Endlich alle Umzugskisten in die neue Wohnung geschleppt und die Möbel halb aufgebaut, jetzt noch schnell den neuen Wohnsitz anmelden und das Leben in den neuen vier Wänden kann beginnen. Klassisch muss man dafür persönlich zur Behörde. Um sich dort zu identifizieren, legt man den Personalausweis vor, das physische Ausweisdokument.
In einigen Kommunen kann man sich diesen Gang zum Amt schon sparen und die Meldeadresse online ändern lassen, etwa in Kiel oder Hamburg. Auch in Wiesbaden lässt sich der Wohnsitz digital an- und ummelden. Die Stadt bietet dazu das Videoident-Verfahren an. Wollen Bürger:innen den Online-Dienst nutzen, müssen sie in einem Videotelefonat mit Mitarbeiter:innen des Unternehmens WebID ihre Identität prüfen lassen. Dazu halten sie ihren Ausweis vor die Kamera ihres Computers, Tablets oder Smartphones.
Videoident ist in anderen Bereichen schon länger im Einsatz. So können Kund:innen von Banken etwa mithilfe des Verfahrens online ein Konto eröffnen, Kund:innen von Handyanbietern können sich SIM-Karten freischalten lassen. In der öffentlichen Verwaltung jedoch ist das Verfahren eher neu.
Kein Verbot in Sicht
Dabei steht Videoident spätestens seit 2022 stark in der Kritik, nachdem IT-Sicherheitsexperte Martin Tschirsich zusammen mit dem Chaos Computer Club demonstrierte, wie leicht sich die Sicherheitshürden des Systems überwinden lassen. Ihnen gelang es, auf die elektronische Patientenakte (ePA) einer Testperson zuzugreifen. Die Gematik reagierte unmittelbar mit einem Verbot des Verfahrens. Sie ist verantwortlich für die ePA sowie die gesamte Infrastruktur des deutschen Gesundheitswesens. Nach wie vor untersagt sie es den Krankenkassen, das Verfahren zu nutzen.
Der CCC forderte ein generelles Verbot von Videoident für Anwendungsfälle, bei denen Nutzer:innen einwandfrei identifiziert werden müssen. Ein solches Verbot könnte etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) anstoßen. Auf Anfrage von netzpolitik.org erklärt es: Videoident-Verfahren seien „prinzipiell angreifbar und daher nicht für Identifikationsverfahren geeignet“, wenn die Daten besonders schutzbedürftig sind, also ein Vertrauensniveau „substantiell“ oder höher erfordern. Beim Ändern der Meldeadresse ist das Vertrauensniveau „hoch“.
So klar die Sachlage auch scheint, das BSI zögert, einen Schritt Richtung Verbot zu unternehmen. Im Fall Wiesbaden erklärt es, dass es als Bundesbehörde der Kommune keine Vorschriften machen könne.
Lücken in der staatlichen Infrastruktur
Das Zögern dürfte nicht ganz unbeteiligt daran sein, dass Videoident für viele noch immer eine Alternative zur eID des elektronischen Personalausweises ist, so auch für Patrick Burghardt, hessischer CIO (Chief Information Officer) und Vorsitzender des IT-Planungsrates. Er hält die Entscheidung Wiesbadens für fortschrittlich, heißt es in einer Pressemitteilung. Dadurch baue die Stadt den Online-Zugang zu Verwaltungsleistungen aus und komme ihrer Verpflichtung nach, das Onlinezugangsgesetz (OZG) umzusetzen.
Offenbar überzeugt Wiesbadens Entscheidung auch andere Kommunen. Der Kölner Digitalisierungsausschuss hat im April einstimmig beschlossen, die Verwaltung damit zu beauftragen, „eine Möglichkeit der Authentifizierung mittels ‚Videoident‘ zu implementieren.“
Tschirsich sieht die Gefahr, dass mehr Behörden Videoident als Brückentechnologie heranziehen. „Es ist ein großes Problem, wenn staatliche Infrastruktur fehlt. Die Lücke kann die Kommune nicht schließen, schon gar nicht durch Bastelei. Hier geht es schief“, lautet sein Urteil zu Wiesbaden.
Gefahren schon lange bekannt
Gegenüber netzpolitik.org betont die Presseabteilung der Stadt Köln, die Verwaltung prüfe derzeit noch, „ob die Maßnahme rechtssicher und wie sie technisch oder organisatorisch umsetzbar ist“. Wiesbaden erklärt gegenüber netzpolitik.org, beim gewählten Videoident handele es sich nicht um das vom CCC untersuchte. Das habe sich automatisierte Verfahren angeschaut und nicht solche, bei denen die Überprüfung durch eine Person stattfindet.
Auch WebID, das Unternehmen, dass Videoindent für Wiesbaden umsetzt, pocht auf den Unterschied. „Videoidentifikation ist nicht gleich Videoidentifikation“, so Gründer Frank S. Jorga in einem Statement. Der CCC habe eine „teil- bzw. vollautomatisierte Variante“ gehackt, „sah aber keine Notwendigkeit, zwischen den verschiedenen Verfahren zu unterscheiden.“ Die Videoidentifikation, um die es Jorga geht, stelle „im Gegensatz zu den anderen gleichnamigen Verfahren ihre Sicherheit regelmäßig in Prüfungen durch Konformitätsbewertungsstellen wie TÜV-IT unter Beweis“. Außerdem sei das Verfahren „kürzlich vom BMF als vertrauenswürdig manifestiert“ worden und könne „im Vergleich zu teil- oder vollautomatisierten Verfahren“ Social Engineering verhindern. Mit der Manifestierung meint Jorga einen Referentenentwurf aus dem Finanzministerium.
Für Tschirsich macht das bezüglich der Sicherheit allerdings keinen Unterschied, ob ein Verfahren teilautomatisiert ist oder nicht. In einer Richtlinie von 2021 weist auch das BSI klar auf die Angriffspotentiale hin und unterscheidet nach den Faktoren Zeit, Expertise, Insiderwissen, Zugangs- und Zugriffsgelegenheiten sowie Ausrüstung der Angreifer.
Wie leicht sich Sicherheitsmerkmale auf dem Ausweis per Videoübertragung manipulieren lassen, hat ein Team aus Forscher:innen bereits 2018 vorgeführt. Unter der Leitung von Reiner Herpers, Professor an der Hochschule Bonn-Rhein-Sieg, überlistete das Team das Videoident-Verfahren, indem es in der Kameraaufnahme etwa Hologramme auf einen schlichten falschen Papierausweis projizierte.
Hologramme gehören zu den Merkmalen, anhand derer beispielsweise öffentliche Stellen prüfen können, ob ein Ausweisdokument echt ist. Gelingt es Angreifern solche Sicherheitsmerkmale auszutricksen, gelingt ihnen zweierlei: Sie können einen falschen Ausweis als echten ausgeben, und sie können die Identität einer anderen Person vortäuschen. Ob die Person real ist oder erfunden, spielt dabei keine Rolle.
Für reale Personen könne die Entscheidung Wiesbadens allerdings gravierende und weitreichende Folgen haben, so Martin Tschirsich gegenüber netzpolitik.org. Denn es gebe viele öffentliche Stellen, die sich darauf verlassen, dass die Daten aus dem Melderegister authentisch sind. Überlistet ein Angreifer das Videoident-Verfahren zum An- und Ummelden des Wohnsitzes, kann er die Meldeadresse der Person ändern, die er überwacht. An diese kann er sich beispielsweise eine neue Krankenkassenkarte schicken lassen. Damit hat er Zugriff auf Rezepte und gelangt an vertrauliche Daten. Das Problem verschärfe sich, wenn künftig mit der Gesundheitskarte auch die komplette elektronische Patientenakte verknüpft ist und damit die gesamte medizinische Historie, so Tschirsich.
Prüfmerkmale außen vor
Mit dem Videoident-Verfahren verzichten Behörden außerdem darauf, weitere, beispielsweise haptische Prüfmerkmale des Ausweises beim Identifizieren einer Person einzubeziehen. Das sei auch rechtlich fragwürdig, sagt André Zilch. Er ist IT-Sicherheitsexperte und beschäftigt sich als IT-Sicherheitsberater seit 2014 mit den Schwachstellen von Videoident.
So ahme das Verfahren den Kontakt von Angesicht zu Angesicht nach, bei dem ein Antragsteller einem Menschen in der Behörde den Ausweis physisch vorlegt. Während die Person im Amt den Ausweis über den Schreibtisch hinweg entgegennehmen und anhand mehrerer Prüfmerkmale auf Echtheit untersuchen kann, bleibe diese Möglichkeit per Video verwehrt.
Gerade jedoch beim Ändern der Meldeadresse verlange das Gesetz, so Zilch, dass Mitarbeiter:innen in der Behörde zumindest die Möglichkeit haben müssen, alle Prüfmerkmale unter die Lupe zu nehmen. Das gelte unabhängig davon, ob es notwendig ist, alle Merkmale zu prüfen.
Kopie ist kein Original
Zilch verweist darauf, dass das Ausweisdokument eine öffentliche Urkunde ist; sie belegt die Identität der Person, die sich damit ausweist. Um sich ausweisen zu können, muss die Person immer das Original vorzeigen. So regelt es das Gesetz, beim Ändern der Meldeadresse schreibt es das Bundesmeldegesetz vor. Mitarbeiter:innen in Behörden müssen den Ausweis anfassen können, nur so können sie die Urkunde als „verkörperte Gedankenerklärung“ und die Beweisfunktion des Ausweises annehmen.
Bei Video-Calls allerdings legen Antragsteller:innen gerade nicht die öffentliche Urkunde vor, denn Mitarbeiter:innen können sie hier nicht anfassen. Per Videoübertragung werden lediglich Daten übermittelt, nicht aber die Urkundeneigenschaft des Ausweises. Die gesetzliche Regelung – den „Personalausweis vorzulegen“ – werde damit nicht erfüllt. Videotelefonate könnten also nicht ersetzen, dass ein Antragsteller vor Ort einer Mitarbeiterin seine Urkunde vorlegt, so Zilch.
Bei der Video-Identifikation läge immer nur ein Foto oder Video und damit eine Kopie der Urkunde vor, sagt auch der Notar Otfried Krumpholz gegenüber dem Bankmagazin und bezieht sich damit auf die Verordnung zu Videoident, die das Bundesfinanzministerium plant.
Die Kopie einer Urkunde sei aber nie selbst eine Urkunde. Damit habe sie keine Beweisfunktion im Sinne des Gesetzes, so Krumpholz weiter. „Auch das Finanzministerium oder die Bafin kann aus einer Kopie keine Urkunde machen und den Begriff, was eine Urkunde ist, mal eben erweitern.“
Hinweis, 29. Mai: Wir haben den Text um ein Statement von WebID Solutions zu Unterschieden verschiedener Verfahren ergänzt.
Das darf nicht wahr sein.
Demnächst mit 2FA, also dem Vorzeigen eines für den Personalausweis zugelassenen Kartenlesers.
Selig, wer eine finnische Zollbeamtin im Haus hat.
Gibt ja leider kaum Banken, die das eID Verfahren nutzen.
Wollte bei Tomorrow ein Konto eröffnen und musste das Videoident Verfahren nutzen. eID gab es nicht mal als Auswahl.
Und das sogar Behörden nicht das eID Verfahren anbieten, sondern auf Videoident setzen, ist ja der eigentliche Hohn. Die Politik wundert sich, dass niemand das eID Verfahren nutzt, aber sorgt nicht dafür, dass das eID Verfahren endlich mal verpflichtend für Unternehmen wird, damit sie das endlich mal anbieten!
Ich könnte mich vor einigen Monaten ohne Probleme (in Hamburg) mit meinem nPA als erstem Faktor ummelden. Als zweiten Faktor habe ich dann einfach einen Brief mit einer TAN an meine neue Adresse geschickt bekommen. Das funktioniert wohl in mindestens drei Bundesländern, mit einem mehr oder weniger einheitlichen System. Da ist es doch klar, dass neue Gemeinden ein neues System einführen müssen, sonst werden wir ITler doch arbeitslos.
Es wird einfach nicht vom Ende her gedacht. Was ist sicher genug (substantiell) und hat UX?
Selbst Krankenkassen (und die Gematik?) scheinen der eID Funktion nicht zu trauen, denn um eine ePA freizugeben komme man bitte ins KK-Büro oder vollziehe Post-Ident. Mein nPA würd’s bringen ohne meinen Hintern zu bewegen. Bei Banken und Bahn desgleichen. Worauf noch warten? Auf geht’s
Einen nPA haben nur deutsche Staatsbuerger und das sind bei weitem nicht alle Buerger oder Versicherte. Der nPA kann also nicht die einzige Loesung sein, zumal selbst fuer Staatsbuerger soweit nicht verpflichtend.
Was natuerlich nicht nahelegt, den nPA zu ignorieren 8)
Unionsbürger haben ebenfalls Anspruch auf die eID. Halt nicht als Personalausweis sondern als eID-Karte.
Und Ausländer mit einem elektronischen Aufenthaltstitel haben ebenfalls die eID in der Aufenthaltskarte integriert.
Dabei bietet WebID auch noch selbst »echtes« eID an. Es ist eine bewusste Entscheidung der Behörden, hier auf die Online-Funktion zu verzichten und lieber Videoident zu nutzen.