale ID mit verknüpften Kontodaten hunderttausender Studenten sind jetzt beim Staat, für immer.

  6. Der student sagt:

    hat jemand herausgefunden wie ich das Konto wieder löschen kann? ich will das eigentlich nur für die eine Auszahlung nutzen ?

  7. Paul sagt:

    Zugangscode, den Sie von Ihrer Ausbildungsstätte erhalten,
    eine 36 stellige Zahl.
    Also ziemlich unique in Zeit und Raum.

    Diese wird von deren Uni erzeugt und nur mit dieser erhält man überhaupt Zugang zum Weiteren.
    Das muss der Briefschreiber übersehen haben.
    Er ist 100% identifiziert.
    Die Uni kann noch eine Pin mitgeben mit der sie bescheinigt, das sie die Daten bei ihr validiert hat. Ohne die Daten übertragen zu müssen. Das wollen wir doch.

    Der Student muss nur noch seine Kontonummer eingeben,
    die wohl richtig sein wird…
    Auch muss er Zugang zu einem Email Fach haben um DOS zu vermeiden.
    Die restlichen Daten sind reine Show
    die werden nicht benötigt.
    Datenschutz rechtlich bedenklich da nicht notwendig.

    Der User ist quasi das Human Interface zwischen dem Unicomputer und dem des Bundes.
    Der Uni Computer kann aber was auch nicht auf die Konto Daten beim Bafög Amt zugreifen.
    Da da keine elektronische Datenübertragung stattfindet sondern der User tippt, gilt die DSGV nicht… ein alter Trick mit dem schon die Telefon-CDs raubkopiert wurden.
    Ich vermute Mal, das, wenn die Zahlung erfolgen soll, vermittels Bank und Konto Nummer der Zahlungs Empfänger abgeglichen wird.(Geldwäsche).
    Warum das sollte man das vorher prüfen?
    Wenn es nicht funktioniert hat man die Email des Users und seinen Code an der Uni..dann ist immer noch Zeit nach zu fragen

    Wo ist also das Problem daß in den Daten Unfug steht?
    Warum sollte man die Daten schon bei der Eingabe prüfen, wenn sie evtl. nie gebraucht werden? wie hier.
    Speicher ist billiger als Rechenzeit.

    Natürlich ist es Nötigung jemanden zur Anmeldung zu zwingen damit er sein Recht Wahrnehmen kann, aber…
    das ist die eigentliche Ebene

    Handwerklich ist das OK.

  8. Ralf Lindemann sagt:

    Unbürokratisch wäre gewesen, Studierenden bei der Rückmeldung zum Sommersemester 2023 200 Euro beim fälligen Semesterbeitrag zu erlassen. Das hätte Studierende zeitnah und spürbar entlastet. An NRW-Unis zum Beispiel liegen die Semesterbeiträge im Durchschnitt deutlich über 300 Euro. Den Fehlbetrag hätte der Bund den Universitäten erstatten können. Hätte man sich den Aufwand gespart, einige Millionen Einzelanträge zu bearbeiten – von den BundID-Konten, die kaum einer freiwillig haben will und nutzen wird, ganz zu schweigen. Aber nein, warum einfach, wenn's auch kompliziert geht? – So funktioniert Digitalisierung in Deutschland: Wer keine Probleme hat, der macht sich welche.

    In diesem Zusammenhang könnte man auch auf BAFöG-Digital verweisen. Bei tagesschau.de war im Dezember 2022 die fast unglaubliche Story zu lesen:

    „Zwar kann seit September 2021 mit BAföG-Digital in allen Bundesländern der Antrag online gestellt werden. Doch dann beginnen die Probleme. Laut dem Dachverband der bundesweit 57 Studenten- und Studierendenwerke hat die digitalisierte BAföG-Antragstellung in der Praxis fatale Folgen. Die BAföG-Ämter der Studierendenwerke müssen die online eingereichten BAföG-Anträge der Studierenden händisch ausdrucken. Die Drucklast in den BAföG-Ämtern ist so hoch, dass dafür eigens zusätzliches Personal eingestellt werden muss …"
    Quelle: h**ps://www.tagesschau.de/investigativ/funk/studenten-bafoeg-digitalisierung-buerokratie-101.html

  9. Paul sagt:

    In extra3 (lineares TV NDR) haben sie das Mal kurz aufgeschrieben was man "unbürokratisch" nennt…

  10. janil sagt:

    Alles Neuland… Da muss man nachsichtig sein…

  11. eiD-Expert sagt:

    Kannst Du in Deinem Text transparenter machen, was Dir bereits bekannt ist, nämlich das Du hier ein Konto angelegt hast, wo ein niedriger Schutzbedarf besteht? Damit kann niemand die 200 Euro beantragen, geschweige denn diese erhalten. Diese Art von Konto ist für Verwaltungsleistungen gemacht, die keine sensiblen Daten oder ähnliches nutzen. Das erkennen einige Menschen hier aber nicht bzw. werden von Deinem Bericht ziemlich emotionalisiert, dass hier vermeintlich eine Sicherheitslücke besteht.

    • Dolly sagt:

      Welche Verwaltungsleistungen nutzen keine sensiblen Daten oder ähnliches?

      Wozu gibt es ein Konto zur Identifizierung, das keine Identifizierung erfordert?

      • Thomas Anderson sagt:

        Der Nutzen ist begrenzt, aber vorhanden.

        Zum Beispiel ein Antrag auf Anwohner-Parkausweis, bei der man bezahlen muss und ein KfZ-Kennzeichen angeben muss. Der Abgleich, ob du da wohnst wo du behauptest wird über das Kennzeichen im Hintergrund im Register geprüft, die Bezahlung verhindert Missbrauch.

        Oder alle Anträge, bei denen parallel Originaldokumente eingereicht werden müssen oder im Laufe des Prozesses ein persönliches Vorsprechen notwendig ist, bei dem die Identität geprüft werden kann.

        Dann kann die Behörde trotzdem die Login- und Postkorb-Funktion der Bund.ID nutzen.

  12. Holgi sagt:

    Konten Zur "Identifizierung" die Keine Identifizierung erfordern haben 2 Sinvolle Gründe:
    – Zur Wahrung der Vertraulichkeit. Die Zugangsdaten zum Freemail Postfach verhindern, das Dritte die Mails lesen. Die Bund-ID lässt (theoretisch) die Kommunikation mit Behörden zu ohne das es für 3. Transparent ist . Wird in Hamburg zum Beispiel für die Terminvereinbarung genutzt.
    – Zur Verhinderung von (Massen- bzw. Automatisierten-) Abfragen gegen die dahinterliegenden System. Also Beispielsweise Nutzung von (amtlichen) Datenbanken für Verifizierungen, Spam in Richtung Behörden etc…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.