Es gibt tatsächlich eine Chance, dass die Digitalisierung in das deutsche Behördenwesen einzieht. Die IT-Sicherheitsexperten Markus Hertlein und Pascal Manaras haben eine einfache, sichere passwortlose Authentifizierung entwickelt und 2016 Xign Sys gegründet. Damit können Bürger von den Ämtern elektronisch Dokumente erhalten und sich zeitraubende Behördengänge sparen. Nordrhein-Westfalen macht es als erstes Bundesland vor, wo die Technologie nun Schritt für Schritt eingeführt wird. Das vom Bund beschlossene Onlinezugangsgesetz sieht eigentlich vor, dass alle 11.000 Kommunen in Deutschland bis Ende dieses Jahres digitalisiert sind. Daran glaubt zwar kaum noch jemand. Xign Sys könnte den Prozess zumindest beschleunigen.
1. Mai 2022 - Von Rüdiger Köhn, München
Es beginnt „uncool“ und „unsexy“, muss selbst Markus Hertlein eingestehen. Doch der Bewohner-Parkausweis sei nun einmal sehr gefragt, sagt er. Und es ist der Anfang einer anstehenden digitalen Revolution - kaum zu glauben, aber wahr - in Behörden von Kommunen, Landkreisen und Städten in Nordrhein-Westfalen. Die Tür für den Bürger zum eGovernment sei nun weit geöffnet. Ohne Passwort kann er Dienste abfragen und lästige, zeitraubende alltägliche Behördengänge vermeiden. Alles funktioniert mit einer Authentifizierung und Identifizierung (ID) über das Smartphone - ohne Passworte selbst für delikate, datenschutzrelevante Vorgänge. Einmal registriert, und das Handy ist ein persönlicher Schlüssel zu Behördendienstleistungen ohne weiteres Anmelden.
Sukzessive werden die Angebote im bevölkerungsreichsten Bundesland nun ausgerollt, sind online bald ebenso Elterngeld, Geburtsurkunden, Baugenehmigungen oder polizeiliche Führungszeugnisse zu erhalten. Allerdings: Es wird noch Jahre dauern, bis einmal elektronisch ein Ausweis oder Reisepass bestellt werden kann. Dazu, dämpft Hertlein die Hoffnungen auf eine Rund-Um-Digitalisierung in Deutschlands Amtsstuben in absehbarer Zeit., sei eine Gesetzesänderung nötig. Persönliches Abholen ist immer noch vorgeschrieben.
Markus Hertlein Fotos Xign Sys
Doch ein fundamentaler Schritt zum digitalen Wandel in einer verkrusteten Behördenlandschaft ist getan - „und ein digitaler Grundstein in Deutschland gelegt“, wie Markus Hertlein sagt. Er hat mit Pascal Manaras Mitte 2016 Xign Sys gegründet. Das Start-Up aus Gelsenkirchen führt seit Jahresanfang schrittweise in NRW die Technologie ein. „Damit beschreitet ein Bundesland mit seinen Kommunen, Kreisen und Städten einen komplett neuen Weg.“ Es übernehme so eine Vorreiterrolle.
„Wir sind wohl derzeit die einzigen, die im gleichen Atemzug Unterschriften für Dokumente und Transaktionen anbieten können, und das immer mit einer gleichen, einfachen Nutzerführung.“ Ein Smartphone-App ist nicht nur ein persönlicher Schlüssel für Webzugänge in Behörden, sondern kann auch Türen zu Unternehmen öffnen. Mehr noch: „Das System schlägt eine Brücke zur Smart City .“ In ihr sollen einmal in Zukunft viele Dienste vernetzt werden, von der E-Mobilität über die Energieversorgung und Infrastruktrleistungen bis hin zu öffentlichen Angeboten.
Drei Jahre nach Gründung haben die 37 Jahre alten IT-Sicherheitsexperten das Bundesland NRW für ihr Projekt gewinnen können, das den Aufbau maßgeblich gefördert hat. Ihr erfolgreich abgeschlossenes Forschungsprojekt an der Westfälischen Hochschule Gelsenkirchen gründeten sie in Xign Sys aus. Mit der nun marktreifen Lösung könnten digitale Dienste sicher, flexibel und benutzerfreundlich genutzt werden, sagt Hertlein.. „Wir verstehen uns als Anbieter von Basis- und IT-Sicherheitsinfrastruktur.“ Die kann Zugänge zu öffentlichen Bürgerdiensten, zu Unternehmen, zu allen möglichen Webseiten und sonstigen digitalen und ebenso realen Angeboten ermöglichen, die eine Authentifikation erfordern.
Zur Infrastruktur gehört vor allem die IT-Sicherheit; das Kernstück der von Hertlein und Manaras über Jahre entwickelten Technologie. Derzeit sei es das einzige System, dass eine derart komplexe Sicherheitsstruktur anbiete, die zugleich so einfach zu handhaben sei, wie das Aufnehmen eines Fotos mit dem Smartphone. Alles ist über die Xign-Sys-App möglich, doch kann die Software auch auf andere Systeme aufgespielt werden. Das Start-Up stellt nicht die Dienste und Anwendungen bereit, das übernehmen die Betreiber.
Pascal Manaras
Nach Nordrhein-Westfalen setzen Hertlein und Manaras jetzt auf die anderen Bundesländer und den Bund. Gespräche dazu gebe es bereits in Berlin und bislang mit zwei Drittel der Bundesländer. Städte seien hellhörig geworden. Gelsenkirchen und Aachen waren schon in der Projektphase als digitale Modellregionen involviert und sind jetzt Kunden. Die Städte Münster, Remscheid, Duisburg und Solingen gehören ebnso zur Klientel. „Das Versuchsstadium ist beendet, jetzt sind wir in der Skalierung, wir haben mit NRW einen zahlenden Kunden“, sagt Hertlein.
Voraussetzung dafür ist die im Herbst vergangenen Jahres erfolgte Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) gewesen. Das war der Startschuss: „Fünf Jahre haben wir daran gearbeitet, um Stempel und Siegel zu bekommen..“ Damit habe man nicht nur die wichtigste Hürde genommen, sondern auch die Türen zu den Ländern und Kommunen aufgestoßen. „Wir fokussieren zunächst auf Städte mit mehr als 100.000 Einwohnern.“ Davon gibt es in Deutschland rund achtzig, in NRW allein 33.
Noch etwas spielt Xign Sys mit heute mehr als 40 Mitarbeitern in die Hände: Mit dem im August 2017 in Kraft getretenen Online-Zugangsgesetz (OZG) soll das digitale Steinzeitalter in der deutschen Verwaltung beendet werden. Das Gesetz sieht vor, Behördendienste bis Ende dieses Jahres über Verwaltungsportale digital anzubieten. Es müssen 575 Verwaltungsservices auf Bundes-, Länder- und Kommunen-Ebene digitalisiert werden. Die dafür zu schaffende IT-Infrastruktur muss jedem Nutzenden einen Zugriff auf diese Dienste mit nur wenigen Klicks ermöglichen. Nutzerorientierung und Anwenderfreundlichkeit sind vom Gesetzgeber in Berlin zur obersten Priorität erklärt worden. Kein einfaches Unterfangen - im föderal strukturierten Deutschland, in dem jedes Bundesland auf eigene, autonome Kompetenzen in der Gesetzgebung und im Vollzug pocht. Dabei verlangt der Aufbau eines digitalen Verwaltungssystems nach Vereinheitlichung in Bund, in den 16 Bundesländern und in insgesamt rund 11.000 Kommunen. Und so viele Gesetze, Leistungen und IT-Infrastrukturen gibt es denn auch. Zweifel sind schon im vergangenen Jahr aufgekommen, dass der Zeitplan nicht annähernd einzuhalten ist.
Wenn es in der jüngsten Vergangenheit Fortschritte gegeben hat, dann handelt es sich eher um Online-Funktionen, die den Gang zum Amt in Form von Anmeldungen für einen Behördengang durch Anklicken eines Termins vorbereitet, statt einen Dienst zu ersetzen. Digitales Bezahlen von in der Regel kostenträchtigen Behördenservices über E-Payment ist bislang in nur mehr als 3000 Kommunen möglich. Das auf Abo-Basis funktionierende Modell (SaaS - Software as a Service) könnte einen Beitrag zur Beschleunigung leisten. „Es gibt Ideen, die kommen zu früh oder zu spät“, sagt Markus Hertlein.
„Und es gibt Ideen, die kommen zum richtigen Zeitpunkt“, lacht er. Gründer brächten sehr viel Fleiß auf, um erfolgreich zu sein. Sie benötigten hin und wieder aber das Gespür für das richtige Timing, Zufälle und Glück. So ein Zufall war es, als er Pascal Manaras im Master-Studium wieder getroffen hat. Sie kannten sich schon lange; mit fünf Jahren spielten sie gemeinsam im Fußballverein, gingen auch zusammen zur Schule, aber in Parallelklassen, sahen sich ab und an, beschritten vor und nach dem Abi aber unterschiedliche Wege, hatten andere Interessen und Freundeskreise, schlossen das Bachelor-Studium an anderen Universitäten ab; Manaras 2012 in Wirtschaftsinformatik in Bocholt, Hertlein in Gelsenkirchen in Medieninformatik, das er sehr technisch ausgelegt hat. Schon mit 13 Jahren habe er begonnen, sich für Gefahren im Netz und für Cybersicherheit zu interessieren. Bereits im zweiten Semester nach Beginn des Studiums 2007 begann er, als Hilfskraft im Institut für Internet-Sicherheit in Gelsenkirchen zu arbeiten.
Ihm war wichtig, schnell in praktische Arbeiten und Themen hineinzuwachsen. Als er Manaras dann später im Master wieder getroffen hatte, holte er ihn an das Institut, wo gerade eine Stelle frei war. Sie arbeiteten gemeinsam an Forschungsprojekten. Im Jahr 2013 feilten sie an einem Konzept, wie sich der damals neue Personalausweis mit verpixeltem Foto in der E-Mobilität als Identifikationsnachweis einsetzen lässt. War jedoch eine Plastikkarte geeignet für moderne Authentifizierung und Signaturmethoden? Beide hatten da eine andere Vorstellung von Digitalisierung, bei Ladesäulen wie im Behördenleben. Sie arbeiteten an hochsicheren digitalen Identitäten am konkreten Objekt der Ladeinfrastruktur für Elektroautos.
Nach dem Master-Abschluss blieben sie ein Jahr am Institut, um ihre Arbeit einer deutlich weiter entwickelten sicherheitsgemäßen digitalen Authentifizierung zu Ende zu bringen. Der Grundstein für Xign Sys war gelegt, die parallel gestartet wurde. Hertlein und Manaras erkannten, dass sie sich ideal ergänzen und die gleiche Gründer-Einstellung entwickelten. „Lass uns starten“, hieß es dann. Der Fokus ist zwar auf die öffentliche Verwaltung gerichtet gewesen. Doch die Technologie ist genauso in der Unternehmenswelt anwendbar und gefragt, mit Xign Sys als Technologielieferant. Das sei das zweite Standbein, sagt Hertlein: Cloud-Absicherung und -Zugänge, Mitarbeiter- und Kundenauthentifizierung, Logins von außerhalb in zentrale IT-Systeme, sicherer Austausch von heiklen, sensiblen Informationen unter Vorständen, ein mobiles Vier- oder Mehrfachaugenrpinzip, die Einbindung von Tablets und Smartphones in die Sicherheitsinfrastruktur.
„Das alles basiert auf der gleichen Technologie, auch wenn die Anwendungen noch so unterschiedlich sind; sie ist die Klammer.“ Das spannende sei, dass ein derartiges „Access Management“ alle Systeme in einer umfassenden und großen Smart City verknüpfen könne. Es ließe sich so das privatwirtschaftliche mit dem kommunalen Ökosystem verbinden, träumt Hertlein. Im Aufbau des Start-Ups sind die Gründer auch das privatwirtschaftliche Feld angegangen. Sie realisierten, dass der Bedarf im Finanzbereich ein nicht minder riesiger Markt sein kann wie der für Behörden. Neben den Projekten in NRW haben sie den Bank Verlag als Forschungspartner gewonnen. Durch die Auftragsarbeiten für die Entwicklung von Bankensoftware konnte so auch ein Teil der Entwicklung finanziert werden.
Die Vision von Xign Sys: passwortlose Authentifizierung als Grundlage für die vernetzte Smart City
Der Bank Verlag ist ein Dienstleistungsunternehmen der privaten Banken, das in allen Bereichen der IT-Sicherheit, im Electronic Banking sowie im bargeldlosen Zahlungsverkehr unterstützt, wenn es zum Beispiel um Tan- und Signatur-Verfahren geht. Doch anders als bei Bund, Länder und Kommunen hatte Xign Sys zeitlich gesehen weniger Glück. Die vom Gesetzgeber vorgeschriebene Neuaufstellung der Sicherheitsarchitektur im digitalen Banking etwa mit der doppelten Authentifizierung ist schon auf den Weg gebracht worden, bevor die BSI-Zertifizierung gekommen ist und die Technologie tatsächlich hätte eine Rolle spielen können. „Wir hatten noch nicht die nötige Reife“, muss sich Hertlein geschlagen geben.
Aber auch so sind Potentiale in der Privatwirtschaft vorhanden, bei Versicherungen, im Gesundheitswesen, in Industrieunternehmen. Mit Volkswagen gibt es seit längerem eine Zusammenarbeit in der Entwicklung, die sich aber zieht. Selbst das Online-Glücksspiel öffnet in den Augen von Hertlein Geschäftschancen. Und ein neues Feld hat er schon ausgemacht: nämlich das Thema rund um Cannabis. Wenn der Handel liberalisiert und Verbote aufgehoben werden sollten, wie es die Ampel-Koalition plant, entsteht eine neue Handelsstruktur mit der Droge, die reguliert sein wird und von Authentifizierung abhängen wird. „Das schauen wir uns an.“
Hertlein wäre nicht Sicherheitsexperte, würde er nicht auch die Risiken des Datenschutzes im Auge haben. Die Absicherung von Kunden- und Bürgerdaten müsse einen hohen Stellenwert haben. Ein Sicherheitselement sieht er darin, dass der Nutzer in seinem Login erkennen kann, welche Daten von ihm für die konkrete Anwendung aus welchem Grund benötigt werden. Hertlein bezeichnet das als „Datenhoheit“ und „Datensouveränität“. Natürlich kann man sich mit einem Klarnamen identifizieren, ist in vielen Fällen auch notwendig. Es kann aber auch Dienste geben, ohne den Nutzer preisgeben zu müssen. Das macht das passwortlose Authentifizierungsverfahren möglich. „Der Nutzer wird nicht komplett gläsern“, sagt Hertlein. Und zumindest zwischen den verschiedenen Diensten gebe es keine Verbindungen, die verfolgt würden.
Doch fällt auch Xign Sys zunächst in die digitale Steinzeit zurück. Eine altmodische Hürde zur modernen, rein elektronischen Verwaltung ist zu nehmen. Das Runterladen der App mag ja einfach sein. Doch dann erlebt der Nutzer das, was er bei jeder Registrierung von relevanten Online-Dienstleistungen bei einer Bank oder Versicherung erlebt; erst nach dem Ident-Verfahren ist die App freigeschaltet. Und dazu benötigt man: einen Personalausweis.