Video-Ident-Verfahren - leichter zu täuschen als man glaubt

Video-Ident -- auch Videoident geschrieben -- ist eine bequeme Alternative zum PostIdent-Verfahren, das Sie aus der Postfiliale kennen. Es dient der Identitätsfeststellung und soll Geldwäsche sowie Betrug verhindern. Damit eignet es sich grundsätzlich hervorragend, um neue Verträge abzuschließen oder Konten zu eröffnen. Schließlich soll das Verfahren die Identität zuverlässig verifizieren und die Sicherheit erhöhen. Allerdings weist die Video-Identifikation ernstzunehmende Schwachstellen auf.

Was ist ein Video-Ident-Verfahren?

Falls Sie bisher noch kein Online-Konto eröffnet haben, fragen Sie sich vielleicht: Was genau ist ein Video-Ident-Verfahren? Im Kern handelt es sich um eine Möglichkeit, Ihre Identität digital nachzuweisen. Der große Vorteil: Die Identifikation findet bequem und ortsunabhängig per Video statt. Dafür benötigen Sie lediglich ein Smartphone, Tablet oder einen Laptop sowie einen gängigen Webbrowser oder eine entsprechende App.

Wie funktioniert Video-Ident?

Die Video-Identifikation erfordert nur wenige technische Hilfsmittel. Doch wie genau funktioniert Video-Ident? Für die Online-Legitimation erhalten Sie einen Link von Ihrem potenziellen Vertragspartner. Diesen öffnen Sie über den Browser oder eine App, woraufhin sofort die Identifizierung per Video beginnt. Mitarbeitende im Ident-Center führen Sie Schritt für Schritt durch den Prozess.

Für die Überprüfung halten Sie Ihren Ausweis in die Kamera. Die Software erkennt Vorder- und Rückseite automatisch und liest die Daten aus. Im Rahmen des Security Managements werden auch die Sicherheitsmerkmale Ihres Personalausweises geprüft. Abschließend geben Sie den Sicherheitscode ein, den Sie zuvor per SMS oder E-Mail erhalten haben.

War Ihre Online-Legitimation per Video-Ident erfolgreich, übermitteln die Mitarbeitenden Ihre Daten und Unterlagen verschlüsselt an den Vertragspartner. Dieser Vorgang dauert nur wenige Minuten -- ein Grund, warum das Verfahren so beliebt ist.

Der Chaos Computer Club konnte das Video-Ident-Verfahren täuschen

Doch die Online-Ident-Methode ist nicht so sicher wie erhofft. Das haben Sicherheitsforscher des Chaos Computer Clubs (CCC) eindrucksvoll bewiesen. Ihnen gelang es, die Technologie zu überlisten -- trotz des umfangreichen Security Managements, das bei diesem Verfahren zum Einsatz kommt.

Das Ergebnis: Nach der Video-Verifizierung hatten sie Zugriff auf die elektronische Patientenakte ihrer Testperson. Der CCC fordert deshalb, die Technologie nur noch dort einzusetzen, wo ein geringes Schadenspotenzial besteht. Denn die vorhandenen Security Assessments reichen nicht aus, um die notwendige Sicherheit zu gewährleisten.

So gelang es dem CCC, das Video-Ident-Verfahren zu überlisten

Dass die Anbieter von Online-Ident-Lösungen mit Security Assessments für Sicherheit sorgen wollen, steht außer Frage. Auch die notwendige Security Awareness und eine regelmäßige Prüfung auf Sicherheitslücken werden von den Verfahrensanbietern berücksichtigt. Dennoch gelang es dem CCC, diese Mechanismen zu umgehen und in den Besitz sensibler Personendaten zu gelangen.

Dafür waren lediglich Open Source Intelligence und ein wenig rote Aquarellfarbe nötig. Die Kombination aus beidem täuschte den Mitarbeitenden fremde Identitäten vor und ermöglichte den Zugriff auf sensible Daten. Dieses Vorgehen zeigt: Nicht immer sind Deepfakes erforderlich. Manchmal genügen einfache Mittel, um moderne Sicherheitssysteme zu überwinden.

Dem Chaos Computer Club gelang der Zugriff auf etliche sensible Daten

Seit 2021 ist die Video-Identifikation ein wichtiges Verfahren für den Zugriff auf ePatientenakten und eRezepte. Der CCC hat jedoch gezeigt, dass es grundsätzlich möglich ist, sich eine fremde Identität problemlos anzueignen. Damit erhalten Cyberkriminelle potenziell Zugang zu sensiblen Gesundheitsdaten.

Betroffen sind dabei nicht nur einzelne Datensätze. Es geht um sämtliche Informationen, die in Arztpraxen, Krankenhäusern oder bei der Krankenkasse gespeichert sind -- einschließlich eingelöster Rezepte, ärztlicher Diagnosen, Arbeitsunfähigkeitsbescheinigungen und Behandlungsunterlagen.

Der Aufwand für die Täuschung war gering

Das wohl Erschreckendste an dieser Sicherheitslücke: Für die gefälschte Online-Identifikation waren nur einfache Hilfsmittel nötig. Open Source Intelligence und etwas Farbe genügten, um Zugriff auf sensible Informationen zu erlangen. Diese simplen Mittel, kombiniert mit geringem zeitlichem Aufwand, stellen ein erhebliches Risiko dar.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Datenschützer warnen seit Langem vor solchen Angriffen. Da der Bundesregierung bisher keine konkreten Sicherheitsvorfälle vorlagen, verdeutlicht die Demonstration des CCC nun den akuten Handlungsbedarf.

Sicherheitslücken im Video-Ident-Verfahren: BaFin und Co. reagieren bisher verhalten

Dass die Video-Identifikation nicht so sicher ist wie angenommen, hat der CCC zweifelsfrei belegt. Weder künstliche Intelligenz noch aufmerksame Mitarbeitende können dieser Problematik allein entgegenwirken. Obwohl regelmäßige Pentests und eine gelebte Fehlerkultur die IT-Sicherheit erhöhen, besteht akuter Handlungsbedarf. Dennoch reagieren BaFin und BNetzA bislang zurückhaltend.

Beide Organisationen sind unter anderem für die Video-Identifikation bei Kreditverträgen und SIM-Karten-Registrierungen zuständig. Anders als die verantwortliche Stelle im Gesundheitswesen haben beide noch kein Verbot der Video-Verifizierung ausgesprochen. Zwar geben beide an, sich mit den Sicherheitsproblemen auseinanderzusetzen, doch konkrete Handlungspläne fehlen bislang.

Angestoßen durch den CCC untersagt die Gematik Video-Ident

Eine gänzlich andere Reaktion zeigt Gematik. Die digitale Gesundheitsinfrastruktur für Deutschland verbietet die Video-Identifikation vorerst. Damit soll nicht wiedergutzumachender Schaden verhindert werden. Dieses Vorgehen verdeutlicht, dass die Organisation den Zugriff auf Ihre sensiblen Gesundheitsdaten keinesfalls auf die leichte Schulter nimmt.

Video-Ident-Verfahren -- Probleme sind bereits länger bekannt

Mit der erfolgreichen Umgehung zeigt der CCC: Aktuelle Verfahren müssen sicherer werden. Das BSI teilt diese Einschätzung und räumt die grundsätzlichen Manipulationsmöglichkeiten ein. Bereits im Tätigkeitsbericht 2020 wurde darauf hingewiesen, dass Video-Ident-Verfahren risikobehaftet sind.

Auch die Financial Intelligence Unit des Zolls stützt diese Bewertung in ihrem Jahresbericht 2020. Die zuständigen Behörden sehen insbesondere in Social-Engineering-Angriffen, die auf fremde Ausweisdaten abzielen, ein konkretes Risiko. Diese fachlich fundierten Einschätzungen belegen: Die Reaktion von Gematik ist ein sinnvoller Schritt in Richtung mehr Sicherheit.

Das sind grundsätzliche Bedenken bei der Video-Identifikation

Dass die Video-Verifizierung risikobehaftet ist, haben mittlerweile verschiedene Sicherheitsexperten bestätigt. Hinzu kommt: Online-Ident nutzt die ohnehin erfassten biometrischen Daten nicht für den eigentlichen Identitätsnachweis.

Das bedeutet: Obwohl diese Informationen beim Identifikationsvorgang vorliegen, werden sie im Geschäftsverkehr nicht übertragen. Video-Ident beschränkt sich auf die notwendigsten Informationen -- doch genau diese ließen sich durch einen manipulierten Videostream vergleichsweise leicht verfälschen.

Video-Ident-Verfahren: Das empfiehlt der Chaos Computer Club

Der CCC empfiehlt den Anbietern, für zusätzliche Sicherheit in den bestehenden Ident-Verfahren zu sorgen. Schließlich liegt die Verantwortung für den Nachweis der Sicherheit nicht bei Ihnen, sondern bei den Verfahrensbetreibern selbst.

Eine wichtige Grundlage zur Erhöhung der Sicherheit sollten künftig unabhängige Tests unter realen Angriffsbedingungen sein. Klassische Beispiele für solche Sicherheitsmaßnahmen sind Pentests. Der alleinige Glaube an eine KI, die dank maschinellem Lernen sämtliche Probleme löst, darf nicht vorherrschen.

Gleichzeitig empfiehlt der CCC, die Empfehlungen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ernst zu nehmen. Diese und andere Sicherheitsexperten warnten bereits 2020 vor dem Einsatz von Video-Ident unter den bestehenden Sicherheitsvorkehrungen. Denn ein einwandfreier Datenschutz ist nicht nur in kleinen und mittelständischen Unternehmen erforderlich -- insbesondere sensible Gesundheits- und Personendaten müssen vor unbefugtem Zugriff geschützt sein.