Technologie

Chaos Computer Club hackt Videoident und entlarvt Schwachstellen

11. Aug 2022
Video-Ident, Chaos Computer Club
unsplash.com/ Clay Banks
geschrieben von Beatrice Bode

Der Chaos Computer Club hat die Videoident-Verfahren mehrer Dienstleister gehackt und Schwachstellen entlarvt. Die Hacker bezeichneten die Ausweismethode wiederum als „Totalausfall“. Die deutschen Krankenkassen mussten das System bereits abschalten. 

Vergessene Passwörter wiederherstellen, Bankkonten eröffnen oder Mobilfunkanträge abschließen: All das und mehr lässt sich heutzutage online erledigen. Denn das ermöglicht das sogenannten Videoident-Verfahren, mit dem sich die eigene Identität per Smartphone oder Computer nachweisen lässt.

Allerdings ist die Methode nicht so sicher wie bisher angenommen. Bereits zu Beginn der Woche hatte der Chaos Computer Club einen Bericht veröffentlicht, der dazu führte, dass Krankenkassen das Video-Ident-System abschalten mussten.

Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Homeoffice
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen

Nun zeigten die Computersicherheits-Expert:innen in einer ausführlichen Erklärung, wie sie das Video-Ident-System überlisten konnten.

So überlistet der Chaos Computer Club Videoident-Verfahren

Wer sich online ausweisen möchte, wird während des Videoudent-Verfahrens von einem Serviceangestelen dazu aufgefordert, den Personalausweis in verschiedenen Winkeln vor die Kamera zu halten.

Diesen Vorgang nutzte der Chaos Computer Club, um den Videoanruf technisch zu manipulieren. Dazu erstellten die Hacker zunächst einen digitalen Zwilling eines echten Ausweisdokuments, bei dem sie den Namen, die Adresse sowie das Bild ersetzten. Per Software werden dann das originale sowie das gefälschte Dokument in einem Video zusammengeführt.

Beim Anruf des Videoident-Dienstes müssen Anrufer:innen dann den Ausweis ins Bild halten, ihn bewegen und bei Bedarf bestimmte Stellen mit den Fingern abdecken. Dazu wurde der von der Software erstellte virtuelle Ausweis in Videoform abgespielt.

Dank der mittelmäßigen Kameraqualität der Smartphones konnten Mitarbeitende des Ident-Dienstes keinen Unterschied zwischen dem Video und einem echten Dokument erkennen.

Mit dem Verfahren überlistete der Chaos Computer Club insgesamt sechs nationale sowie internationale Anbieter:innen des Video-Ident-Verfahrens. Dabei wurde bei einem Identifizierungsanruf bei einem menschlichen Operator ein Datenleck festgestellt: Signierte Kundendokumente, darunter Kreditverträge von Privatverbraucher:innen, waren zugänglich.

Auch Laien können Video-Ident überlisten

Der Chaos Computer Club kritisiert im Zuge seiner Untersuchungen unter anderem, dass seine Hackangriffe sogar dann erfolgreich waren, wenn durch die Videomanipulation entstandene Fehler im Ausweisdokument sichtbar waren.

Die Sicherheitsexpert:innen gehen davon aus, dass auch Laien den Angriff mithilfe der nötigen Ausrüstung sowie einer entsprechenden Anleitung durchführen können.

Alle zur Vorbereitung notwendigen Informationen waren öffentlich zugänglich, inklusive Informationen über die ausgenutzte Schwachstelle selbst.

Video-Ident-Verfahren ist ein Totalausfall

Der Chaos Computer Club bezeichnet die Sicherheit der Video-Ident-Verfahren als „Totalausfall“. Zudem bestätigten die Testangriffe die in der Vergangenheit von Datenschützer:innen ausgesprochenen Bedenken.

Der Bundesregierung seien allerdings bisher keine konkreten Sicherheitsvorfälle bekannt gewesen. Einen konkreten Sicherheitsvorfall liefere der Chaos Computer Club daher gern und melde Handlungsbedarf an.

Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Video-Ident zu setzen, wo durch Missbrauch potenizell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten.

Zudem sollen die Verantwortlichen der Ident-Verfahren nun auch abwägen, wie mit bereits durchgeführten Identitätsfeststellungen umgegangen werde.

Auch interessant: 

Unsere Empfehlungen für dich

Über den Autor

Beatrice Bode

Beatrice ist Multi-Media-Profi. Ihr Studium der Kommunikations - und Medienwissenschaften führte sie über Umwege zum Regionalsender Leipzig Fernsehen, wo sie als CvD, Moderatorin und VJ ihre TV-Karriere begann. Mittlerweile hat sie allerdings ihre Sachen gepackt und reist von Land zu Land. Von unterwegs schreibt sie als Autorin für BASIC thinking.

Zu allen Artikeln