Magic Links: Sicher und pass­wortlos die „Grund­steu­er­­er­klärung für Privateigentum“ nutzen

Seit 04. Juli steht unser Online-Service „Grundsteuererklärung für Privateigentum” für die Abgabe der Erklärung zur Feststellung des Grundsteuerwerts zur Verfügung. Für ein bestmögliches Nutzungserlebnis mit wenigen Hürden, lag der Fokus bei der Entwicklung des Angebots – wie von unserer Kollegin Katja im Blogartikel „Next Stop: ‚Grundsteuer‘“ beschrieben – neben Nutzerzentrierung auch auf Datensparsamkeit und der Bereitstellung einer möglichst einfachen Lösung. Für den Anmeldeprozess und das Erstellen der Nutzerkonten haben wir uns daher für den Einsatz sogenannter magischer Anmeldungslinks („Magic Links“) entschieden.

Als wir in die Entwicklung starteten, waren wir ursprünglich von der Annahme ausgegangen, dass die Eigentümer:innen die Grundsteuererklärung in einem Schritt abgeben. Im Rahmen der von uns durchgeführten Usability-Tests der entwickelten Prototypen, stellten wir dann jedoch schnell fest, dass Nutzende während der Erstellung ihrer Grundsteuererklärung die Bearbeitung unterbrechen und zu einem späteren Zeitpunkt wieder fortführen möchten. Hauptgründe hierfür waren in der Regel die Notwendigkeit fehlende Dokumente und Angaben bei Behörden oder anderen Miteigentümer:innen einzuholen.

Für uns ergaben sich daraus folgende Fragen:

• Wie können wir Nutzenden das beliebige Pausieren und den Wiedereinstieg in den Online-Service möglichst einfach gestalten?
• Und wie können wir im Sinne der Datensicherheit gewährleisten, dass Nutzende sich beim Verlassen des Tools abmelden, um damit den Zugriff auf ihre Daten zu sperren, und sich beim Wiedereinstieg legitimieren müssen, um den Zugriff wiederherzustellen?

Die auf den ersten Blick simple Antwort: ein klassisches Nutzerkonto. Allerdings mit einer Besonderheit, die damit einhergeht, dass die Grundsteuererklärung – anders, als viele andere, wiederkehrende Steuererklärungen – nur ein einziges Mal abgegeben werden muss. Darauf basierte unsere Annahme, dass ein solches Konto nur für eine überschaubare Anzahl an Logins sowie wenige Stunden bis maximal mehrere Wochen genutzt bzw. gebraucht werden würde – abhängig von der Verfügbarkeit der für das Ausfüllen erforderlichen Angaben. Nach dem Versand der Grundsteuererklärung ist keine weitere Aktion mehr nötig. Nutzende würden das Konto ruhen lassen – so unsere Hypothese – bis es nach vier Monaten Inaktivität automatisch gelöscht wird.

Die nach wie vor gängige Praxis bei der Erstellung eines Nutzerkontos ist eine Kombination aus E-Mail-Adresse und Passwort. Mit der stetig zunehmenden Anzahl an Nutzerkonten, die Internetnutzende heutzutage online erstellen, steigt jedoch ebenso die Zahl der zu merkenden Passwörter. Wenn nicht im Browser oder anderen Passwortmanagern gespeichert, werden Passwörter in der Regel mit zunehmendem zeitlichen Abstand vergessen. (Sofern sie nicht mit Stift und Zettel notiert wurden.) Eine beliebte Vermeidungstaktik ist die Wiederverwendung eines einzelnen Passworts für mehrere Konten. Eine Auswertung aus dem Jahr 2021 zeigte, dass bei Personen, denen im letzten Jahr mehr als ein Passwort gestohlen wurde, 60 % der Anmeldedaten über mehrere Konten hinweg wiederverwendet wurden.

Das Ausdenken, Vergeben und Merken von (sicheren) Passwörtern verlangt zum einen viel Verantwortung sowie technisches Know-how von Nutzenden und zum anderen auf Seiten der Betreibenden das Sicherstellen der Vermeidung von Angriffen, die zum Ziel haben, Zugangsdaten zu stehlen.

Alternativen zu diesem Vorgehen sind die Vergabe von Einmalpasswörtern – Nutzende erhalten ein nur für eine einmalige Verwendung gültiges Passwort und müssen es in der Oberfläche eingeben – oder der Versand eines sogenannten Magic Links. Im Hinblick auf die besonderen Anforderungen an ein Konto bei unserem Service „Grundsteuererklärung für Privateigentum“, haben wir uns schließlich im Team für die Implementierung von Magic Links entschieden. Ausschlaggebend hierfür waren die Sicherheit des Kontozugriffs und die möglichst hürdenfreie Gestaltung des Nutzungserlebnisses. Im Sinne unserer agilen und iterativen Arbeitsweise bedeutet dies aber nicht, dass Einmalpasswörter im Laufe des Betriebs nicht doch noch als eine mögliche Alternative untersucht werden.

Magic Links sind ein aus Nutzerperspektive sehr einfach zu handhabendes Mittel zur sicheren Authentifizierung. Sie ähneln in ihren Grundprinzipien der Passwort-zurücksetzen-Funktionalität eines passwortbasierten Angebots. Bei Letzterem wird ein – dem Magic Link ganz ähnlicher – Link geschickt, der es dem Nutzenden einmalig ermöglicht, ein neues Passwort zu vergeben. Im Fall des Magic Links entfällt die Vergabe eines neuen Passworts – stattdessen ist der Nutzende direkt angemeldet. Aber auch nur dann, wenn immer dasselbe Gerät und derselbe Internetbrowser benutzt werden. Aus Sicherheitsgründen funktioniert ein Magic Link nur in dem Browser, in dem zuvor die Registrierung vorgenommen wurde. Der große Vorteil von Magic Links: Nutzende müssen sich weder Passwörter ausdenken, noch merken.

Denn erstmal vergessen, gestaltet sich die Navigation für das Zurücksetzen eines Passworts in der Regel aufwändig:

1. Klick auf „Passwort vergessen“
2. Eingabe der E-Mail-Adresse und Abschicken des Auftrags
3. Wechsel in das E-Mail-Postfach
4. Klicken auf den Link zum „Passwort zurücksetzen“
5. Vergeben eines „neuen“, sicheren Passworts und Bestätigen der Eingabe
6. Eingabe der E-Mail-Adresse und des neu vergebenen Passworts auf der Anmeldeseite

Magic Links verschlanken den Anmeldevorgang erheblich:

1. Eingabe der E-Mail-Adresse
2. Versand eines Anmeldelinks
3. Wechsel in das E-Mail-Postfach
4. Klick auf den Anmeldelink

Allein die Verringerung der Anzahl der Schritte, muss in der Praxis allerdings von den Nutzenden nicht zwangsläufig als Vereinfachung wahrgenommen werden. Insbesondere dann nicht, wenn sich das erwartete Verhalten einer Software ändert.

Fragen, die uns beschäftigten waren daher:

• Wie reagieren Nutzende darauf, wenn das System wie von Geisterhand zurück in den persönlichen Bereich unseres Online-Services führt?
• Wie verändert sich die Wahrnehmung eines Nutzerkontos durch Magic Links?
• Sind sie im Hinblick auf „kurzlebige“ Benutzerkonten die bessere Alternative zur klassischen E-Mail-Passwort-Kombination?

Statt nach Antworten auf diese Fragen zu suchen, hätten wir natürlich auch die Passwort-zurücksetzen-Funktion in ihrer gängigen Form implementieren können. Das Thema Magic Links wäre in diesem Fall auf unserer Liste potenzieller Zusatzfunktionalitäten gelandet und danach im Verlaufe des Projekts gegen andere mögliche Verbesserungen abgewogen worden.

Doch der knappe Zeitplan und die vom Bund festgelegte Abgabe der Grundsteuererklärung bis Ende Oktober, ließen nur wenig Spielraum für die Entwicklung und Implementierung weiterer Funktionalitäten. Daher haben wir entschieden, die offenen Fragen im Rahmen eines Spike zu beantworten. Als Spike bezeichnet man in der agilen Entwicklung ein Vorgehen, bei dem der Fokus auf dem zeitlich begrenzten Sammeln von möglichst vielen Informationen liegt. Anhand derer sollen beispielsweise Fragen zur Komplexität eines Problems geklärt werden. Basierend auf den gefundenen Antworten kann eine bessere Entscheidung getroffen werden, ob eine passende Lösung in der zur Verfügung stehenden Zeit umsetzbar ist, der Nutzen den Aufwand überwiegt und möglicherweise andere Abhängigkeiten oder technische Implikationen mit sich bringt.

Nach Abwägung der sich im Spike gezeigten Vor- und Nachteile der „magischen“ Identifizierung, wurde gemeinschaftlich im Team die Entscheidung für die Implementierung von Magic Links getroffen und das weitere Vorgehen besprochen, um die Funktionalität in unserer ersten Version, dem Minimum Viable Product (MVP), zu integrieren.

Mit Blick auf das Nutzungserlebnis konnten insbesondere über E-Mails, die bei unserem Customer Support eingegangen sind, folgende Herausforderungen in der Handhabung der Magic Links entnommen werden:

• Der Großteil der Menschen nutzt verschiedene Browser auf dem eigenen Computer oder Smartphone. Nicht immer wird der Standardbrowser, den das Betriebssystem vorgibt und der sich beim Öffnen des Links aus unserer E-Mail automatisch öffnet, auch normalerweise genutzt. Dies führt zu einer Fehlermeldung, wenn die Sicherheitsanforderungen des Magic Links – gleicher Browser für die Anforderung des Links und die Anmeldung – nicht erfüllt werden.
• Nutzende erkennen nicht, dass der Link nur für eine Session gültig ist und für den Wiedereinstieg in die Anwendung neu beantragt werden muss.
• Manchmal kommen die E-Mails mit den Magic Links verzögert an. In der Zwischenzeit wurde von den Nutzenden mehrmals ein neuer Link angefordert. Dass jedoch nur der jüngste Link aus der jüngsten E-Mail gültig ist, ist nicht selbsterklärend.
• Nutzende haben nicht das Gefühl, ein Konto zu haben und sind unsicher, ob sie sich überhaupt ab- und wieder anmelden können.

Aus (sicherheits)technischer Perspektive können wir sagen, dass sich der Prozess und die Entscheidung, mit Magic Links zu arbeiten, bewährt haben. Aus Sicht der Nutzenden muss man jedoch festhalten, dass das Konzept noch wenig bekannt und daher mit einem hohen anfänglichen Aufklärungs- und Erklärungsaufwand verbunden ist. Diesen Aspekt hatten wir zunächst unterschätzt. Zusätzliche Hinweise auf der Webseite und Informationen im Hilfebereich von „Grundsteuererklärung für Privateigentum“, sorgen nun für eine klare Kommunikation.

Die gewonnenen Erkenntnisse fließen bei einer potenziellen künftigen Nutzung von Magic Links für andere Anwendungen des DigitalService direkt mit ein. Denn mit über 150.000 Nutzer:innen, die sich in den ersten vier Wochen bereits registriert haben, wird auch die Akzeptanz gegenüber dieser alternativen Praxis zur Erstellung und Nutzung eines Nutzerkontos deutlich.