Die Pläne der Regierung für einen digitalen Personalausweis stehen inmitten von Bedenken hinsichtlich der Sicherheit persönlicher Daten innerhalb des vorgeschlagenen Systems in der Kritik.
Während der digitale Personalausweis allen Bürgern und rechtmäßigen Einwohnern des Vereinigten Königreichs zur Verfügung stehen wird, ist seine Verwendung gemäß den Vorschlägen der Regierung nur für die Beschäftigung obligatorisch.
Detaillierte betriebliche Einzelheiten stehen noch aus, aber Premierminister Sir Keir Starmer hat beteuert, dass Sicherheit „im Kern“ stehe.
Die Initiative stützt sich auf zwei von der Regierung entwickelte Plattformen: Gov.uk One Login und Gov.uk Wallet.
One Login, ein einheitliches Konto für den Zugriff auf öffentliche Online-Dienste, hat laut Regierungsangaben Berichten zufolge über 12 Millionen Anmeldungen erhalten.
Schätzungen zufolge könnte diese Zahl bis zum nächsten Jahr 20 Millionen erreichen, da Geschäftsführer ab dem 18. November verpflichtet sein werden, ihre Identität über One Login zu verifizieren.
Gov.UK Wallet, das noch nicht gestartet wurde, soll es Bürgern ermöglichen, digitale Personalausweisinformationen – einschließlich Name, Geburtsdatum, Nationalität, Aufenthaltsstatus und ein Foto – auf ihren Smartphones zu speichern.
Für den Zugriff auf die Wallet ist ein Gov.UK One Login erforderlich.
Die Regierung hat kürzlich einen digitalen Personalausweis für Militärveteranen als Pilotprogramm eingeführt.
Um Sicherheitsrisiken zu mindern, beabsichtigt die Regierung, personenbezogene Daten über One Login innerhalb einzelner Abteilungen zugänglich zu halten und eine zentralisierte Datenbank zu vermeiden.
David Davis, ein erfahrener Bürgerrechtsaktivist und konservativer Abgeordneter, hat jedoch Bedenken hinsichtlich potenzieller Konstruktions- und Implementierungsfehler in One Login geäußert, die es und das digitale Personalausweisschema möglicherweise Cyberangriffen aussetzen könnten.
Während einer Debatte im Westminster Hall Anfang dieses Monats erklärte er: „Sobald dieses System implementiert ist, sind die Daten der gesamten Bevölkerung anfällig für böswillige Akteure – ausländische Nationen, Ransomware-Kriminelle, bösartige Hacker und sogar persönliche oder politische Gegner.“
„Folglich wird dies schlimmer sein als der Horizon-[Post Office]-Skandal.“
Davis hat den National Audit Office um eine „dringende“ Untersuchung der Kosten von One Login gebeten, von denen er glaubt, dass sie die zugewiesenen 305 Millionen Pfund übersteigen werden.
In seinem Brief verwies der Abgeordnete auf einen Vorfall aus dem Jahr 2022, bei dem One Login Berichten zufolge von Auftragnehmern ohne entsprechende Sicherheitsfreigabe auf ungesicherten Workstations in Rumänien entwickelt wurde.
Davis stellte auch fest, dass One Login die Kriterien der Regierung für einen sicheren und vertrauenswürdigen Identitätsanbieter nicht erfüllt.
Die Regierung führte das Auslaufen ihrer Digital Identity and Attributes Trust Framework-Zertifizierung Anfang des Jahres auf einen Lieferanten zurück und erklärte, dass die Wiederherstellung unmittelbar bevorsteht.
Unabhängig davon hat der technologiepolitische Sprecher der Liberaldemokraten, Lord Clement-Jones, die Einhaltung der Standards des National Cyber Security Centre durch One Login in Frage gestellt.
Der Peer erwähnte Gespräche mit einem Whistleblower, der behauptet, dass die Regierung die in ihrer nationalen Cybersicherheitsstrategie festgelegte Frist 2025 für die Sicherung „kritischer“ Systeme gegen Cyberangriffe verpasst hat.
Während Minister dies bestreiten, behauptete Lord Clement-Jones, ein Beamter habe ihm mitgeteilt, dass One Login die erforderlichen Sicherheitstests erst im März 2026 bestehen würde.
Der Whistleblower hob auch einen Vorfall im März hervor, bei dem ein „Red Team“, das einen echten Cyberangriff simulierte, Berichten zufolge privilegierten Zugriff auf One Login-Systeme erhielt.
Das Department for Science, Innovation and Technology (DSIT) nannte Sicherheitsgründe für die Nichtoffenlegung von Details der Red-Team-Übung, wies jedoch Behauptungen über ein unentdecktes Eindringen in das System zurück.
DSIT-Beamte versicherten Lord Clement-Jones auch, dass die Subunternehmer in Rumänien „eine Handvoll Leute“ ohne Zugriff auf die Produktion seien und dass „der gesamte Code überprüft wurde“.
Das Ministerium erklärte, dass alle One Login-Teammitglieder „von Unternehmen verwaltete“ Geräte verwenden, die von einem Sicherheitsteam auf böswillige Aktivitäten überwacht werden.
Lord Clement-Jones sagte der BBC, er sei von den Zusicherungen des Ministeriums nicht überzeugt.
Er argumentierte, dass die Erfolgsbilanz aufeinanderfolgender Regierungen bei der Verwaltung von One Login und anderen Systemen „uns allen kein Vertrauen geben sollte, dass der neue obligatorische digitale Personalausweis, der auf ihnen basieren wird, sicherstellen wird, dass unsere persönlichen Daten sicher sind und die höchsten Cybersicherheitsstandards erfüllen.“
Letzte Woche delegierte Premierminister Starmer die Gesamtleitung des digitalen Personalausweisschemas an das Cabinet Office unter der Leitung von Senior Minister Darren Jones, was seine Bedeutung für die Regierung unterstreicht.
Der Government Digital Service, Teil von DSIT, wird jedoch weiterhin die Projektgestaltung überwachen.
Ein DSIT-Sprecher erklärte: „Gov.UK One Login bietet weiterhin Vorteile für Bürger im gesamten Vereinigten Königreich.“
„One Login unterstützt jetzt über 100 Dienste und wurde von mehr als 12 Millionen Menschen genutzt, was fast einem Sechstel der britischen Bevölkerung entspricht.“
„One Login hält sich an die höchsten Sicherheitsstandards, die in der Regierung und im privaten Sektor verwendet werden, und entspricht vollständig den britischen Datenschutzgesetzen.“
„Das System wird regelmäßig Sicherheitsüberprüfungen und -tests unterzogen, auch durch unabhängige Dritte, um sicherzustellen, dass die Sicherheit stark und auf dem neuesten Stand bleibt.“
Ein kostenloser Cyber-Health-Check zielt darauf ab, Cyberkriminalität für Unternehmen in Jersey zu bekämpfen.
Tausende von E-Mails, einige davon vertraulich, werden von der Medical Specialist Group gestohlen.
Der Outsourcing-Riese akzeptierte die Haftung, nachdem die Datenaufsichtsbehörde sagte, dass sie es versäumt hatten, Kundendaten zu schützen.
Bereiten Sie sich auf den Wechsel zu Offline-Systemen im Falle eines Cyberangriffs vor, wird Unternehmen geraten.
Sind die diesjährigen großen Angriffe der „kumulative Effekt einer Art Untätigkeit in Bezug auf Cybersicherheit“ von Regierung und Großunternehmen?