VideoIdent im Bankenwesen: Bafin und BMF halten an Brückentechnologie fest

Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) sieht keine Probleme dabei, VideoIdent für die Identifizierung zu verwenden. Zu diesem Ergebnis kommt die Bafin nach Untersuchungen, seitdem im August bekannt wurde, dass VideoIdent mittels Livebildmanipulationen von einem CCC-Mitglied überlistet wurde. Handlungsbedarf erkennt auch das Bundesfinanzministerium (BMF) nicht – doch ganz sicher sind sich beide Institutionen nicht.

Laut Bafin liegen derzeit "keine Anhaltspunkte vor, die darauf hindeuten, dass das zu Zwecken der Identifizierung nach dem Geldwäschegesetz im Finanzsektor verwendete Videoidentifizierungsverfahren Gegenstand der Angriffe des Chaos Computer Clubs war oder gar Manipulationen in diesem Zusammenhang erfolgreich waren." Der Bafin seien bis jetzt keine Fälle bekanntgeworden, "in denen das Verfahren erfolgreich von Kriminellen mit technischen Mitteln manipuliert worden ist". Daher sei es derzeit nicht erforderlich, die Nutzung der "Brückentechnologie" entsprechend der bislang von der Bafin vorgeschriebenen Form einzuschränken.

Neuer Angriffsvektor

Für den Gesundheitsbereich ist das Videoident-Verfahren vorerst Geschichte. Vor allem Banken setzen auf die Technik, um mit eher geringem Aufwand Kunden zu identifizieren, wozu sie laut Gesetz verpflichtet sind. Dass Videoident angegriffen werden kann und auch wird, war keine Neuigkeit, als der CCC im August eine umfangreiche Dokumentation veröffentlichte. Neu war hingegen der Angriffsvektor: Mittels manipulierter Bilder, die an den Betreiber des Videoidentifikations-Dienstes geschickt wurden, konnten auch bislang als die Sicherheit deutlich erhöhende, wesentliche Merkmale künstlich manipuliert werden.

Das BMF sieht wesentliche Fragen weiterhin ungeklärt und berät weiter mit Innen-, Gesundheits- und Digitalministerium, Kanzleramt, Bundesnetzagentur und BSI. Zugleich glaubt es aber, dass der Hack des Sicherheitsforschers Martin Tschirsich aus dem CCC-Umfeld die Branche nicht betreffe. "Nach den bisherigen Erkenntnissen liegen Hinweise darauf vor, dass KI-basierte Verfahren besonders gefährdet sind, die für Finanzdienstleistungen nicht zugelassen sind", erklärt das Ministerium auf Anfrage von heise online. Damit sind solche Verfahren gemeint, die vollständig KI-basiert sind und ohne einen menschlichen Operator auskommen.

Zudem lägen dem BMF bislang keine Hinweise darauf vor, "dass auch jene Verfahren, die im Finanzsektor eingesetzt wurden, auch erfolgreich angegriffen werden konnten", teilte das Ministerium weiter mit. Der Sicherheitsforscher Tschirsich hatte allerdings ganz bewusst nicht veröffentlicht, welche Verfahren genau von ihm überlistet werden konnten und sagt nun: "Gegenstand des vom CCC veröffentlichten Angriffs sind gerade auch VideoIdent-Verfahren, wie sie im Anwendungsbereich des Geldwäschegesetzes zum Einsatz kommen."

Schon vor der CCC-Veröffentlichung hatte ein Forscherteam deutscher und kanadischer Wissenschaftler bei einer gemeinsamen Tagung des Europäischen Instituts für Telekommunikationsnormen (ETSI) und der Europäischen Netzwerk- und Informationssicherheitsbehörde (ENISA) dargelegt, wie die Videoidentifizierung manipuliert werden kann.

(anw)