Es mutet an wie eine Szene aus einem Spionagethriller: Um für eine Identifizierung per Video eine falsche Identität vorzutäuschen, filmt der Agent einen Ausweis aus allen Richtungen. Die Plastikkarte liegt dafür auf einer speziellen Platte mit Markierungen. Damit sein Bild und der gewünschte Name auf dem Ausweis erscheint, schneidet er diese am Computer aus einem zweiten abgefilmten Ausweis mit spezieller Software aus. Während er den ersten Ausweis in die Kamera hält, sieht der Mitarbeiter, der die Identität prüfen soll, auf seinem Bildschirm ein ganz anderes Bild. Denn das Bild des echten Ausweises wird per Software überlagert von den Fälschungen, die auf einem handelsüblichen Fernseher angezeigt und von dort ein zweites Mal abgefilmt werden. Und dieses Bild kommt bei dem Identifizierer an.
Klingt kompliziert? Ist es gar nicht, findet der Chaos Computer Club (CCC). Der hat mit Spionage natürlich nichts am Hut. Den Mitgliedern des Vereins geht es vielmehr darum, Sicherheitslücken aufzudecken, und eine solche sehen sie beim sogenannten Video-Ident-Verfahren. Wer heute online zum Beispiel eine Versicherung abschließt oder ein Konto bei einer Bank eröffnen will, kann sich bei vielen Anbietern per Video-Ident anmelden. Den Ausweis in die Computer- oder Handykamera halten, das geht schnell und erspart den Gang etwa in eine Post-Filiale.
Doch nun hat der CCC nachgewiesen, dass es möglich ist, eine falsche Identität vorzutäuschen. Damit würde man Konten eröffnen können oder auch Zugang erhalten zur elektronischen Gesundheitsakte. Die Gematik, zuständig für die Digitalisierung des Gesundheitswesens, hat das Video-Ident-Verfahren für die elektronische Patientenakte deshalb gestoppt. Aber was ist mit den anderen Anbietern? Und ist die Sicherheit des Identitätsnachweises per Video wirklich massiv beeinträchtigt?
Stirbt das Verfahren gerade oder gibt es nichts zu beanstanden?
Das Video-Ident-Verfahren gibt es schon seit Jahren. Gerade Jüngere nutzen das Verfahren bei Online-Banken wie N26, aber auch Großbanken oder Sparkassen machen mit. Ein Banker eines großen deutschen Instituts sagt: "Video-Ident stirbt gerade." Offiziell dagegen beschwichtigen die Banken und weisen auf die Sicherheit des Verfahrens hin, das schließlich schon seit Jahren eingesetzt werde. Einer Umfrage der SZ zufolge plant auch keine namhafte Bank in Deutschland, das Video-Ident-Verfahren kurzfristig zu stoppen. Die Deutsche Kreditwirtschaft, Deutschlands wichtigster Interessenverband für Finanzinstitute, lässt wissen, das Verfahren werde "beanstandungsfrei genutzt" und sei zuletzt 2022 von der Bafin überprüft und für gut befunden worden.
Eine Sprecherin der Bafin wiederum betont: "Hinweise auf Sicherheitsprobleme oder Schwachstellen in Bezug auf das Identifizierungsverfahren nehmen wir sehr ernst." Allerdings sei eine abschließende Bewertung der Angriffsszenarien aktuell noch nicht möglich, da "maßgebliche" Einzelheiten noch nicht bekannt seien. Sollte es jedoch zur einer Einschränkung kommen, dürfte das die Banken hart treffen, insbesondere dann, wenn sie keine oder nur wenige Filialen haben.
Auch in der Versicherungswirtschaft herrscht Aufregung, ein einheitliches Vorgehen zeichnet sich derzeit nicht ab. Während der Gesamtverband GDV ebenfalls auf die Bafin verweist, bietet der genossenschaftliche Versicherer R+V Video-Ident zunächst nicht mehr an, steht aber im Kontakt mit seinem Video-Ident-Anbieter, um auszuloten, "mit welchen weiteren Maßnahmen die Sicherheit noch weiter verbessert werden kann", teilt das Unternehmen mit.
Dem zuständigen Bundesamt war die Sicherheitslücke schon länger bekannt
Für die Branche der Video-Ident-Anbieter kam der Vorstoß des Chaos Computer Clubs überraschend, sie hätten sich gewünscht, hört man aus der Branche, vorab über die Lücke informiert zu werden. Das sieht der für den Hack verantwortliche CCC-Sicherheitsforscher Martin Tschirsich anders. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sei diese Angriffsmöglichkeit schon lange bekannt, daher habe man die Behörde am Montag nur darüber informiert, dass man in Kürze die Meldung über den erfolgreichen Hack veröffentlichen werde.
Tschirsich sagt, man habe die Aktion schon "seit Längerem" vorbereitet. Ziel sei es gewesen zu zeigen, dass die theoretisch bekannte Lücke tatsächlich in der Praxis ausgenutzt werden kann und dass dies den Anbietern auch im Nachhinein nicht auffalle. Alle eröffneten Konten oder Zugänge hätten bei der Bekanntgabe noch funktioniert. Den Aufwand, der für die Überwindung der Sicherheitsmechanismen getrieben werden muss, hält Tschirsich für lediglich "moderat". Damit der Angriff funktioniere, brauche es zwei echte Ausweisdokumente, die jeweils einmal aus verschiedenen Perspektiven gefilmt werden müssen. Diese, so der Sicherheitsforscher, seien von Testpersonen zur Verfügung gestellt worden. Deren Identität wolle man nicht preisgeben.
Sehr kritisch reagierte der Digital-Verband Bitkom auf die Entscheidung der Gematik, Video-Ident sofort zu stoppen. "Wegen einzelner Sicherheitsvorfälle, die sich in der digitalen Welt ebenso wenig ausschließen lassen wie in der analogen Welt, darf man (...) nicht wie mit einem Bulldozer das Video-Ident-Verfahren als solches plattmachen." Anderswo sei man bereits weiter, so der Verband. "Länder wie Dänemark machen uns vor, wie sich Bürgerinnen und Bürger einfach, sicher und vertrauensvoll digital identifizieren können."
