Chaos Computer Club hackt Videoident-Verfahren
Der CCC hat die Videoident-Verfahren verschiedener Anbieter gehackt: Nun ist die Identifizierungsmethode für die Einrichtung einer E-Patientenakte untersagt.
(Bild: Fractal Pictures/Shutterstock.com)
Mitglieder des Chaos Computer Clubs haben mit einfachen Mitteln die Videoident-Verfahren von sechs Anbietern ausgehebelt. Die Identifizierungsmethode darf bereits seit Dienstag nicht mehr bei der Einrichtung einer elektronischen Patientenakte (ePA) benutzt werden. Der Chaos Computer Club (CCC) hat jetzt ausführlich dargelegt, wie das funktioniert hat.
Die Online-Identifizierungsverfahren wurden überlistet, um eine ePA anzulegen und zu befüllen. Mit etwas Farbe und einer Open-Source-Software konnten die Verfahren von sechs nationalen und internationalen Anbietern überlistet werden. Wer sie sind, wurde vom CCC nicht genannt. Stattdessen fordert der CCC in einer Pressemitteilung, die Verfahren generell "nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht".
Einsatz des Videoident-Verfahrens "fahrlässig"
Als erste Organisation hat die für die Digitalisierung zuständige Gematik GmbH reagiert und den Krankenkassen die Nutzung von Videoident-Verfahren vorläufig untersagt. In der Pressemitteilung des CCC warnt Martin Tschirsich, ein Sicherheitsforscher des CCC, vor der Nutzung. "Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Videoident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten". Außerdem müssten alle, die bisher Videoident-Verfahren eingesetzt haben, eine Abwägung treffen, wie mit bereits erfolgten Identifizierungen umgegangen wird. Denn auch die von Anbietern als Wunderwaffe benannte "KI-Prüfung" konnte bei den Angriffen ausgehebelt werden. Deshalb fordert der CCC eine grundlegende Revision:
"Es wird Zeit für ein Ende der Beweislastumkehr: Nicht die Betroffenen sollten Schwächen der Systeme nachweisen müssen, die Verfahrensbetreiber sollten vielmehr verpflichtet werden, deren Sicherheit nach anerkannten Regeln zu belegen. Die Erfüllung bestehender und neuer Anforderungen sollte künftig durch unabhängige Tests unter realen Angriffsbedingungen regelmäßig nachgewiesen werden. Insbesondere bedarf jede Aussage zur Wirksamkeit von Gegenmaßnahmen gesicherter Evidenz. Die bloße Behauptung, man habe etwas KI drübergesprenkelt, darf nicht mehr ausreichen."
In der ausführlichen Dokumentation der Angriffe stellt Martin Tschirsisch nicht nur die bereits früher bekannten Methoden vor, wie Daten, Bilder und Hologramme auf einem Ausweis manipuliert werden können, ehe dieser Ausweis zur Prüfung in einer Videokonferenz in die Kamera gehalten wird. Die videotechnische Kombination von mehreren Ausweisen zu einem gefälschten ID-Dokument kommt nach seinen Angaben auch mit dem "besseren Prüfungsschutz" zurecht, den der Einsatz von Künstlicher Intelligenz bieten soll. Bei sechs Anbietern wurde der Angriff nicht erkannt. Wie viele Anbieter insgesamt untersucht wurden, ist der Dokumentation nicht zu entnehmen.
Angriff mit geringem Aufwand durchführbar
Das Fazit des CCC ist schlicht: "Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar. "Besonders bitter sei es, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt würden, führt der CCC weiter aus. Kaum jemand benutze diese sichere Online-Identifizierung, klagt der Club. Er hatte mit seinen Aktionen zum damals neuen Personalausweis aber auch einen nicht unerheblichen Anteil daran, dass die e-ID-Funktion von den Bundesbürgern und -bürgerinnen nicht angenommen wurde.
(mack)
