Vorab-Test

Personalausweis: AusweisApp2 für iOS im ersten Betatest

Der Personalausweis soll bald auch mit Apple-Geräten für staatliche Dienstleistungen genutzt werden können. teltarif.de hat am offiziellen Betatest der AusweisApp2 für iOS teilgenommen.

Der neue deutsche Personalausweis verfügt über eine Online-Ausweisfunktion, damit Bürger sich bei staatlichen Stellen auch über das Internet zweifelsfrei ausweisen können. Das langfristige Ziel dabei: Mehr und mehr Dienste der Behörden sollen ins Internet verlegt werden, damit die Bürger nicht persönlich in den Dienststellen der Verwaltung erscheinen und dort womöglich noch Schlange stehen müssen.

Von diesem hehren Ziel sind die Verwaltungen von Bund, Ländern und Kommunen aber noch weit entfernt: Erstens ist bislang nur ein kleiner Teil der Dienstleistungen überhaupt fürs Internet fit gemacht worden. Und zweitens sind die technischen Hürden für ungeübte Anwender mitunter abschreckend.

Nach der Einführung des neuen Personalausweises, den der Bürger zusammen mit einem Online-Passwort erhält, gab es zunächst nur Lesegeräte für den Computer, mit dem die Bürger dann diverse Dienste über den Webbrowser nutzen können. Die Realität sieht mittlerweile aber anders aus: Viele Verbraucher nutzen fast überwiegend mobile Geräte auf Basis von Android und iOS. Im zweiten Schritt wurde daher eine AusweisApp2 für Android veröffentlicht.

Und nun entwickelt die Governikus KG im Auftrag der Bundesregierung eine Variante für Geräte mit Apple iOS. Interessierte Bürger können sich auf der Seite zum AusweisApp2-Feldtest für iOS per E-Mail bewerben und auf eine Warteliste setzen lassen. Denn Governikus muss den Testern hierzu leihweise ein Lesegerät zusenden, und von dem steht nur ein begrenztes Leih-Kontingent zur Verfügung. Selbstauskunft mit der AusweisApp2 Selbstauskunft mit der AusweisApp2
Screenshot: teltarif.de

Technischer Hintergrund: NFC ist kein Selbstläufer

Für unseren Test der AusweisApp2 unter iOS ließen wir uns ein Exemplar des Lesegeräts zusenden. Einige Leser werden nun fragen: Warum wird für die Nutzung des neuen Personalausweises nicht einfach der NFC-Chip im Smartphone genutzt?

Laut Governikus ist eine grundlegende Voraussetzung für die Nutzung per Smartphone, dass das verwendete Gerät NFC unterstützt, und das ist auch bei neueren Smartphones im unteren Preissegment noch keine Selbstverständlichkeit. Es ist darüber hinaus erforderlich, dass für die Kommunikation "Extended Length" sowohl vom NFC-Chip als auch von der verwendete Firmware des jeweiligen Geräteherstellers unterstützt wird.

Denn viele momentan am Markt erhältlichen NFC-fähigen Smartphones begrenzen die zulässige Länge der über die NFC-Schnittstelle übertragbaren Chipkartenkommandos. Für den Personalausweis müssen mindestens 400 Bytes übertragen werden können, viele Smartphone können per NFC aber nur Chipkartenkommandos mit einer Länge von bis zu 261 Bytes übertragen. Die Folge: Die Prüfung des Berechtigungszertifikates scheitert und damit der komplette Authentifizierungsvorgang.

Aus diesem Grund pflegt Governikus eine Liste kompatibler NFC-Smartphones. Dort werden in drei Kategorien Geräte mit einer stabilen Übertragungsmöglichkeit, mit einer mittelstabilen Übertragungsmöglichkeit sowie mobile Geräte ohne Unterstützung genannt. Primär getestet haben wir die AusweisApp2 mit einem iPad Pro. Das von uns im Test als Zweitgerät verwendete OnePlus One beispielsweise hat keine kompatible NFC-Schnittstelle und darüber hinaus CyanogenOS als nicht unterstütztes Betriebssystem.

Bei der Nutzung auf Apple-Geräten kann NFC gar nicht verwendet werden: Ältere iPhones und iPads verfügen über kein NFC und auf das NFC-Modul in neueren Apple-Geräten dürfen momentan ausschließlich Apple-Dienste wie Apple Pay zugreifen. Ob Apple beabsichtigt, die Schnittstelle irgendwann für Fremdanwendungen zu öffnen, ist nicht bekannt - Nutzer von Apple-Geräten und nicht unterstützten Android-Geräten werden also immer zusätzlich ein Kartenlesegerät benötigen.

Richtiges Apple-Gerät und Stolperfallen beim Koppeln

Für unseren Test erhielten wir das Lesegerät ReinerSCT cyberJack Wave, einen Bluetooth-RFID-Kartenleser der Sicherheitsklasse 3, der offiziell für den Betrieb mit dem neuen Personalausweis zugelassen ist. Er verfügt über ein Display und eine Touch-Tastatur zur PIN-Eingabe. Diesem Lesegerät liegen ein Netzteil und ein Micro-USB-Kabel bei, damit wird der interne Akku geladen. Der Kartenleser kann also auch ohne Netzteil genutzt werden. Im Handel kostet er momentan rund 95 Euro.

Auf der Übersichtsseite kompatibler Kartenleser sind 20 kompatible Lesegeräte der Firmen ACS, Cherry, Feig, Gemalto, HID, Identiv, Kobil und ReinerSCT aufgelistet, von denen zehn zertifiziert sind und zehn nicht. Doch auch die nicht zertifizierten funktionieren laut Governikus mit der AusweisApp2. Interessanterweise gehört auch der uns zugesandte ReinerSCT cyberJack Wave zu den nicht zertifizierten Lesegeräten. Vor dem Kauf sollte der Interessent prüfen, welches Lesegerät mit welchen Betriebssystemen kompatibel ist.

Wichtig zu wissen ist, dass die Bluetooth-Koppelung zwischen Apple-Gerät und Lesegerät über die AusweisApp2 hergestellt werden muss und nicht über die Systemeinstellungen des Geräts erfolgen darf - sonst kommt keine Kommunikation zustande. Denn die App generiert einen Zahlencode, der auf dem Leser eingegeben werden muss - ansonsten klappt die Koppelung nicht.

Im übrigen weist Governikus darauf hin, dass für den Betatest am besten ein iPad verwendet werden sollte - und das können wir bestätigen. Die AusweisApp2 läuft zwar auch auf dem iPhone problemlos. Das Problem sind aber die Webseiten der Verwaltungsstellen und Behörden, die überhaupt nicht für die mobile Nutzung optimiert sind. Zum Teil sind die verwendeten Schriftarten und Menüs so klein, dass man auch auf dem iPad genau zielen muss, um den richtigen Link zu treffen. Wenn sich die Identifikation per elektronischem Personalausweis tatsächlich in der Praxis durchsetzen soll, ist das wohl die größte Baustelle: Alle Webseiten müssen komplett auf mobile Nutzungsfähigkeit umgestellt werden. Das Chipkarten-Lesegerät für den Betatest Das Chipkarten-Lesegerät für den Betatest
Bild: teltarif.de / Alexander Kuch

AusweisApp2 über Testflight beziehen

Da sich die AusweisApp2 im Betatest befindet, kann sie noch nicht über den regulären Appstore von Apple bezogen werden. Zunächst muss der Interessent aus dem Appstore die App "Testflight" laden. Testflight ist eine App, in der Entwickler Betaversionen zukünftiger Apps für ausgewählte Interessenten zum Download bereitstellen können. Die noch unfertige App wird dann über Testflight ganz regulär auf dem Gerät des Nutzers installiert.

Nach der Installation auf dem iPad und dem Start der AusweisApp2 (bei ausgeschaltetem Bluetooth-Modul) schaltet die App Bluetooth ein und nimmt erstmals Kontakt mit dem Lesegerät auf. Bei diesem muss der Akku allerdings über einen gewissen Stand von etwa 50 Prozent geladen sein, ansonsten hat die Koppelung bei unserem Lesegerät nicht funktioniert. Der Kartenleser wird durch das Einstecken des Personalausweises eingeschaltet, notfalls gibt es auch einen Powerknopf auf der Rückseite des Lesegeräts.

Nun zeigt die AusweisApp2 einmalig einen Zahlencode an, die über die Touch-Zifferntastatur des Kartenlesers eingegeben werden muss, dann ist die Koppelung vollzogen. Der ReinerSCT cyberJack Wave hat übrigens auch ein eigenes Menü, in dem beispielsweise die Bluetooth-Koppelung wieder aufgehoben werden kann. Das Menü wird über die Klammeraffe-Taste aufgerufen. Über dieses Menü können auch die Displayhelligkeit und Leuchtdauer des Displays und das haptische Tastenfeedback verändert werden.

PIN-Probleme, Ausweis auslesen, regionale Dienste

Die primäre Funktion der AusweisApp2 besteht darin, die elektronischen Daten des Personalausweises auszulesen und auf dem iPad-Display anzuzeigen. Dabei stießen wir allerdings auf ein Problem, das weder in der Dokumentation des Kartenlesers noch in der AusweisApp2 erwähnt wird. Zusammen mit dem Personalausweis erhält der Bürger einen Brief mit einer Ausweis-PIN für die Nutzung der elektronischen Funktion. Als wir erstmals den Ausweis auslesen wollten, wunderten wir uns, dass diese PIN auch bei mehrfachen Versuchen nicht funktionierte.

Schließlich lasen wir den Brief, den wir schon vor vier Jahren erhalten hatten, nochmals genauer. Dort stand nämlich, dass die vom Staat vergebene PIN gar nicht genutzt werden kann, sondern zuerst einmal geändert werden muss. Dazu gibt es einen separaten Menüpunkt in der AusweisApp2. Wie bei der Änderung einer Mobilfunk-PIN muss nach der Kontaktaufnahme mit dem Kartenleser zunächst die alte PIN und dann die neue eingegeben werden. Dies sollten die Behörden deutlich besser kommunizieren oder auf diese Zwangsänderung verzichten, damit bei technisch eher unbedarften Anwendern nicht gleich zu Beginn Frustration aufkommt.

Hauptmenü des Kartenlesegeräts von ReinerSCT Hauptmenü des Kartenlesegeräts von ReinerSCT
Bild: teltarif.de / Alexander Kuch
In der praktischen Handhabung stellten wir fest, dass die festgelegten Zeitlimits, um eine PIN einzugeben oder auf eine Anfrage zu reagieren, oft sehr kurz sind, manchmal nur etwa 10 Sekunden. Das mag zwar aus Sicherheitsgründen richtig sein, doch auch hier dürfte die noch mit Analogtechnik aufgewachsene Generation manchmal überfordert sein. Denn der Nutzer muss ja schließlich immer zwischen iPad und Kartenleser hin- und herwechseln, mal hier und mal da eine Eingabe machen - und wenn man zu langsam ist, bricht der Vorgang sofort ab und muss neu gestartet werden.

Für das Auslesen der Personalausweis-Daten muss dann die neu erstellte PIN eingegeben werden. Anschließend fragt der Kartenleser, welche Daten ausgelesen werden sollen. Hier tut man gut daran, alles zu bestätigen, denn wenn der Anwender auf der Touchtastatur des Kartenlesers erst einmal damit beginnt, die Abfrage einzelner Daten wie beispielsweise des Geburtsdatums zu verbieten, besteht schon wieder die Gefahr, dass der Vorgang abbricht. Personalausweis auslesen mit dem iPad Personalausweis auslesen mit dem iPad
Bild: teltarif.de / Alexander Kuch

Diese wenigen Dienste stehen zur Verfügung

Wer denkt, dass ihm mit der AusweisApp2 und einem Lesegerät nun die komplette Palette von Behördendiensten offensteht und jeder Gang zum Amt überflüssig wird, der täuscht sich gewaltig. Der Großteil der Dienstleistungen des Bundes und der Gemeinden ist noch gar nicht an das System angeschlossen.

In der Tat sind es so wenige Dienste, dass wir sie hier bequem aufzählen können, einschließlich der Auslesefunktion für den eigenen Personalausweis sind es nämlich exakt 14 Dienste. An bundesweiten Diensten gibt es Bitkasten, OpenPGP von Governikus, SkIdentity, die Deutsche Rentenversicherung und die Techniker-Krankenkasse.

Wer in der entsprechenden Region wohnt, kann folgende Dienste nutzen: Schwerbehinderten-Ausweis in Bayern und im Saarland beantragen, Bürgerdienste der Städte Münster und Nürnberg verwenden, das Bürgerportal von Rheinland-Pfalz nutzen, eine Feinstaubplakette oder eine Kfz-Halterauskunft in Berlin beantragen oder im Kreis Borken eine Kfz-Abmeldung durchführen - und das wars.

Bundesweit nutzbare Dienste & Fazit

Da wir in keiner der betreffenden Regionen wohnen, konnten wir die regionalen Dienste nicht ausprobieren. Problemlos funktioniert hat der Zugang zur Deutschen Rentenversicherung - hier konnten wir ohne große Umwege mit unserem Personalausweis unsere Aufstellung der Beitragszeiten und eine Berechnung der mutmaßlichen Rente einsehen. Störend hierbei war, wie schon erwähnt, dass es auf der Webseite keinerlei Symbole zum Antippen gibt, sondern nur kleine Textlinks, was auf Touch-Geräten recht mühselig ist.

Diese 14 Dienste bietet die App momentan Diese 14 Dienste bietet die App momentan
Screenshot: teltarif.de
Der Bitkasten-Service ist nur dann sinnvoll, wenn man bereits mit Kontaktpartnern vereinbart hat, dass diese ihre Rechnungen oder offiziellen Dokumente dort hinterlegen, dann ist der Abruf kostenfrei möglich und spart Papierpost. SkIdentity dient zum Einloggen in Webdienste, hier sind bisher aber nur wenige Dienste an Bord. OpenPGP braucht nur, wer seine E-Mails Ende-zu-Ende verschlüsseln will, über den Dienst wird allerdings nur ein Zertifikat erstellt, die Einrichtung im Mailprogramm muss der Kunde dann selbst vornehmen. Beispiel Deutsche Rentenversicherung: Nicht für Mobilgeräte optimiert Beispiel Deutsche Rentenversicherung: Nicht für Mobilgeräte optimiert
Screenshot: teltarif.de

Fazit: Willkommen in der Steinzeit des E-Government

Unsere Tests mit der AusweisApp2 und dem Kartenlesegerät muteten an, als ob wir in der Steinzeit mit einem Faustkeil aus Stein rohe Holzstäbe bearbeiten müssten. Die hier beschriebene Steinzeit des E-Government ist momentan also maximal etwas für experimentierfreudige Technik-Freaks, aber keineswegs etwas für die breite Bevölkerung.

Denn weniger technisch versierten Verbrauchern ist es nicht zuzumuten, sich mit Bluetooth-Problemen, NFC-Schlüssellänge, PIN-Änderungen und kurzen Timeout-Zeiten herumzuschlagen. Das größte Manko sind aber noch die Behördenseiten selbst, die eigentlich nur am Computer, aber nicht auf mobilen Geräten sinnvoll nutzbar sind. Es gibt also noch viel zu tun bei digitalen Behördengängen. Und es müssen sich viel mehr Städte und Gemeinden an das System anschließen lassen.

Zu einigen Kritikpunkten in unserem Testbericht hat Governikus mittlerweile Stellung bezogen.

Mehr zum Thema Politik