BSI und ANSSI wollen sicherere Video-Identifikationsverfahren
Das BSI hat zusammen mit der französischen Cybersicherheitsbehörde Video-Ident-Verfahren untersucht und legt Verbesserungsvorschläge vor.
(Bild: Axel Bueckert/Shutterstock.com)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich mit der französischen IT-Sicherheitsbehörde Agence Nationale de la sécurité des systèmes d‘information (ANSSI) zusammen in diesem Jahr Video-Ident-Verfahren angesehen. Dabei standen die Risiken im Fokus, die möglichen Gefahren und Angriffsvektoren. Bei der Analyse sind ein paar handfeste Vorschläge herausgekommen, wie sich Videoident mit State-of-the-Art-Technik und -Verfahren sicherer gestalten lässt.
Das BSI erläutert, dass ganz gleich ob "Online-Banking, die Steuererklärung oder Vertrauensdienste – in einer digitalisierten Welt [..] Dienste, die eine Identifikation erfordern, immer häufiger online genutzt [werden]". "Die Anbieter von digitalen Diensten verwenden zur Identifizierung der Antragstellenden häufig ein videobasiertes Vorgehen", erklärt das BSI weiter. Dazu müsse sichergestellt werden, dass Ausweisdokumente echt seien und Merkmale wie Gesicht und Fingerabdrücke mit den zu verifizierenden Personen übereinstimmen.
Identitätsdiebstahl
Die Identifizierung sei sehr komplex und könne von Angreifern für Identitätsdiebstahl missbraucht werden. Mit gekaperten Identitäten könnten die Angreifer etwa Sabotage oder Spionage treiben oder sich finanziell bereichern. In einem achtseitigen PDF-Dokument fassen die IT-Sicherheitsbehörden ihre diesbezüglichen Erkenntnisse zu den potenziellen Gefahren und Vorschläge zu deren Abwehr zusammen.
Diesen Verfahren komme vermehrt Bedeutung zu, da sich etwa im Rahmen der eIDAS-Verordnung bis 2030 rund 80 Prozent der EU-Bürger online im Web mit einer elektronischen digitalen Identität, EUid, auf Basis digitaler Wallets ausweisen können sollen. Um die elektronischen Identitäten auszurollen, sei eine vorherige Identitätsprüfung vorgesehen, und hier würden Anbieter solcher Dienste wahrscheinlich Video-basierte Remote Identity Proofing-Mechanismen einsetzen.
Die IT-Sicherheitsbehörden wünschen sich eine länderübergreifende Harmonisierung der Methoden und Prüfung derartiger "Remote Identity Proofing"-Verfahren. Dazu könnten etwa Standards und harmonisierte Zertifizierung im Rahmen des EU-Cybersecurity-Acts dienen.
Das BSI arbeitet seit 2018 mit der ANSSI zusammen an jährlichen Veröffentlichungen mit Untersuchungen zu bestimmten Themengebieten. Die diesjährige Betrachtung von Videoident war demnach die sechste gemeinsame Veröffentlichung der Behörden zu einem aktuellen IT-Sicherheitsthema.
(dmk)
