Video-Ident gehackt

0
852
Einfach seinen Personalausweis in die Kamera halten, ein kleines Video aufnehmen und schon ist die eigene Identität verifiziert – das war die Idee. Doch laut Chaos Computer Club kann jeder "interessierte Hobbyist" Video-Ident hacken. (Foto: BS/Gerd Altmann, pixabay.com)

Der Chaos Computer Club (CCC) hat das Online-Identifikationsverfahren Video-Ident gehackt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte schon seit 2017, dass das Verfahren nicht sicher sei. Jetzt haben die gesetzlichen Krankenkassen Video-Ident verboten.

Video-Identifikation ist gang und gäbe. Im Gegensatz zu der elektronischen Ausweisfunktion des Personalausweises verwenden viele Bürgerinnen und Bürger das Verfahren, um online ihre Identität zu bestätigen. Das Verfahren wurde bis vor ein paar Tagen von Krankenkassen genutzt, um Versicherte zu identifizieren, die online zum Beispiel eine elektronische Patientenakte (ePA) beantragen. Aber auch manche Banken lassen sich so die Identität von Kundinnen und Kunden nachweisen, die online ein Konto eröffnen wollen.

Es gibt verschiedene Anbieter für das Verfahren, doch das Prinzip ist immer dasselbe. Während eines Video-Calls oder einer Video-Aufzeichnung hält man seinen Personalausweis in die Kamera. Um Fälschungen zu verhindern, soll der Ausweis gekippt werden, sodass die eingearbeiteten Hologramme erscheinen. Aber wie Martin Tschirsich vom Chaos Computer Club jetzt gezeigt hat, sind solche Sicherheitsmaßnahmen bei Video-Ident nicht ausreichend, um eine Manipulation zu verhindern.

BSI warnte

Die ungenügende Sicherheit des Verfahrens ist schon lange bekannt. Vor fünf Jahren führte das Institut für Visual Computing (IVC) der Hochschule-Bonn-Rhein-Sieg im Auftrag des BSI einen erfolgreichen Hack durch. Dabei überlagerten die Angreifer einen mit Farbdrucker gefälschten Ausweis mit computergenerierten Hologrammen.

Etwas später kam es zu einem erfolgreichen Deep-Fake-Angriff, bei dem das Gesicht einer Person im Video-Ident-Verfahren in Echtzeit mit dem Gesicht aus dem Ausweis ersetzt wurde. Der neue Angriff ist laut Tschirsich einfacher als seine beiden Vorgänger.

Tschirsichs Angriff

Laut Tschirsichs Bericht hat das Verfahren eine signifikante Schwachstelle. Statt der echten Person und des echten Dokuments, kontrolliert das Verfahren die Übereinstimmung zwischen Person und Ausweis nur anhand des Videobilds. Dieses stammt von demjenigen, der sich identifizieren will. Daher kann er es manipulieren.

Tschirsich beschreibt, dass der Angreifer sich selbst filme, wie er einen Personalausweis in die Kamera hält und das erforderliche Prozedere durchgeht. Danach filme er den Personalausweis einer anderen Person. Anschließend lege der Angreifer Teile des Videos des fremden Personalausweises – das Passbild, die Anschrift, etc. – über sein Originalvideobild. Diese Techniken existieren im Wesentlichen seit mehr als einem Jahrzehnt.  

“Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar”, urteilt der CCC.

Mit den gefälschten Videos gelang es Tschirsich nach eigenen Angaben, sich Zugang zu den Patientendaten einer anderen Person zu verschaffen. Wegen eines Datenlecks habe er durch den gehackten Video-Ident sogar auf Kreditverträge von Privatverbrauchern zugreifen können.

Kein Video-Ident mehr bei Krankenkassen

Der CCC-Hacker fordert Veränderungen: “Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Video-Ident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten.”

Die Krankenkassen sind dieser Forderung nachgekommen. Nach Bekanntwerden des Hacks hat die Gematik GmbH den Krankenkassen die Nutzung des Video-Ident-Verfahrens untersagt. Die Mehrheit der Anteile der Gematik hält das Bundeministerium für Gesundheit (BMG). Es ist die Aufgabe der Gematik sich um die elektronische Gesundheitskarte und ihre Infrastruktur in Deutschland zu kümmern.

Aus dem Branchen-Verband Bitkom e.V. kam Kritik an dem Verbot. Nicht alle Video-Ident-Verfahren seien gehackt worden.Wegen einzelner Sicherheitsvorfälle, die sich in der digitalen Welt ebenso wenig ausschließen lassen wie in der analogen Welt, darf man aber nicht wie mit einem Bulldozer das Video-Ident-Verfahren als solches plattmachen“, hieß es aus dem Verband. Die Krankenkassen sollten das Verfahren wieder aufnehmen.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here