Cybersecurity eID

Die eID-Karte und das Sicherheitsproblem der vorgelagerten Identitätsprüfung

Feb. 21, 2026

Der Deutsche Städtetag hat auf seiner Konferenz vom 21. Januar 2026 in Dresden in einem förmlichen Beschluss gefordert, die Ausstellung der eID-Karte für Unionsbürger und Angehörige des Europäischen Wirtschaftsraums vorübergehend auszusetzen[1]eID-Karte aussetzen. Begründet wird dies mit strukturellen Defiziten in der Identitätsfeststellung, die auf kommunaler Ebene nicht mit den Sicherheitsanforderungen der nachgelagerten digitalen Infrastruktur kompatibel sind. Die Forderung verweist auf ein Grundproblem, das für föderale Digitalisierungsarchitekturen symptomatisch ist: die Inkongruenz zwischen technisch hochentwickelten Endpunktlösungen und organisatorisch unzulänglichen Eingangsprozessen.

Hintergrund und Reichweite des Problems

Die eID-Karte wurde 2021 eingeführt, um Personen ohne deutschen Personalausweis – also insbesondere EU-Bürger mit Wohnsitz in Deutschland – Zugang zu den digitalen Verwaltungsleistungen des Landes zu ermöglichen. Technisch basiert sie auf derselben Chiparchitektur wie der elektronische Personalausweis und ist gemäß der eIDAS-Verordnung auf dem hohen Vertrauensniveau notifiziert. Sie entspricht damit den europäischen Anforderungen an eine sichere elektronische Identität.

Das Sicherheitsproblem liegt jedoch nicht in der Karte selbst, sondern im Ausstellungsprozess. Bevor ein Chip produziert und personalisiert wird, muss in einem kommunalen Bürgeramt die Identität des Antragstellers anhand vorgelegter ausländischer Dokumente geprüft werden. Genau an diesem Punkt fehlen vielerorts die technischen und organisatorischen Voraussetzungen: Standardisierte Prüfgeräte für Ausweisdokumente aus anderen EU-Mitgliedstaaten oder EWR-Ländern sind häufig nicht vorhanden, und der Zugang zu einschlägigen Fahndungs- oder Dokumentendatenbanken ist in vielen Bürgerämtern nicht gegeben. Damit entsteht eine Lücke zwischen dem gesetzlich vorgesehenen Prüfauftrag und den tatsächlichen Prüfmitteln.

Das strukturelle Muster

Sicherheitsexperten und Ermittlungsbehörden haben darauf hingewiesen, dass diese Konstellation Missbrauchsszenarien ermöglicht. Mit gefälschten oder gestohlenen ausländischen Dokumenten lässt sich unter Umständen eine regulär ausgestellte deutsche eID-Karte erlangen – ein Dokument, das dann auf hohem Vertrauensniveau für die Eröffnung von Bankkonten oder komplexe Betrugskonstruktionen genutzt werden kann. Die praktischen Folgen sind inzwischen im Bankensektor spürbar: Zahlreiche Kreditinstitute sehen sich mit ernsthaften Problemen durch gefälschte digitale Identitäten konfrontiert, die über die eID-Karte in das Finanzsystem eingeschleust wurden. Dass ein eigentlich auf hohem Vertrauensniveau notifiziertes Dokument als Einfallstor für Identitätsbetrug dienen kann, ist für die betroffenen Institute eine belastende Paradoxie.

Vereinfacht gesagt bestimmt das schwächste Glied der Kette das effektive Sicherheitsniveau des Gesamtsystems, ungeachtet der technischen Stärke seiner übrigen Komponenten. Das ist kein neuartiges Problem. Vergleichbare Schwachstellen finden sich überall dort, wo zentral entwickelte und technisch ausgereifte digitale Infrastrukturen auf dezentral organisierten, ressourcenmäßig heterogenen Vollzugsebenen aufsetzen. Die Güte eines Systems aus Chip, Kryptographie und Vertrauensniveau wird systemisch entwertet, wenn der Prozess der Identitätsfeststellung, der diesem System zugrunde liegt, nicht gleichwertig abgesichert ist.

Die Forderung des Städtetags und ihre Logik

Der Städtetag fordert nicht die Abschaffung der eID-Karte, sondern eine befristete Aussetzung als politisches Druckmittel. Durch die Unterbrechung eines laufenden Verfahrens soll eine Verhandlungssituation erzwungen werden, in der Bund und Länder verbindlich auf die Herstellung bundeseinheitlicher und sicherheitsadäquater Rahmenbedingungen verpflichtet werden. Die Zuständigkeit auf Bundesebene dürfte beim Bundesministerium des Innern liegen – konkret in dem Referat, das seinerzeit für die Einführung der eID-Karte verantwortlich zeichnete.

Konkret verlangt der Städtetag eine Überarbeitung der Systemarchitektur in drei Dimensionen: erstens eine Standardisierung der Prüfprozesse in den Bürgerämtern, zweitens den flächendeckenden Zugang zu Dokumentenprüfsystemen und relevanten Datenbanken sowie drittens eine klare Verteilung von Verantwortlichkeiten zwischen Bund, Ländern und Kommunen. Die Kommunen sollen nicht länger die operativ schwächste, aber haftungsrelevante Schnittstelle einer hochsicheren digitalen Infrastruktur darstellen, ohne entsprechende Ausstattung und Rechtsgrundlagen.

Ausbleibende Reaktion und die Kosten des Zögerns

Soweit erkennbar, ist eine Aussetzung der Ausstellung bislang nicht erfolgt. Dieser Befund ist bemerkenswert: Die Probleme der eID-Karte für Unionsbürger – vom ID-Experten Jörg Lenz (namirial) pointiert als „Unionsbürgerkarte” bezeichnet[2]https://www.linkedin.com/feed/update/urn:li:activity:7430755641113202688/ – sind seit längerer Zeit bekannt. Die Diskrepanz zwischen dem öffentlich dokumentierten Beschluss des Städtetags und dem Ausbleiben einer konkreten Reaktion des zuständigen Bundesressorts ist ein Indiz für die strukturellen Trägheiten, die den deutschen Digitalisierungsdiskurs charakterisieren: Handlungsbedarf wird identifiziert und adressiert, die operative Reaktion jedoch bleibt aus oder verzögert sich erheblich.

Die Kosten dieses Zögerns sind nicht abstrakt. Kreditinstitute und andere Relying Parties, die auf das hohe Vertrauensniveau der eID-Karte vertrauen, tragen reale Schäden durch kompromittierte Identitäten. Das Vertrauen in digitale Identitäten als Infrastruktur wird beschädigt – und dieses Vertrauen ist ein kollektives Gut, das sich nicht kurzfristig wiederherstellen lässt, wenn es einmal nachhaltig erschüttert wurde.

Einordnung: Kritischer Zeitpunkt vor dem EUDI-Wallet-Start

Die Dringlichkeit des Problems erhöht sich durch den bevorstehenden Rollout der europäischen digitalen Brieftasche. Die EU Digital Identity Wallet (EUDI Wallet) soll zum 2. Januar 2027 verpflichtend eingeführt werden und wird unter anderem auf nationalen eID-Infrastrukturen aufsetzen. Wenn die Bundesrepublik Deutschland bis dahin nicht in der Lage ist, die bekannten Schwachstellen der eID-Karte zu beheben, riskiert sie nicht nur den Ruf der eigenen Infrastruktur, sondern auch eine Belastung des europäischen Vertrauensrahmens, in den die EUDI Wallet eingebettet sein soll.

Der Beschluss des Deutschen Städtetags benennt ein reales Architekturproblem, das einer systematischen Lösung bedarf.

Ralf Keuper

References

Ähnliche Beiträge:

  1. Identity Relationship Management: eID, IAM, Blockchain und IoT bewegen sich aufeinander zu
  2. Zehn Jahre eID-Funktion – Was kann der E-Perso jetzt?
  3. Warum kommt die eID nicht ans Fliegen?
  4. Die eID-Karte: Digitalisierung ohne Kontrolle

Ähnliche Beiträge

eID EUDI

Wenn Downloads nicht Nutzung bedeuten: Was die europäischen eID-Apps über digitale Fragmentierung verraten

Feb. 9, 2026 Ralf Keuper
Cybersecurity Digitale Identitäten für KI-Agenten Standards/Protokolle

Die Sicherheitslücken des Model Context Protocol: Wenn optionale Authentifizierung zum Systemrisiko wird

Jan. 29, 2026 Ralf Keuper
Cybersecurity eID

Die eID-Karte: Digitalisierung ohne Kontrolle

Dez. 16, 2025 Ralf Keuper