Bundes-Wallet: Sicherheitsforscher warnen vor digitalem Personalausweis

Deutschlands geplantes Bundes-Wallet steht nach dem Chaos Communication Congress massiv in der Kritik. Experten warnen vor Sicherheitslücken im milliardenschweren Digitalisierungsprojekt.

Berlin – Die Warnungen könnten kaum deutlicher sein: Auf dem 39. Chaos Communication Congress (39C3) in Hamburg haben Sicherheitsexperten erhebliche Bedenken gegenüber der Architektur des geplanten Bundes-Wallets geäußert. Während die Bundesregierung den Zeitplan für die Einführung der digitalen Identität beschleunigt, sehen Forscher kritische Schwachstellen.

39C3 deckt potenzielle Angriffsvektoren auf

Der größte europäische Hacker-Kongress diente als Bühne für eine detaillierte technische Analyse des Bundes-Wallets. Sicherheitsanalysten präsentierten Erkenntnisse, die auf mögliche “PID-Klonierung” hinweisen – ein Szenario, bei dem Angreifer theoretisch die digitalen Identitätsschlüssel eines Nutzers duplizieren könnten.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind — und was das für öffentliche Digitalisierungsprojekte bedeutet. Dieser kostenlose Leitfaden fasst aktuelle Bedrohungen, neue Gesetze und praktische Schutzmaßnahmen zusammen. Er zeigt, welche Prioritäten IT-Verantwortliche, Entwicklerteams und Behörden jetzt setzen sollten, um kritische Lücken schnell zu schließen, inklusive einer Checkliste für knappe Budgets. Perfekt für Projektleiter des Bundes, die das Vertrauen in Digitalprojekte wiederherstellen müssen. Gratis E‑Book: Cyber-Security-Guide herunterladen

Die Kritik konzentriert sich auf den “inkrementellen Ansatz” der deutschen Entwicklungsteams. Laut den auf dem Kongress diskutierten Analysen könnte die schrittweise Einführung von Kernfunktionen wie der elektronischen Eigenschaftsbestätigung (EAA) vor der vollständigen Absicherung der grenzüberschreitenden Interoperabilitätsschicht temporäre Angriffsvektoren schaffen.

Der Chaos Computer Club (CCC) betonte in seiner aktuellen Bewertung, dass der Komfort einer digitalen ID nicht auf Kosten “nicht überprüfbarer Sicherheitszusagen” gehen dürfe. Die Veröffentlichung dieser Erkenntnisse hat in Berliner Tech-Kreisen sofort Debatten ausgelöst.

Initiative für digitale Souveränität gestartet

Über konkrete Software-Schwachstellen hinaus entstand auf dem 39C3 eine breitere Initiative zur digitalen Souveränität. Am 30. Dezember kündigten der CCC gemeinsam mit deutschen Tech-Unternehmen und Digitalrechtsgruppen die “Digital Independence Days” an.

Die für Anfang 2026 geplante Kampagne zielt darauf ab, die Abhängigkeit von nicht-europäischen Tech-Plattformen zu verringern. Die Organisatoren argumentieren, dass diese die Souveränität der deutschen digitalen Infrastruktur gefährden. Diese Ankündigung erhöht den Druck auf das Bundesinnenministerium (BMI), sicherzustellen, dass die Abhängigkeit des E-Wallets von Drittanbieter-Betriebssystemen nicht dessen Sicherheit untergräbt.

Regierung hält an ambitioniertem Zeitplan fest

Trotz der in Hamburg geäußerten Vorbehalte bleibt die Bundesregierung bei ihrem Einführungsfahrplan. Gemäß der eIDAS-2.0-Verordnung müssen alle EU-Mitgliedstaaten ihren Bürgern bis Ende 2026 eine digitale Identitätsbörse anbieten.

Beamte verteidigen die inkrementelle Strategie als Sicherheitsmerkmal. Ein Sprecher der Bundesagentur für Sprunginnovationen (SPRIND) betonte Ende Dezember, dass die Erstveröffentlichung sich strikt auf Kernfähigkeiten konzentrieren werde, um Stabilität zu gewährleisten. Die Regierung behauptet, dass dieser gestaffelte Rollout “Stresstests unter Realbedingungen” ermögliche.

Doch der Zeitplan ist eng: Mit den “Readiness Views” für die paneuropäische digitale Identität im dritten Quartal 2026 bleiben deutschen Entwicklern weniger als neun Monate, um die auf dem 39C3 hervorgehobenen Schwachstellen zu beheben und die notwendigen Zertifizierungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu erhalten.

Herausforderung für die Akzeptanz

Die Prüfung des Bundes-Wallets erfolgt in einer volatilen Phase für die Sicherheit digitaler Assets weltweit. Die ersten Tage des Jahres 2026 brachten bereits Berichte über erhebliche Sicherheitsverletzungen bei privaten Krypto-Wallets, was die öffentliche Sensibilität für digitale Sicherheit erhöht.

Analysten sagen voraus, dass die nächsten sechs Monate entscheidend sein werden. Die Überschneidung der CCC-Kampagne und des Regierungszeitplans dürfte zu einem rigorosen öffentlichen Stresstest des Wallet-Codes führen. Werden die identifizierten Schwachstellen nicht sichtbar behoben, riskiert das Projekt bei seinem offiziellen Start ein “Vertrauensdefizit”.

Die Botschaft der Sicherheitsgemeinschaft ist klar: Das Bundes-Wallet ist ein notwendiger Schritt für die digitale Modernisierung, doch seine aktuelle Sicherheitsarchitektur erfordert sofortige und transparente Verbesserungen, um der Bedrohungslandschaft des Jahres 2026 standzuhalten.

PS: Sie möchten sicherstellen, dass das Bundes-Wallet nicht Opfer der nächsten Welle von Cyberangriffen wird? Dieser kompakte Leitfaden erklärt leicht umsetzbare Maßnahmen für Behörden und Entwickler — von Risikobewertung über organisatorische Kontrollen bis zu schnellen Incident-Response-Schritten. Holen Sie sich die Checklisten und Prioritäten, mit denen Sie Ihre Systeme kurzfristig härten können. Jetzt kostenlosen Cyber-Security-Leitfaden sichern