Sicherheitsmängel

Vorläufiges Aus für Videoident

11. August 2022, 15:00 Uhr | Lars Bube (mit Material der dpa) | Kommentar(e)
Personalausweis mit speziellen Identifikations- und Signatur-Funktionen
© Bundesministerium des Inneren

Wegen nachgewiesener Manipulationsgefahr hat der IT-Dienstleister Gematik den Krankenkassen die Nutzung des Videoident-Verfahrens vorläufig verboten. Auch in anderen Bereichen könnte das Aus bald folgen.

Kurz nachdem das Kraftfahrtbundesamt den digitalen Führerschein wegen erheblicher Sicherheitsmängel beim genutzten Foto-Ident-Dienst erneut stoppen musste, folgt nun schon die nächste peinliche Digitalisierungspanne. Erneut wurde sie maßgeblich vom IT-Security-Experten und Mitglied des Chaos Computer Clubs (CCC) Martin Tschirsich aufgedeckt und war nicht nur für ausgewiesene Sicherheitsfachleute längst absehbar. Nachdem Tschirsich und der CCC in den vergangenen Jahren wiederholt schwere Sicherheitsmängel in den Videoident-Verfahren demonstriert haben, dürfen diese nun von den deutschen Krankenkassen nicht mehr eingesetzt werden. Der zuständige IT-Dienstleister Gematik untersagte ihnen die Nutzung bis auf Weiteres. Ein Sprecher des Bundesgesundheitsministeriums begrüßte das Einschreiten von Gematik, da es sich bei den Patientendaten um sensible Informationen handele. Ferner erklärte er, man nehme die Situation auch über die Anwendung bei den Krankenkassen hinaus sehr ernst. Das Verfahren werde „sehr sorgfältig“ geprüft. Diese Prüfung beziehe sich auch grundsätzlich auf die Fortsetzung der Nutzung dieser Technologie.

Bei den Videoident-Verfahren laden Nutzerinnen und Nutzer ein Video von sich und ein Ausweisdokument hoch, anschließend werden die beiden Dokumente von menschlichen Prüfern oder Software abgeglichen. Neben der Anmeldung für Apps der Krankenkassen mit Zugang zu sensiblen Nutzerdaten werden die Systeme zum Beispiel auch bei der bei der Anmeldung beim Onlinebanking sowie von Carsharing-Diensten verwendet.

Warnung vor möglichen Schwachstellen des Verfahrens und Beweise für dessen Manipulierbarkeit gab es bereits seit einiger Zeit. Den finalen Ausschlag für ein Verbot lieferte nun aber erst ein ausführliches Papier des Chaos Computer Clubs, in dem die Experten beschreiben, wie sechs Videoident-Verfahren mit einem neuen, vereinfachten Angriff manipuliert werden könnten. Die Idee dabei ist, zwei oder mehr echte Identifikationsdokumente zu einem künstlichen neuen zu kombinieren. „Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen“, erläuterte der CCC. So könne man zum Beispiel das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes ersetzen. Auch anderer Elemente, etwa die Anschrift, können so verändert werden. „Der geringste Aufwand entsteht dem Angreifer, wenn er für die Vorbereitung des Angriffs kurzzeitig in den Besitz des ID-Dokuments der angegriffenen Person selbst gelangt“, warnte der CCC.

Zuerst erschienen auf ict-channel.com.


Verwandte Artikel

funkschau, dpa Deutsche Presse-Agentur GmbH

Anbieterkompass