Connect with us

Künstliche Intelligenz

Augenmaß für Datenmengen: Warum „viel“ keine Größe ist


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Vor einigen Tagen sind zwei Beiträge erschienen, die mir immer noch im Kopf herumgehen. Der eine ist ein Interview, das ich mit Hannes Mühleisen geführt habe, dem Mitschöpfer von DuckDB. Der andere ist ein Artikel, den ich kurz darauf für unseren Firmenblog geschrieben habe und in dem ich argumentiere, dass ein Read-Model in einem Event-Sourcing-System oft gar keine Datenbank braucht, sondern problemlos im Arbeitsspeicher Platz findet. Beide Texte stehen nebeneinander, betreffen verschiedene Architekturebenen, und doch haben sie im Kern dasselbe Argument: Die Standardarchitektur, die wir reflexhaft wählen, ist viel öfter überdimensioniert, als wir glauben.

Weiterlesen nach der Anzeige

Was mich bei beiden Texten beschäftigt, ist allerdings weniger ihre jeweilige Aussage als die Reaktion, die solche Aussagen erfahrungsgemäß auslösen. Wenn ich vorschlage, ein Read-Model einfach im RAM zu halten, oder wenn jemand mit Hannes’ Datenpunkten argumentiert, dass eine einzelne Maschine für die allermeisten analytischen Lasten ausreicht, dann ist die häufigste Reaktion nicht Widerspruch, sondern Unglauben. Und dieser Unglauben ist, soweit ich das beurteilen kann, kein logisches Problem, sondern ein Wahrnehmungsproblem. Es hat damit zu tun, dass Entwicklerinnen und Entwickler heute kaum noch ein Gefühl für Datenmengen haben.


the next big thing – Golo Roden

the next big thing – Golo Roden

Golo Roden ist Gründer und CTO von the native web GmbH. Er beschäftigt sich mit der Konzeption und Entwicklung von Web- und Cloud-Anwendungen sowie -APIs, mit einem Schwerpunkt auf Event-getriebenen und Service-basierten verteilten Architekturen. Sein Leitsatz lautet, dass Softwareentwicklung kein Selbstzweck ist, sondern immer einer zugrundeliegenden Fachlichkeit folgen muss.

Hannes Mühleisen vertritt seit Jahren die Position, dass verteilte Systeme für die meisten analytischen Workloads schlicht überdimensioniert sind. Seine Argumentation steht auf drei Säulen: Die Hardware ist gewaltig leistungsfähiger geworden, die Architekturen moderner Datenbanksysteme sind reifer geworden, und vor allem zeigt eine empirische Auswertung von Snowflake und Redshift durch Fivetran, dass selbst das 99,9-Perzentil der Abfragen auf diesen verteilten Systemen nur rund 300 GByte scannt. Das heißt: Mehr als 99 Prozent aller Abfragen, die auf einer ausgewachsenen verteilten Cloud-Datenbank laufen, würden problemlos auf einem einzelnen Knoten funktionieren. Das ist keine ideologische Position, sondern eine harte Zahl.

Mein eigenes Argument verläuft auf einer ganz anderen Ebene, kommt aber zum gleichen Schluss. In einem Event-Sourcing-System sind die Events die einzige verbindliche Wahrheit. Ein Read-Model ist eine abgeleitete Sicht auf diese Events, eine Projektion, die genau die Form annimmt, die eine bestimmte Abfrage benötigt. Aus dieser Eigenschaft folgt eine bemerkenswerte Konsequenz: Ein Read-Model ist verzichtbar. Es kann jederzeit weggeworfen und aus den Events neu aufgebaut werden. Damit fällt die Anforderung an Dauerhaftigkeit weg, denn die liegt bereits an anderer Stelle. Mit ihr verschwindet auch der wesentliche Grund, warum man überhaupt eine Datenbank für die Lese-Seite einsetzen würde.

Stattdessen kann das Read-Model schlicht im Arbeitsspeicher gehalten werden als geeignete Datenstruktur, in genau der Form, die für die Abfragen passt. Beim Neustart wird es aus den Events rekonstruiert. Mehrere Instanzen hinter einem Load-Balancer halten ihren eigenen Stand im RAM und müssen sich nicht untereinander abstimmen. Die Beobachtung an dieser Stelle ist dieselbe wie bei Hannes: Was die übliche Antwort ist, nämlich eine eigene, idealerweise spezialisierte Datenbank, ist für einen großen Teil der praktischen Fälle gar nicht nötig. Die Standardarchitektur ist also nicht falsch, sie ist lediglich zu groß für das tatsächliche Problem.

Weiterlesen nach der Anzeige

Wenn ich in Gesprächen mit Kundinnen und Kunden vorschlage, ein Read-Model im RAM zu halten, ernte ich fast immer Skepsis. Das ist nachvollziehbar, denn ein ungewohnter Vorschlag muss sich rechtfertigen können. Auffällig ist allerdings, dass sich diese Skepsis selten an einem konkreten Gegenargument entzündet. Sie bleibt diffus. Sie äußert sich in Sätzen wie „aber das skaliert doch nicht“ oder „das passt doch nicht in den Speicher“ oder „und was, wenn das System neu startet?“. Diese Sätze sind keine Einwände, sie sind Reflexe.

Hinter diesen Reflexen stehen, soweit ich das beobachten kann, drei verschiedene Voraussetzungen, die in der Praxis oft fehlen. Die erste ist das Verständnis der Dualität von Arbeitsspeicher und persistentem Speicher. Daten können gleichzeitig im RAM und auf der SSD liegen, mit unterschiedlichen Aufgaben: Der RAM-Teil dient dem schnellen Lesen, der Disk-Teil der Persistenz. Beim Neustart wird der RAM-Teil aus dem Disk-Teil oder aus dem Event-Log neu aufgebaut. Das ist nicht exotisch, es ist nur ungewohnt.

Die zweite Voraussetzung ist die Vorstellung, dass im Arbeitsspeicher überhaupt geeignete Lesestrukturen aufgebaut werden können. Wer gewohnt ist, jede Abfrage gegen eine Datenbank zu richten, hat oft keinen Begriff davon, dass eine schlichte Hash-Map oder ein sortiertes Array für die meisten Abfragen vollständig ausreichen und um Größenordnungen schneller sind als jede Datenbankabfrage über ein Netzwerk.

Die dritte Voraussetzung ist diejenige, um die es mir hier eigentlich geht. Sie betrifft nicht Wissen, sondern Wahrnehmung. Sie ist das Gefühl dafür, wie viele Daten in einem heutigen Arbeitsspeicher tatsächlich Platz finden. Die ersten beiden Voraussetzungen lassen sich nachlesen, sie sind in jedem ordentlichen Lehrbuch über verteilte Systeme erklärt. Die dritte ist schwerer zu vermitteln, weil sie sich nicht aus einem Konzept ergibt, sondern aus einem Maßstab. Und genau dieser Maßstab fehlt.

Damit man ein Gefühl für Datenmengen entwickeln kann, helfen vertraute Größen. Eine Zeitschriftenseite reiner Text, etwa in einer Ausgabe der iX oder der c’t, enthält grob zwischen 4000 und 5000 Zeichen. Das sind ungefähr 4 bis 5 KByte. In einem MByte finden somit etwa 200 bis 250 Seiten reiner Text Platz. Eine 3,5-Zoll-Diskette der frühen 1990er-Jahre mit ihren 1,44 MByte hätte damit eine komplette Magazinausgabe ohne Abbildungen tragen können und wäre dabei nicht einmal zu drei Vierteln gefüllt gewesen.

Diese Rechnung sieht beim ersten Lesen aus wie eine nostalgische Anekdote. Sie ist es aber nicht: Sie hat nämlich eine direkte Konsequenz für gegenwärtige Architekturentscheidungen. Wenn ich für unseren eigenen Firmenblog nachrechne, wie viel Speicher die interne Aufgabenverwaltung von the native web nach 18 Monaten kontinuierlicher Nutzung tatsächlich belegt, dann komme ich auf 5 MByte. Das sind 8610 Events, mehrere Teammitglieder, reale Daten. 5 MByte. Vier Disketten. Das ist die gefürchtete Größenexplosion bei Event-Sourcing-Systemen.

Auf der anderen Seite des Maßstabs steht die Maschine, auf der dieser Text gerade entsteht. Es ist ein MacBook Pro aus dem Jahr 2022, also inzwischen vier Jahre alt. Es hat einen M2-Prozessor, 24 GByte RAM und eine SSD mit 1 TByte. Das ist kein Server, das ist kein Spezialgerät, das ist ein normales Notebook von vor vier Jahren. Und nun überlegen Sie kurz, wie viele 5-MByte-Datenbestände in die 24 GByte Arbeitsspeicher dieses Geräts passen würden und wie oft sich dieser Arbeitsspeicher als Ganzes auf die 1 TByte der SSD ablegen ließe. Die Antwort sieht in beiden Fällen nicht nach Mangel aus, sondern nach erheblichem Spielraum.

Bis hierher habe ich nur von einer Seite des Wahrnehmungsproblems gesprochen, nämlich der Überschätzung. Wir glauben, dass die Daten, die unsere Anwendung produziert, gewaltig sein werden, und in den allermeisten Fällen sind sie es nicht. Die Wahrnehmung kippt allerdings, sobald wir die Seite wechseln und nicht mehr produzieren, sondern konsumieren. Dann fallen plötzlich Sätze wie „ach, die paar GByte“, und niemand wundert sich mehr.

Wer einmal versucht hat, in einem JavaScript-Projekt die Größe des node_modules-Verzeichnisses nachzurechnen, kennt das Muster. Ein mittelgroßes Projekt zieht ohne Weiteres mehrere hundert MByte an Abhängigkeiten nach, gelegentlich über ein GByte. Docker-Images, die im Grunde nur eine einzelne Anwendung enthalten, kommen mit überraschender Regelmäßigkeit auf 1 bis 2 GByte, weil sie ein halbes Ubuntu mitschleppen. Bei jedem Build, bei jedem Deployment, in jeder Continuous-Integration-Pipeline wird das im Netz hin- und hergeschoben.

Diese Wahrnehmungsfehler sind nicht zufällig entgegengesetzt. Sie speisen sich aus derselben Quelle. Wir denken Datenmengen nicht in Zahlen, sondern in Bewertungen. Was wir selbst produzieren, fühlt sich nach „viel“ an, weil es uns wichtig ist. Was wir nebenher konsumieren, fühlt sich nach „wenig“ an, weil es im Hintergrund passiert. Mit den tatsächlichen Größen hat beides wenig zu tun.

Damit ist die eigentliche Diagnose erreicht. Das Problem ist nicht, dass wir bei der Schätzung von Datenmengen zu hoch oder zu niedrig liegen. Das Problem ist, dass wir Datenmengen überhaupt nicht in Zahlen denken, sondern in Adjektiven. „Viel“, „wenig“, „riesig“, „eine Menge“, „kaum nennenswert“: Das sind keine Größen, das sind Stimmungen. Sie sagen etwas darüber aus, wie sich die Daten für die sprechende Person anfühlen, und nichts darüber, wie groß sie tatsächlich sind.

Adjektive sind eine schlechte Grundlage für technische Entscheidungen. Wer eine Architektur darauf aufbaut, dass „viele Daten“ entstehen werden, kann nicht beurteilen, ob die gewählte Datenbank überdimensioniert ist, ob das geplante Sharding berechtigt ist oder ob ein verteiltes System wirklich notwendig sein wird. Es fehlt der Maßstab, gegen den die Entscheidung gemessen werden könnte. Es bleiben Gewohnheit, Reflex und das diffuse Gefühl, lieber zu groß als zu klein zu planen.

Genau dieser Reflex ist es, der die Vorschläge aus den beiden eingangs erwähnten Beiträgen unverdaulich erscheinen lässt. Wer Datenmengen nur als Stimmung wahrnimmt, kann mit dem Vorschlag, ein Read-Model im RAM zu halten oder Analytics auf einer einzelnen Maschine zu fahren, schlicht nichts anfangen. Es klingt zu klein, zu unscheinbar, zu sehr nach Bastelei. Das Gefühl sagt: Das wird nicht reichen. Die Rechnung würde sagen: Es reicht mit erheblichem Spielraum. Aber die Rechnung wird nicht gemacht.

Die Folgen sind in vielen Systemen sichtbar, die ich in den letzten Jahren kennengelernt habe oder über die ich mit anderen gesprochen habe. Sharding wird eingeführt, bevor die Datenmenge auch nur annähernd eine Größenordnung erreicht hat, bei der das gerechtfertigt wäre. Verteilte Datenbanken werden ausgewählt, weil sie nach „groß“ klingen, obwohl PostgreSQL auf einer einzelnen Maschine die zu erwartende Last über Jahre tragen würde. Es werden eigene Cluster für Read-Models aufgesetzt, deren Datenbestand auf eine 3,5-Zoll-Diskette gepasst hätte.

Ein wiederkehrendes Beispiel aus meinem eigenen Tätigkeitsfeld ist die fast schon rituelle Frage zu Event-Sourcing-Systemen: „Wird die Datenbank denn nicht zu groß, wenn man nie etwas löscht?“. Die Frage ist verständlich, und sie folgt derselben Logik. Sie geht davon aus, dass viele Events zwangsläufig viele Daten bedeuten. Tatsächlich ist die Antwort fast immer ernüchternd: Ein typisches Geschäftsereignis ist 200 bis 500 Byte groß, ein durchschnittlicher Geschäftsprozess generiert wenige Events pro Vorgang und auf einer Festplatte von 1 TByte finden zwei Milliarden Events Platz. Wer keine Mengenintuition mitbringt, hört diese Zahlen wie aus einer anderen Welt. Wer sie ernst nimmt, kommt zu anderen Architekturen.

Es geht nicht darum, jede Datenbank zu vermeiden oder pauschal alles in den Arbeitsspeicher zu zwingen. Es geht um die Reihenfolge der Entscheidungen. Wer die Frage „brauche ich überhaupt eine Datenbank?“ nie stellt, hat sie auch nie verneinen können. Es gibt Fälle, in denen die Standardantwort die richtige ist. Aber es gibt eben auch sehr viele Fälle, in denen sie es nicht ist, und die werden flächendeckend verfehlt, weil die Frage nicht gestellt wird.

Mengenintuition ist keine Nostalgie. Sie ist keine Hommage an die Diskette, kein Plädoyer für asketische Software, kein Wettstreit darum, mit möglichst wenig Ressourcen auszukommen. Sie ist eine Voraussetzung dafür, technische Entscheidungen überhaupt treffen zu können, statt sie reflexhaft zu fällen. Wer vor dem Bauen rechnet, kommt zu anderen Antworten als der, der dem ersten Gefühl folgt. Das ist keine erschöpfende Methode, es ist nur eine Mindestbedingung.

Was die beiden eingangs erwähnten Beiträge eint, ist nicht ein gemeinsames Thema, sondern ein gemeinsames Vorgehen. Hannes Mühleisen verweist auf eine konkrete Auswertung von Abfragelasten. Ich verweise in meinem eigenen Text auf konkrete Zahlen zu Read-Model-Größen, ergänzt um eine Mengenschätzung an einer realen Produktionsanwendung. In beiden Fällen wird der Reflex durch eine Rechnung ersetzt. Genau das macht die Vorschläge tragfähig.

Wenn ich mir für die nächste Architekturdiskussion etwas wünschen dürfte, dann nicht, dass alle ihre Daten ins RAM legen oder ihre Cluster zurückbauen. Sondern dass, bevor jemand „viel“ oder „wenig“ sagt, eine kurze Rechnung dazwischensteht. Eine Schätzung in Byte pro Ereignis, eine Schätzung in Ereignissen pro Tag, eine Multiplikation auf den geplanten Betriebszeitraum. Das ist keine große Mathematik, das sind drei Zahlen. Aber es macht den Unterschied zwischen einer Architekturentscheidung und einem Reflex. Und in diesem Unterschied liegt das, was eine Ingenieursleistung von Bastelei unterscheidet: das Augenmaß.


(mro)



Source link

Künstliche Intelligenz

Auch Japans Weltraumagentur testet erfolgreich wiederverwendbare Rakete


Die japanische Weltraumagentur JAXA hat erfolgreich eine Rakete abheben und kurz danach wieder landen lassen. Das berichtet die Japan Times unter Berufung auf Informationen der Weltraumbehörde. Der erfolgreiche Probelauf auf dem Raketentestgelände Noshiro in der nordjapanischen Präfektur Akita ist damit am Samstag nur einen Tag nach einem geglückten Test in China gelungen, dort wurde eine Raketenstufe aber nach einem kompletten Start zurückgeholt. Bei dem Test in Japan hat die Testrakete eine Höhe von etwa 10 Metern erreicht und ist nach ungefähr 40 Sekunden wieder gelandet, schreibt die japanische Zeitung.

Weiterlesen nach der Anzeige

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

Mit dem erfolgreichen Testlauf unterstreicht Japan jetzt die eigenen Ambitionen, zu den US-Unternehmen SpaceX und Blue Origin aufzuholen, die schon seit Jahren Raketen starten und danach wieder landen können. Damit werden große Teile der Raketen wiederverwendbar, wodurch sich die Kosten für Nutzlasttransporte ins Weltall enorm senken lassen. SpaceX hat hierbei aber längst eine große Routine erreicht. Erst vor wenigen Tagen hat der meistgenutzte Raketenbooster der Firma von Elon Musk zum 36. Mal abgehoben. Vergleichbar kurze Testflüge wie jene aus Japan hat SpaceX vor 13 Jahren durchgeführt; seit 2017 starten die wiederverwendbaren Raketen des Typs Falcon 9.

„Ich habe das Gefühl, dass wir viel Zeit und Mühe in dieses Projekt gesteckt haben, und nun, da der Prototyp problemlos gestartet und gelandet ist, muss ich sagen, dass ich sehr erleichtert bin“, zitiert die Japan Times jetzt eine Stellungnahme von Takashi Ito von der JAXA, der den Start geleitet hat. Die dabei gesammelten Daten sollen nun ausgewertet werden, um zu prüfen, ob der Test als Erfolg gewertet werden kann. Er sei jedoch zuversichtlich, dass nützliche Daten gesammelt werden. An dem Projekt sind einem weiteren Medienbericht zufolge auch deutsche und französische Forschungseinrichtungen beteiligt. In Japan hatte der Honda-Konzern vor über einem Jahr schon eine erste wiederverwendbare Rakete gestartet.


(mho)



Source link

Weiterlesen

Künstliche Intelligenz

Microsoft nutzt in manchen Apps offenbar eigene KI statt OpenAI und Anthropic


Microsoft verabschiedet sich schrittweise von der Nutzung fremder KI-Modelle in der eigenen Software. Bislang wurden manche Office-Aufgaben von OpenAI und Anthropic erledigt, doch das wird in manchen Apps nun durch Microsofts eigene KI-Modelle ersetzt, wie jetzt berichtet wird. Als Grund wird Kostensenkung genannt, denn KI-Anfragen, die von anderen KI-Modellen in Excel oder Outlook beantwortet werden, kosten schließlich Token.

Weiterlesen nach der Anzeige

Das betrifft nicht nur Microsoft. Zuletzt hatten andere Konzerne aufgrund explodierender KI-Kosten Zugänge gesperrt oder zu älteren Modellen geraten. Damit soll die KI-Nutzung der Angestellten eingedämmt oder diese für bestimmte Aufgaben zumindest auf weniger leistungsfähige Modelle umgeleitet werden. Immer mehr Unternehmen würden genauer prüfen, wie die Angestellten KI-Technik nutzen. Statt zu immer mehr KI-Nutzung zu drängen, sollen jetzt die Kosten gedrückt werden.

Microsoft steht allerdings ein Ausweg zur Verfügung, hatte der Konzern doch Anfang Juni bei der Microsoft Build 2026 sieben neue KI-Modelle vorgestellt. Darunter war das erste Reasoning-Modell MAI-Thinking-1 von Microsoft. MAI-Image-2.5 und eine Flash-Variante davon beherrschen Text-to-Image, sie sollen Google Nano Banana Pro überholen. MAI-Transcribe-1.5 verschriftlicht Ton in 43 Sprachen. MAI-Voice-2 und eine Flash-Variante davon bedienen 15 Sprachen und haben neue Stimmen-Optionen bekommen.

Diese internen MAI-Modelle werden nun auch für Aufgaben etwa in Excel und Outlook verwendet, die bislang KI-Modelle von OpenAI und Anthropic genutzt haben, wenn Anwender Fragen zu Tabellen oder E-Mails an die integrierte KI stellen. Das berichtet Bloomberg unter Berufung auf eine mit der Angelegenheit vertraute Person. Eine entsprechende Anfrage dazu wollte Microsoft selbst aber nicht kommentieren.

Obwohl die MAI-Modelle bislang erst einen kleinen Teil der KI-Nutzung Microsofts darstellen sollen, zeige dies aber deutlich, dass der Konzern Fortschritte bei wettbewerbsfähigen KI-Modellen zu niedrigeren Kosten macht. Denn Microsoft verbraucht eine enorme Anzahl von Token für seinen KI-Assistenten Copilot, ist dieser doch mittlerweile in einer Vielzahl der Microsoft-Software integriert. Zwar bekommt der Windows-Konzern besondere Vergünstigungen aufgrund der engen Kooperation mit sowie der Investitionen in OpenAI, doch auch langjährige Partnerschaften enden irgendwann.

Weiterlesen nach der Anzeige

Das war eventuell auch einer der Gründe, dass Microsoft Copilot um Anthropic-KI erweitert hat. Diese Alternative zu OpenAI wurde letztes Jahr zunächst für Microsoft Copilot Studio eingeführt, jener Anwendung, mit der KI-Agenten erstellt werden können. Gleichzeitig versprach der Konzern, Anthropic-Modelle auch für Microsoft 365 Copilot einzuführen. Doch dieses Jahres folgte ein Sinneswandel. Anlässlich der Vorstellung der eigenen KI-Modelle im Juni erklärte ein Microsoft-Manager: „Wir zahlen viel Geld an Anthropic – unser Ziel ist es daher, diese Kosten zu reduzieren und letztendlich ganz zu eliminieren.“

Lesen Sie auch


(fds)



Source link

Weiterlesen

Künstliche Intelligenz

„Ist das Projekt noch zu retten?“ Experten zweifeln an Umsetzung der EUDI-Wallet


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Fehlende Transparenz, offene Haftungsfragen, Sicherheitsbedenken und Zweifel am Zeitplan: Bei einem Fachgespräch der Linksfraktion im Bundestag haben Sachverständige deutliche Kritik an der geplanten Einführung der europäischen digitalen Identitätswallet (EUDI-Wallet) geäußert.

Weiterlesen nach der Anzeige

Die Fraktion hatte die Veranstaltung organisiert, weil es zum Referentenentwurf zum Digitale-Identitäten-Gesetz (DIdG) vor allem Stellungnahmen von Unternehmen und Wirtschaftsverbänden gibt und kritische Stimmen aus Wissenschaft, Verbraucherschutz und Zivilgesellschaft stärker einbeziehen wollte.

Die EUDI-Wallet soll auf Grundlage der europäischen eIDAS-Verordnung digitale Nachweise wie Personalausweis, Führerschein oder Zeugnisse auf dem Smartphone bündeln. Die EU schreibt vor, dass die Mitgliedstaaten bis Anfang 2027 eine interoperable nationale Wallet bereitstellen. In Deutschland verantwortet das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) die Umsetzung. Mit der Entwicklung wurde die Bundesagentur für Sprunginnovationen (SPRIND) beauftragt.

Den ersten von vier Kurzvorträgen hielt Bianca Kastl vom Innovationsverbund Öffentliche Gesundheit (InÖG). Sie begleitet das Projekt seit mehreren Jahren und kritisierte vor allem den Entwicklungsprozess. Zwar führe SPRIND Konsultationen durch, diese dienten aus ihrer Sicht aber eher dazu, die eigene Lösung zu bestätigen. Unterschiedliche technische Ansätze würden jedoch nicht ergebnisoffen diskutiert. An den Konsultationen seien zudem Unternehmen beteiligt, die gleichzeitig an den technischen Spezifikationen mitarbeiteten.

Aus Sicht Kastls ist der Prozess insgesamt zu intransparent. Während die europäische Referenzimplementierung offen entwickelt werde und sich dort nachvollziehen lasse, welche Funktionen wann umgesetzt werden, präsentiere SPRIND zwar seit Jahren klickbare Prototypen, veröffentliche den Quellcode der deutschen Implementierung jedoch nicht. Selbst sicherheitsrelevante Details könnten nur eingeschränkt überprüft werden. Wer etwa Informationen über die geplanten Attributnachweise erhalten wolle, müsse zuvor eine Verschwiegenheitserklärung (NDA) unterzeichnen.

Auch technisch sieht Kastl erhebliche Risiken. Deutschland habe sich für signierte Daten mit „Cloud als Sicherheitsanker“ entschieden, was „langfristig nicht die klügste Lösung“ sei. Dadurch entstehe ein zentraler Angriffspunkt. Fielen die Cloud-Dienste oder die Anbieter der personenbezogenen Daten aus, funktioniere das Gesamtsystem nicht mehr. Hinzu kämen neue Risiken durch KI-gestützte Angriffe dank Systemen wie Claude Mythos.

Weiterlesen nach der Anzeige

Beim Thema Post-Quanten-Sicherheit sei das Wallet-Konzept bislang wenig konkret. Selbst die elektronische Patientenakte (ePA) sei bei der Übermittlung von Zertifikaten inzwischen weiter als die geplante Wallet. Parallel würden derzeit noch sicherheitsrelevante Dienstleistungen ausgeschrieben – etwa für Bedrohungsanalysen und Sicherheitsprüfungen. Dass dies wenige Monate vor dem geplanten Start geschehe, wertete Kastl als Hinweis darauf, dass noch erheblicher Entwicklungsbedarf bestehe.

Zweifel äußerte sie auch daran, ob das Bundesamt für Sicherheit in der Informationstechnik (BSI) die notwendige unabhängige Sicherheitsbewertung übernehmen könne. Das BSI sei bereits eng in die Entwicklung der Architektur eingebunden gewesen. Ein ähnliches Problem habe es bereits bei der elektronischen Patientenakte gegeben.

Nach ihrer Einschätzung werde Deutschland die Wallet Anfang 2027 allenfalls mit den europäischen Mindestanforderungen starten können. Sie rechne mit einem „Minimalkonstrukt“, das noch längst nicht alle vorgesehenen Funktionen bieten werde. Für ein Projekt dieser Größenordnung seien die verbleibenden Monate zu knapp. Nötig seien stattdessen eine offene Entwicklung, transparente Implementierungen und eine unabhängige Risikobewertung. Den versprochenen Mehrwert der Wallet sieht Kastl zunächst nur begrenzt. Viele der häufig genannten Anwendungsfälle seien vor allem Komfortfunktionen. Bis Kommunen etwa eigene Nachweise wie Schwerbehindertenausweise digital ausstellen könnten, werde es ihrer Einschätzung nach noch Jahre dauern.

Kastl warnte außerdem vor der Experimentierklausel im DIdG-Gesetzentwurf. Diese ermögliche es künftig, weitere Verfahren zur Identitätsprüfung zuzulassen. Aus den Erfahrungen mit der Digitalisierung des Gesundheitswesens befürchtet sie, dass später beispielsweise Videoident-Verfahren wieder eingeführt werden könnten, um die Verbreitung der Wallet zu beschleunigen.

Nach Sicht von Daniel Leisegang, dem Co-Chefredakteur von Netzpolitik, werde die Wallet zum Start „bei Weitem nicht die Wallet sein, die sie sein soll“. Wie bei der elektronischen Patientenakte würden zunächst lediglich Grundfunktionen bereitstehen. Genau darin sieht Leisegang ein Problem. Der Gesetzentwurf für das DIdG räume dem BMDS über Verordnungsermächtigungen und Experimentierklauseln zudem erhebliche Gestaltungsspielräume für spätere Ausbaustufen ein. Das verstärke aus seiner Sicht die Risiken, weil zentrale Entscheidungen erst nach dem eigentlichen Gesetz getroffen würden.

Zudem kritisierte Leisegang eine schrittweise Abschwächung von Datenschutz- und Sicherheitsvorgaben im europäischen Gesetzgebungs- und Standardisierungsprozess. Ein Beispiel seien die in der eIDAS-Verordnung vorgesehenen frei wählbaren Pseudonyme. Damit sollten sich Nutzer etwa in Online-Foren oder bei anderen Diensten unter einem selbst gewählten Namen anmelden können, ohne ihre staatliche Identität preiszugeben. Nach dem derzeitigen Stand der technischen Umsetzung werde es stattdessen lediglich eine Möglichkeit zur anonymen Authentifizierung geben. Diese ersetze jedoch keine frei verwendbaren Pseudonyme, wie sie die Verordnung ursprünglich vorsehe.

Weitere Kritik richtete sich gegen den Einsatz signierter personenbezogener Daten. Die Wallet soll Nachweise enthalten, deren Echtheit durch digitale Signaturen bestätigt wird. Gelangten solche signierten Datensätze in falsche Hände oder würden sie unnötig häufig an private Dienste übermittelt, könnten sie nach Sicht von Leisegang Identitätsdiebstahl und den Handel mit verifizierten personenbezogenen Daten erleichtern. Deutschland könne dieses Risiko durch strengere nationale Vorgaben begrenzen, etwa indem nur klar definierte Diensteanbieter bestimmte staatlich signierte Nachweise abrufen dürfen. Solche Einschränkungen enthalte der Gesetzentwurf bislang jedoch nicht.

Auch die geplante Aufnahme biometrischer Passfotos in den Mindestdatensatz der Wallet kritisierte Leisegang. Nach seinen Angaben prüft das BMDS derzeit noch, ob Nutzer das biometrische Passfoto verpflichtend hinterlegen müssen oder darauf verzichten können. Das Ministerium habe ihm dies auf Anfrage mitgeteilt.



Source link

Weiterlesen

Beliebt