Video-IdentEingestürzte Brückentechnologie

Einfach die eigene Identität vor der Kamera bestätigen? Der Hack des CCC im Zusammenhang mit der elektronischen Patientenakte hat gezeigt: Das Prinzip Video-Ident ist kaputt. Jetzt weiter daran rumzudoktern, ist der falsche Weg. Ein Kommentar.

Eingestürzte Brücke in Hügellandschaft
„Brückentechnologie“ (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Brian Kelly

Ausweis in die Kamera halten, Gesicht daneben, zack: Identität bestätigt. So funktionieren Video-basierte Identifikationssysteme. Sie sparen Zeit und Wege. Nicht mehr zur Krankenkasse laufen, um zu beweisen, dass man wirklich man selbst ist. Nicht mehr zur Post und Ausweis am Schalter zücken für die Konto-Eröffnung. SIM-Karte vom Sofa aus registrieren. Es hätte so schön sein können.

Doch der IT-Sicherheitsforscher Martin Tschirsisch hat gezeigt: Video-Ident-Verfahren kann man überlisten – „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“, wie es in der Mitteilung des Chaos Computer Club dazu heißt. Mehrere gängige Video-Ident-Systeme konnte Tschirsisch austricksen, als Konsequenz verbot die Gematik Video-Ident-Verfahren als Identifizierungstechnologie für elektronische Patientenakten.

Tschirsisch hatte zwar elektronische Patientenakten als ein prominentes und wegen der Gesundheitsdaten besonders sensibles Beispiel gewählt. Doch das Problem hört da nicht auf: Video-Ident wird für alle möglichen Identifizierungsvorgänge genutzt – vom Leihauto bis zur Kreditkarte. „Von Zuhause aus oder unterwegs kostenlos legitimieren“, wirbt etwa eine Bank. „Es ist nicht möglich Videoident für einen Dritten durchzuführen“, heißt es als Antwort bei den häufigsten Fragen. „Video-Ident ist schnell, einfach und sicher“, steht auf einer Hilfeseite zur SIM-Karten-Freischaltung. Es wird höchste Zeit, die Websites zu aktualisieren.

Reißleine ziehen

Die Gematik hat die Reißleine gezogen, doch das kann sie nur für die digitale Gesundheitsinfrastruktur tun. Aber was ist mit all den SIM-Karten-Registrierungen oder den Kreditverträgen bei Banken? Hier wären die Bundesnetzagentur (BNetzA) und die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) zuständig.

Wir wollten wissen, ob die Aufsichtsbehörden auch ein Verbot von Video-Ident in Erwägung ziehen. Doch noch hat sich offenbar keine der beiden zu dem Schritt entschlossen. „Hinweise auf Sicherheitsprobleme oder Schwachstellen in Bezug auf das Identifizierungsverfahren nehmen wir sehr ernst und überprüfen diese“, heißt es auf Anfrage von der Bafin. Abschließend bewerten könne man das aber noch nicht, „da maßgebliche Einzelheiten noch nicht bekannt sind.“

Die Antwort der BNetzA klingt ähnlich: „Die in der Dokumentation durch den Chaos Computer Club dargestellten Angriffsvektoren auf bestimmte Identifizierungsverfahren nimmt die Bundesnetzagentur sehr ernst.“ Die Bundesregierung werde sie prüfen, sobald die konkreten Umstände der Angriffsszenarien bekannt sind. Und: „Video- und Autoidentifizierungsverfahren sind eine Brückentechnologie, die aufgrund ihrer Marktdurchdringung und Verfügbarkeit derzeit für Fernidentifizierungen genutzt wird.“

Gegenüber heise.de sagt ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI): „Bei videobasierten Fernidentifikationslösungen ist grundsätzlich eine Manipulation des Videostreams möglich, sodass videobasierte Lösungen nicht dasselbe Sicherheitsniveau erreichen können wie beispielsweise die Online-Ausweisfunktion des Personalausweises.“

Aktuelle Verfahren sind kaputt

Der CCC hat gezeigt: Die aktuellen Verfahren sind nicht sicher genug. Das BSI sagt, es gibt grundsätzliche Manipulationsmöglichkeiten. „Videoidentifizierungsverfahren sind risikobehaftet“, schrieb der Bundesdatenschutzbeauftragte in seinem Tätigkeitsbericht für das Jahr 2020. Die Financial Intelligence Unit des Zoll schreibt in ihrem Jahresbericht 2020: „Das Video-Ident-Verfahren bietet ein erhebliches Missbrauchspotential.“ Die Geldwäschebekämpfungsabteilung meint damit Social-Engineering-Angriffe, bei denen Betroffene dazu gebracht werden, ihre Ausweisdaten unter Vorwand zu offenbaren. Bereits in der Vergangenheit veröffentlichten IT-Sicherheitsforschende immer wieder Angriffsszenarien.

Wenn man all das zusammennimmt, lässt das nur einen Schluss zu: Video-Ident ist kaputt. Und zwar so kaputt, dass die Technologiebrücke nicht mit ein bisschen mehr Künstliche-Intelligenz-Mörtel hier und Deep-Learning-Magie da gekittet werden sollte. Wir sparen sonst nicht mit Kritik an der Gematik. Aber in dieser Situation hat sie das Richtige getan.

Dafür bekommt sie Gegenwind, unter anderem vom Bitkom. Der Branchenverband wirft der Gematik vor, den Patient:innen „einen Bärendienst“ erwiesen zu haben. Man dürfe nicht „wie mit einem Bulldozer das Video-Ident-Verfahren als solches platt machen“.

Identifizierung möglich machen

Aber – um die mäßig gute Analogie weiterzuführen – die Gematik hat gar keinen Bulldozer aufgefahren. Auch der CCC nicht. Jemand hat an einer Brückenfuge der Brückentechnologie gekratzt und sie ist zusammengefallen. Die einzig mögliche Konsequenz: Video-Ident darf da, wo wirklich eine einwandfreie Identifizierung der Nutzenden unbedingt notwendig ist, nicht mehr eingesetzt werden.

Der elektronische Personalausweis, der gerade für solche Anwendungszwecke geeignet sein soll, hat sich bis heute nicht durchgesetzt. „Rohrkrepierer“ nennt der CCC dieses Projekt.

Statt sich jetzt auf kreative Hacker:innen einzuschießen oder konsequentes Handeln als Digitalisierungshürde zu diskreditieren, sollte man sich fragen, warum so wenige dieses Identifizierungsmittel nutzen und anbieten wollen. Ein Aktivierungszwang der eID-Funktion hat nicht den Durchbruch gebracht und wird es auch in Zukunft nicht. Es braucht einen konsequenten Fokus auf sichere und datensparsame Nutzungsmöglichkeiten und eine offene Kommunikation.

Und eine echte Wahlfreiheit: Denn wer ein digitales Verfahren nicht nutzen will, muss auch weiterhin die Möglichkeit haben, seinen Ausweis vor Ort vorzuzeigen – und auch nur da, wo es wirklich nötig ist.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Das ist eine Ablennkungstechnologie. Verstand in Datentöpfe umleiten – das!

    Das passiert, wenn Regierungen Infrastruktur nicht denken können, und lieber irgendein Koks atmen als Sinn, Verstand, Infrastruktur.

  2. Zu: „Aktivierungszwang der eID-Funktion hat nicht den Durchbruch gebracht“. Der Aktivierungszwang auf Bürgerseite ist durchaus sinnvoll.

    Nur: Es fehlt auf der anderen Seite (Unternehmen, Behörden, Portale) der Zwang , die eID-Funktion des Persos als Option anzubieten. Ich kenne nur 1 Bank und ELSTER, die diese Funktion anbieten. Für solche „Einzelfälle“ kaufe ich kein Lesegerät. Es fehlen dem Bürger schlicht die Anwendungsfälle im Alltag.

    So lange auf Unternehmens- und Behördenseite kein Zwang besteht, kann der Bürger seine freigeschaltete e-ID-Funktion auch nicht einsetzen, auch wenn der das gerne möchte.

  3. Ich verstehe nicht warum die Identifikation per E-Ausweis gescheitert sein soll.
    Die Deutsche Post bietet das jetzt im Zuge des PostIdent Verfahrens an: Entweder zur Filiale oder eben digital per Ausweis.

    Videoident habe ich einmal (mehrere Anläufe) gemacht und werde ich sicher nie wieder machen. Personal einfach nur mega unfreundlich, warum damit abgeben und sich 5-7 Minuten vor der Kamera zum Affen machen, was mit dem E-Ausweis in unter 60 Sekunden erledigt ist?

    1. Ich kenne die Argumentation nicht, aber ich bemerke folgendes zum E-Perso:
      – Ich kann keine anonyme Altersverifikation im Netz finden, fast nirgendswo.
      – Nicht mal die Voll-E-Perso-irgendwas.

      Kann also daran liegen, dass die Infrastruktur für zukünftigen Behördensaft „gedacht“ wurde, und nicht „richtig“?
      – Es muss für Internetdienste einfach sein, für sie legale Funktionen einzubinden. Nicht nur für Facebook, Google und Microsoft, sondern auch für kleine Veranstatltungen. Hier hat man vieleicht gar nicht „gedacht“.
      – Es Muss für Nutzer sicher sein und stets erkenntlich, was genau abgefragt wird. Hier hat man vielleicht vergessen die Hardware „richtig“ dazu zu denken.

      Andere denken sich sicherlich andere Anforderungen aus…

  4. Werden 130.000 Spezialrouter unnötig verschrottet, obwohl ein einfaches Update ausreichen würde? Experten des Heise-Verlags verlangen Antworten von Gesundheitsminister Karl Lauterbach.

    Die Redakteure der »c’t« hatten einen der Spezialrouter geöffnet, der für die sichere Verschlüsselung von Gesundheitsdaten notwendig ist. Dabei stellten sie fest, dass Geräte dieses Typs für IT-Experten ohne Probleme zu öffnen sind und dass sich das Kryptozertifikat so aktualisieren lässt. Ihr Fazit: Mit dem relativ kostensparenden Verfahren könnte die Laufzeit der teuren Geräte bis 2025 verlängert werden. Dann soll eine neue Version der Telematikinfrastruktur online gehen, die ohne Konnektoren auskommen soll.

    https://www.spiegel.de/netzwelt/netzpolitik/400-millionen-euro-verschwendet-experten-warnen-vor-hardware-tausch-in-arztpraxen-a-515a3bb7-9ab3-4d2d-ac13-208819cbb83f#ref=rss

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.