Der Videoident-Hack und seine potenziellen Folgen
Der Chaos Computer Club hat Videoident-Dienste übertölpelt und damit diese Methode zur Online-Authentifizierung infrage gestellt. Nun herrscht Verunsicherung.
(Bild: dpa, Peter Endig)
- Holger Bleich
Das Videoident-Verfahren hat sich durchgesetzt, weil beide Seiten davon profitieren. Die Anbieter authentifizieren ihre Kunden rechtssicher – und können ihnen ohne Zeitverzug Zugang zum gewünschten Produkt gewähren, etwa dem Girokonto oder dem Mobilfunkvertrag. Und die Kunden müssen nicht wie bei Postident in eine Postfiliale marschieren und danach tagelang warten.
Stattdessen werden sie von entsprechenden Dienstleistern wie IDnow oder WebID auf eine sichere Web-Verbindung oder in eine Smartphone-App geleitet, lassen dort ihr Gesicht biometrisch erfassen, wedeln nach Anweisung eines Operators ein wenig mit dem eigenen Personalausweis vor der Webcam herum und geben zum Abschluss noch eine TAN ein. Das wars. Die Sache hat nur einen Schönheitsfehler: In den vergangenen Jahren haben berufene Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesdatenschutzbeauftragte immer wieder davor gewarnt, dass das Verfahren immanente Schwachstellen aufweise.
Irgendwann, so die Befürchtung, könnte jemand mit recht einfachen Mitteln einen Angriffsplan ersinnen, der Videoident die Integrität und damit die Rechtssicherheit entzieht. Nun scheint dieses Szenario Realität geworden zu sein: Der Chaos Computer Club hat gleich sechs verschiedene Videoident-Verfahren erfolgreich gehackt, wie er am 10. August mitteilte. Wie viele erfolglose Versuche er benötigte, ist allerdings unbekannt.
"Videotechnische Neukombination"
Man nehme: Einen eigenen und einen fremden Personalausweis, ein handelsübliches ArUCo-Markerboard, eine quelloffene Softwarebibliothek, etwas Verbraucherelektronik, die in jedem Haushalt zu finden ist – sowie rote Aquarellfarbe. In einem Bericht beschreibt CCC-Sicherheitsforscher Martin Tschirsich, wie er mit "videotechnischer Neukombination mehrerer Quell-Dokumente" Videoident-Mitarbeitern erfolgreich eine fremde Identität vorgegaukelt hat. Echte Angreifer hätten also unter gekaperter Identität Daten ergaunern, Konten eröffnen, Versicherungen abschließen oder Zugang zu anderen kostenpflichtigen Leistungen erschleichen können.
Grob gesprochen hat Tschirsich biometrische Merkmale wie das Passfoto sowie Angaben wie die Adresse auf dem Ausweis maskiert, ausgetauscht und in 3D – damit schwenkbar – neu erfasst. Der Trick besteht unter anderem darin, die Manipulation auf einem TV-Gerät wiederzugeben, dessen Screen abzufilmen und dieses Bild in die Videoident-Session zu schicken. Die rote Farbe dient dazu, Finger zu färben, um sie freistellen und ersetzen zu können, falls sie während der Echtheitsprüfung Bereiche des Ausweises abdecken sollen.
(Bild: CCC)
Fest steht: Viele der Sicherheitsmerkmale des Personalausweises erfasst Videoident naturgemäß nicht. Die Hologrammprüfung soll laut einigen Anbietern dank KI recht gut klappen, was der CCC mit seinem Experiment widerlegt haben will. Eine haptische und taktile Prüfung fällt im Video-Call flach. Der Abgleich biometrischer Merkmale wurde bereits mit Deep-Fake-Technik ausgehebelt und nun vom CCC mit nach dessen Angaben weit weniger aufwendigen Maßnahmen übertölpelt. Es dräut ein handfestes Problem.
Nach Angaben von Forscher Tschirsich hat er beispielsweise mit dem Personalausweis und der Krankenversichertennummer einer Testperson nach erfolgreicher Videoident-Authentifizierung sowohl Zugang zur Online-Geschäftsstelle von deren Krankenkasse als auch eine elektronische Patientenakte (ePA) erhalten. Nach seinen Angaben konnte der Forscher "auf weitreichende Gesundheitsdaten des Versicherten, darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen" zugreifen.
Reißleine gezogen
Genau vor diesem Szenario hatte der Bundesdatenschutzbeauftragte bereits in seinem Tätigkeitsbericht 2020 gewarnt. Wörtlich schrieb er damals bezüglich des Zugangs zu Gesundheitsdaten: "Den sehr hohen Schutzbedarf können Videoidentifizierungen nicht gewährleisten." Vorab vom CCC informiert, hat die staatliche Gesundheitsagentur Gematik bereits am 9. August die Reißleine gezogen und verfügt, dass Krankenkassen ab sofort Videoident nicht mehr bei der ePA-Beantragung nutzen dürfen. "Über die Wiederzulassung von Videoident-Verfahren kann erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind", teilte die Gematik mit.
Die Bundesanstalt für Finanzdienstleistungen (Bafin) teilte mit, dass man die Hinweise sehr ernst nehme. Maßgebliche Einzelheiten seien ihr jedoch noch nicht bekannt. Der Bankenverband verwies darauf, dass die Bafin zuletzt im Mai 2022 das Videoident-Verfahren in Verbindung mit weiteren Maßnahmen als ausreichend sicher eingestuft habe. Diese weiteren Maßnahmen bestünden unter anderem darin, dass Neukunden über sechs bis zwölf Monate einem strengen Transaktionsmonitoring unterliegen würden, so eine Sprecherin. "Die Entscheidung der Krankenkassen, das Verfahren nicht zu nutzen, muss nicht automatisch Rückschlüsse auf Anwendungen in anderen Sektoren haben."
Das BSI teilte mit, man werde das vom CCC erläuterte Angriffsszenario nun sorgfältig prüfen. Neu sei auf jeden Fall, dass die Angriffe nun "offenbar auch in produktiven Videoident-Systemen durchgeführt wurden", sagte ein Sprecher. Der Branchenverband Bitkom kritisierte die nun vorherrschende Skepsis gegenüber Videoident: "Wegen einzelner Sicherheitsvorfälle, die sich in der digitalen Welt ebenso wenig ausschließen lassen wie in der analogen Welt, darf man nicht wie mit einem Bulldozer das Videoident-Verfahren als solches plattmachen." Die Onlinefunktion des Personalausweises sei derzeit noch keine praktikable Alternative.
Der CCC fordert dagegen, Videoident "nicht mehr dort einzusetzen, wo ein hohes Schadenspotenzial besteht". Er weist darauf hin, dass der von ihm geschilderte Angriff "von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar" sei. Der Club verweist auf den E-Perso als sichere Alternative, nennt dieses Projekt allerdings gleichzeitig auch einen "teuren Rohrkrepierer".
(hob)