Video-Ident-Verfahren - leichter zu täuschen als man glaubt

Video-Ident – auch Videoident geschrieben - ist eine bequeme Alternative zum PostIdent-Verfahren, das Sie aus der Postfiliale kennen. Es dient der Identitätsfeststellung und soll Geldwäsche und Betrug verhindern. Das macht es grundsätzlich zu einem idealen Tool, um neue Verträge abzuschließen oder Konten zu eröffnen. Schließlich soll dieses Verfahren die Identität verifizieren und die Sicherheit erhöhen. Allerdings leidet die Video-Identifikation unter ernst zu nehmenden Problemen.

Was ist ein Video-Ident-Verfahren?

Falls Sie bisher noch kein Online-Konto eröffnen wollten, fragen Sie sich vielleicht: Was ist ein Video-Ident-Verfahren? Grundsätzlich handelt es sich dabei um eine Möglichkeit, mit der Sie Ihre Identität nachweisen können. Der große Vorteil dieser Technologie ist, dass die Identifikation bequem und ortsunabhängig per Video stattfindet. Dafür verwenden Sie einfach Ihr Smartphone, das Tablet oder einen Laptop. Zusätzlich benötigen Sie lediglich einen gängigen Webbrowser oder eine entsprechende App.

Wie funktioniert Video-Ident?

Die Video-Identifikation erfordert nur wenige technische Hilfsmittel. Aber wie genau funktioniert Video-Ident? Für die Online-Legitimation per Video-Ident erhalten Sie einen Link von Ihrem potenziellen Vertragspartner. Diesen öffnen sie über den Browser oder eine App. Danach beginnt sofort die Identifizierung per Video. Die Schnittstelle stellen Mitarbeitende im Ident-Center dar, die Sie Schritt für Schritt durch den Video-Ident-Prozess führen. Für die Überprüfung nehmen Sie Ihren Ausweis zur Hand. Die Vorder- und Rückseite erkennt die Software automatisch. Diese liest die Daten aus, sobald Sie das Dokument in die Kamera halten. Mit Blick auf das Security Management werden ebenfalls die Sicherheitsmerkmale Ihres Personalausweises geprüft. Abschließend geben Sie den Sicherheitscode ein, den Sie zuvor per SMS oder E-Mail erhalten haben. War Ihre Online-Legitimation per Video-Ident - beziehungsweise Videoident - erfolgreich, senden die Mitarbeitenden Ihre Daten und Unterlagen verschlüsselt an den Vertragspartner. Diese Übermittlung dauert wenige Minuten, was das Verfahren besonders beliebt macht.

Der Chaos Computer Club konnte das Video-Ident-Verfahren täuschen

Doch die Online-Ident Methode ist nicht so sicher wie erhofft. Das haben die Sicherheitsforscher vom Chaos Computer Club (CCC) unter Beweis gestellt. Sie haben es geschafft, die Technologie zu überlisten. Und das trotzt dem vielseitigen Security Management, das für dieses Verfahren zum Einsatz kommt. Das Ergebnis war, dass sie nach der Video-Verifizierung Zugriff auf eine elektronische Patientenakte ihrer Testperson hatten. Deshalb fordert der CCC, die Technologie nur noch dort einzusetzen, wo ein geringes Schadenspotenzial besteht. Schließlich reichen die Security Assessments nicht aus, um die notwendige Sicherheit zu gewährleisten.

So gelang es dem CCC, das Video-Ident-Verfahren zu überlisten

Dass die Anbieter von Online-Ident Lösungen mit Security Assessments für Sicherheit sorgen wollen, steht außer Frage. Auch die benötigte Security Awareness und eine regelmäßige Prüfung auf Sicherheitslücken, wird von den Verfahrensanbietern berücksichtigt. Trotzdem ist es dem CCC gelungen, diese Mechanismen zu umgehen. Dadurch konnten die Sicherheitsforscher in den Besitz von sensiblen Personendaten gelangen. Dafür notwendig waren lediglich die Open Source Intelligence und ein wenig rote Aquarellfarbe. Die Kombination aus beidem hat den Mitarbeitenden fremde Identitäten vorgetäuscht und den Zugriff auf sensible Daten ermöglicht. Dieses Vorgehen zeigt Ihnen, dass nicht immer Deep Fakes notwendig sind. Manchmal reichen einfache Mittel aus, um moderne Sicherheitssysteme zu umgehen.

Dem Computer Chaos Club gelang der Zugriff auf etliche sensible Daten

Seit 2021 ist die Video-Identifikation eine wichtige Lösung, um auf ePatientenakten und eRezepte zuzugreifen. Der CCC hat jedoch gezeigt, dass es grundsätzlich möglich ist, sich die gewünschte Identität problemlos anzueignen. Dadurch haben Cyberkriminelle die Möglichkeit, die vorliegenden Gesundheitsdaten einzusehen. Dazu gehören nicht nur die Daten selbst. Es geht um sämtliche Informationen, die in Arztpraxen, Krankenhäusern oder bei der Krankenkasse gespeichert sind. Auch eingelöste Rezepte, ärztliche Diagnosen, Arbeitsunfähigkeitsbescheinigungen und Behandlungsunterlagen fallen in diesen Bereich. Der Aufwand für die Täuschung war gering Das wohl erschreckendste an dieser Sicherheitslücke: Für die falsche Online-Ident Methode waren nur einfache Hilfsmittel notwendig. Die Open Source Intelligence und ein wenig Farbe ermöglichen den Zugriff auf sensible Informationen. Diese einfachen Mittel, kombiniert mit einem geringen zeitlichen Aufwand, stellen ein hohes Risiko dar. Übrigens: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Datenschützer warnen seit Langem vor solchen Zugriffen. Da der Bundesregierung bisher keine konkreten Sicherheitsvorfälle vorlagen, präsentiert die Demonstration vom CCC jetzt den akuten Handlungsbedarf.

Sicherheitslücken im Video-Ident-Verfahren: BaFin und Co. reagieren bisher verhalten

Dass die Video-Identifikation nicht so sicher ist wie gedacht, hat der CCC ohne Zweifel unter Beweis gestellt. Weder künstliche Intelligenz noch aufmerksame Mitarbeitende können dieser Problematik entgegenwirken. Obwohl ein regelmäßiger Pentest und eine gelebte Fehlerkultur im Unternehmen die IT-Sicherheit erhöhen, besteht akuter Handlungsbedarf. Dennoch zeigen sich die Bafin und die BNetzA verhalten. Beide Organisationen sind beispielsweise für die Video-Identifikation bei Kreditverträgen oder SIM-Karten-Registrierungen verantwortlich. Anders als die zuständige Einrichtung im Gesundheitswesen haben beide noch kein Verbot für die Video-Verifizierung verhängt. Zwar geben beide Seiten an, sich mit den Sicherheitsproblemen und Schwachstellen auseinanderzusetzen. Doch fehlt es derzeit an maßgeblichen Handlungsplänen.

Angestoßen durch den CCC untersagt die Gematik Video-Ident

Eine gänzlich andere Reaktion erzielen die Ergebnisse des CCCs bei Gematik. Die digitale Gesundheitsinfrastruktur für Deutschland verbietet die Video-Identifikation zunächst. Der Grund dafür ist, dass nicht wiedergutzumachenden Schäden entgegengewirkt werden soll. Dieses Vorgehen zeigt, dass die Organisation den Zugriff auf Ihre intimen Gesundheitsdaten keinesfalls leichtfertig handhabt.

Video-Ident-Verfahren - Probleme sind bereits länger bekannt

Mit der Umgehung der modernen Technologie zeigt der CCC: Aktuelle Verfahren müssen sicherer werden. Diese Meinung vertritt das BSI und gesteht die grundsätzlichen Manipulationsmöglichkeiten ein. Dass die Verfahren zum Video-Ident risikobehaftet sind, wurde bereits im Tätigkeitsbericht 2020 erwähnt. Auch die Financial Intelligence Unite des Zolls unterstützt diese Einschätzung in ihrem Jahresbericht von 2020. Eine solche Möglichkeit sehen die zuständigen Behörden in Social-Engineering-Angriffen, die auf fremde Ausweisdaten abzielen könnten. Diese fachlich fundierten Einschätzungen zeigen: Die Reaktion von Gematik auf das Video-Ident ist ein sinnvoller Schritt in Richtung Sicherheit.

Das sind grundsätzliche Bedenken bei der Video-Identifikation

Dass die Video-Verifizierung risikobehaftet ist, wurde mittlerweile von verschiedenen Sicherheitsexperten angemerkt. Gleichzeitig nutzt Online-Ident die zwangsweise erfassten biometrischen Daten nicht für den Identitätsnachweis. Das bedeutet: Obwohl diese Informationen für den Identifikationsvorgang vorliegen, werden sie beim Identitätsnachweis im Geschäftsverkehr nicht übertragen. Stattdessen fokussiert sich Video-Ident auf die notwendigen Informationen. Diese wären aber grundsätzlich durch einen manipulierten Videostream leicht zu verfälschen.

Video-Ident-Verfahren: Das empfiehlt der Chaos Computer Club

Der CCC empfiehlt den Anbietern des Verfahrens, für zusätzliche Sicherheit in den vorhandenen Ident-Verfahren zu sorgen. Schließlich obliegt der Nachweis der Sicherheitslücken nicht Ihnen, sondern den Verfahrensbetreibern selbst. Eine wichtige Grundlage für das Erhöhen der Sicherheit sollten künftig unabhängige Tests darstellen. Und zwar solche, die unter realen Angriffsbedingungen stattfinden. Klassische Beispiele für solche Security Maßnahmen sind Pentests. Der alleinige Glaube an eine KI, die dank Maschinellem Lernen sämtliche Probleme löst, darf nicht vorherrschen. Gleichzeitig empfiehlt der CCC, die Empfehlungen der Bundesbeauftragten für Datenschutz und die Informationsfreiheit ernst zu nehmen. Diese und andere Sicherheitsexperten warnten bereits im Jahr 2020 vor dem Einsatz von Video-Ident unter den vorliegenden Sicherheitsvorkehrungen. Denn ein einwandfreier Datenschutz ist nicht nur in kleinen und mittelständischen Unternehmen erforderlich. Insbesondere sensible Gesundheits- und Personendaten müssen vor fremden Übergriffen geschützt sein.