Die Sicherheitslücke, die kaum einer kennt, misst gerade mal ein paar Zentimeter. 86 Millimeter lang und 54 Millimeter hoch ist die Karte aus Plastik, auf der nur ein paar wenige Informationen über die Person vermerkt sind, die sie in der Brieftasche trägt. Der Name ist darauf zu lesen, das Geburtsdatum und die Gültigkeit. Dazu blitzt in der linken oberen Ecke der Bundesadler auf, darunter die Bezeichnung: eID-Karte.
Oder wie deutsche Ermittler sagen: eine Sicherheitslücke für Deutschland.
Denn beantragen kann die landläufig völlig unbekannte eID-Karte theoretisch jeder EU-Bürger, egal ob er in Polen, Portugal oder Malta wohnt, und damit fast all das machen, was auch mit einem deutschen Personalausweis möglich wäre. Die eID-Karte ist dem digitalen Personalausweis im Internet nahezu gleichgestellt. Nur anders als beim digitalen Personalausweis gibt es bei der eID-Karte ein ziemlich großes Problem, wie Recherchen der Süddeutschen Zeitung zeigen. Denn Bürgerämtern, die diese Karten ausstellen, fehlen mutmaßlich die Zugänge, um in Datenbanken zu schauen, und teilweise auch die nötige Technik, um ausländische Ausweisdokumente auf ihre Richtigkeit zu prüfen. Das bedeutet, dass auch Gangster mit gefälschten und gestohlenen Pässen aus dem gesamten EU-Ausland in Windeseile und für unter 40 Euro an eine deutsche eID-Karte kommen – ohne womöglich eine ernsthafte Kontrolle fürchten zu müssen.
Seit Einführung im Jahr 2021 wurden laut dem Bundesinnenministerium rund 47 000 dieser eID-Karten ausgestellt, mit denen Betrüger Bankkonten eröffnen und ganze Firmennetzwerke unter falschem Namen aufziehen können. Weil auf der Karte keine biometrischen Daten wie Augenfarbe oder gar ein Foto vermerkt sind, lässt sich die Karte sogar innerhalb einer kriminellen Organisation beliebig weiterreichen. Ermittler und IT-Experten warnen im Gespräch mit der Süddeutschen Zeitung deshalb vor einem womöglich groß angelegten Betrug, für den sich die Politik bisher nicht ausreichend interessiert. Eine Großbank beklagt gar, dass die Politik „zu wenig“ tue, obwohl das Problem seit Jahren bekannt sei, während ein Ermittler sagt, dass ein Großteil der 47 000 Karten entweder „betrugsanfällig“ sei oder aber „bereits für Betrug genutzt wird“. Wie aber kann das sein? Und warum hat diese Sicherheitslücke bisher niemand geschlossen?
Bürgerämtern fehlt womöglich das technische Gerät
Eingeführt hat Deutschland die Karte zum 1. Januar 2021. Bis dahin konnten sich lediglich deutsche Staatsbürger mit ihrem Personalausweis im Internet ausweisen, dort heißt das Ganze eID. Von 2021 an sollte es auch EU-Bürgern möglich sein, sich beispielsweise gegenüber öffentlichen Stellen im Internet zu identifizieren. Und weil Deutschland nicht einfach eine deutsche eID auf Ausweisdokumente aus Portugal, Schweden oder Frankreich packen kann, kam man auf die Idee einer eID-Karte. Herausgegeben werden die Karten von den örtlichen Behörden, einmal ausgestellt ist die Karte zehn Jahre gültig. Reisen sind damit zwar nicht möglich. Dafür kann die eID-Karte im Internet nahezu alles, was ein Personalausweis mit eID-Funktion kann.
Doch obwohl diese Karte sehr wertvoll ist, fehlt es den Ämtern mutmaßlich an der nötigen Technik und dem nötigen Know-how, um die Echtheit der Originaldokumente zu verifizieren. „Ein Abgleich biometrischer Daten oder ein Abgleich mit dem europäischen Dokumenten-Fahndungsbestand findet nicht statt. Nicht alle Meldebehörden sind mit Dokumentenprüfgeräten ausgestattet“, teilte beispielsweise die Polizei Berlin auf Anfrage mit. Dadurch können die Bürgerämter beispielsweise nicht abfragen, ob der Ausweis, den die Menschen zur Beantragung der eID vorlegen, gestohlen oder die Person dahinter zur Fahndung ausgeschrieben ist. Dabei gibt es von solchen Ausweisen in der EU eine ganze Menge, wie Daten des Bundeskriminalamts (BKA) zeigen. Dort notieren sie zum Stichtag 1.11.2025 insgesamt 75 Millionen gestohlene „Identitäts- und Reisedokumente“ in ganz Europa, darunter Personalausweise und Pässe. Dokumente also, mit denen in Deutschland jemand eine eID beantragen könnte.
In einigen Meldebehörden gibt es offenbar durchaus Ausweisprüfgeräte. Täter würden sich aber anpassen und in diesem Fall auf andere Meldebehörden ausweichen, sagt ein Ermittler, der eine unschöne Entwicklung sieht. Denn gerade weil es bei den wenigen vorhandenen Prüfgeräten nahezu keine Treffer gebe, werde aus Kostengründen darüber nachgedacht, die Geräte abzuschaffen. Dabei wären sie wichtig.
Man kann das Ganze sogar noch drastischer sehen und sagen: Eigentlich wäre eine flächendeckende Einführung solcher Geräte und auch Zugang zu Fahndungsdatenbanken überhaupt erst die Grundlage, um sicherzustellen, dass eine solche Karte auf den Markt kommen darf. Das sieht unter anderem Lilith Wittmann so. Sie ist Sicherheitsexpertin und hat in den vergangenen Jahren viele IT-Schwachstellen aufgedeckt, teilweise auch bei Bundeseinrichtungen. „Wenn in Ämtern niemand die Originaldokumente auf Echtheit prüfen kann, ist das in jedem Fall ein Einfallstor für Verbrecher“, urteilt sie über die eID-Karte. Beim Bundesinnenministerium bestätigen sie, dass einige Behörden noch nicht ausgestattet sein könnten. Es sei Aufgabe der Länder, das zu regeln, und man gehe davon aus, dass diese das gewissenhaft erledigen würden.
Mit der eID-Karte ist Bankbetrug ganz einfach
Eine Möglichkeit für anschließenden Missbrauch ist die Welt des Geldes und dort geraten Geldhäuser in ein Dilemma. Denn viele Banken akzeptieren das eID-Verfahren zur Fernidentifikation neuer Kunden, weil es als technisch sehr sicher gilt. Für Banken ist die eID-Karte auch deshalb gleichwertig zu einer deutschen eID und geprüft wird nur, ob die eID-Karte echt sei – nicht, ob bei Beantragung vielleicht ein gestohlener Ausweis vorgelegt wurde. „Den Banken bleibt nichts anderes übrig, als darauf zu vertrauen, dass der Staat genau prüft, an wen er eID-Karten ausgibt“, sagt Kilian Wegner, Inhaber eines Lehrstuhls für Strafrecht an der Martin-Luther-Universität Halle-Wittenberg. Doch das kann zum Problem werden, wenn der Staat „nicht genügend kontrolliert“, sagt eine mit der Sache vertraute Person. „Diese Defizite sind seit Jahren bekannt, aber es wird zu wenig unternommen, was Banken in eine schwierige Lage bringt.“
Denn wenn es Betrügern gelingt, eine eID-Karte unter falscher Identität zu erlangen und damit auch ein Bankkonto zu eröffnen, geht das schnell zulasten der Geldhäuser. Einmal eröffnet, können Gangster das Konto beispielsweise dazu benutzen, illegale Gelder zu verschieben oder zu waschen. „Manche Täter sind auf schnelles Geld aus und überziehen direkt ihre Konten, bis die Bank einschreitet“, sagt Rechtswissenschaftler Wegner. Die schlaueren Kriminellen würden den Kontozugang unter falschem Namen dagegen behutsam nutzen, um sich unentdeckt eine glaubhafte wirtschaftliche Scheinidentität aufzubauen, die beispielsweise für Geldwäsche genutzt werden könne. Auch Firmennetzwerke ließen sich mit so einer eID-Karte hochziehen und selbst bei Polizeikontrollen könne das so einfach zu beschaffende Dokument helfen, erzählt ein Insider. Denn wenn die Polizisten die Karte auslesen und dadurch Informationen zu Firmen oder eine Adresse fänden, könne dies das Bild dieser Person positiv beeinflussen. Zu haben ist das alles für weniger als 40 Euro.