Der Chaos Computer Club hat die Videoident-Verfahren mehrer Dienstleister gehackt und Schwachstellen entlarvt. Die Hacker bezeichneten die Ausweismethode wiederum als „Totalausfall“. Die deutschen Krankenkassen mussten das System bereits abschalten.
Vergessene Passwörter wiederherstellen, Bankkonten eröffnen oder Mobilfunkanträge abschließen: All das und mehr lässt sich heutzutage online erledigen. Denn das ermöglicht das sogenannten Videoident-Verfahren, mit dem sich die eigene Identität per Smartphone oder Computer nachweisen lässt.
Allerdings ist die Methode nicht so sicher wie bisher angenommen. Bereits zu Beginn der Woche hatte der Chaos Computer Club einen Bericht veröffentlicht, der dazu führte, dass Krankenkassen das Video-Ident-System abschalten mussten.
Nun zeigten die Computersicherheits-Expert:innen in einer ausführlichen Erklärung, wie sie das Video-Ident-System überlisten konnten.
So überlistet der Chaos Computer Club Videoident-Verfahren
Wer sich online ausweisen möchte, wird während des Videoudent-Verfahrens von einem Serviceangestelen dazu aufgefordert, den Personalausweis in verschiedenen Winkeln vor die Kamera zu halten.
Diesen Vorgang nutzte der Chaos Computer Club, um den Videoanruf technisch zu manipulieren. Dazu erstellten die Hacker zunächst einen digitalen Zwilling eines echten Ausweisdokuments, bei dem sie den Namen, die Adresse sowie das Bild ersetzten. Per Software werden dann das originale sowie das gefälschte Dokument in einem Video zusammengeführt.
Beim Anruf des Videoident-Dienstes müssen Anrufer:innen dann den Ausweis ins Bild halten, ihn bewegen und bei Bedarf bestimmte Stellen mit den Fingern abdecken. Dazu wurde der von der Software erstellte virtuelle Ausweis in Videoform abgespielt.
Dank der mittelmäßigen Kameraqualität der Smartphones konnten Mitarbeitende des Ident-Dienstes keinen Unterschied zwischen dem Video und einem echten Dokument erkennen.
Mit dem Verfahren überlistete der Chaos Computer Club insgesamt sechs nationale sowie internationale Anbieter:innen des Video-Ident-Verfahrens. Dabei wurde bei einem Identifizierungsanruf bei einem menschlichen Operator ein Datenleck festgestellt: Signierte Kundendokumente, darunter Kreditverträge von Privatverbraucher:innen, waren zugänglich.
Auch Laien können Video-Ident überlisten
Der Chaos Computer Club kritisiert im Zuge seiner Untersuchungen unter anderem, dass seine Hackangriffe sogar dann erfolgreich waren, wenn durch die Videomanipulation entstandene Fehler im Ausweisdokument sichtbar waren.
Die Sicherheitsexpert:innen gehen davon aus, dass auch Laien den Angriff mithilfe der nötigen Ausrüstung sowie einer entsprechenden Anleitung durchführen können.
Alle zur Vorbereitung notwendigen Informationen waren öffentlich zugänglich, inklusive Informationen über die ausgenutzte Schwachstelle selbst.
Video-Ident-Verfahren ist ein Totalausfall
Der Chaos Computer Club bezeichnet die Sicherheit der Video-Ident-Verfahren als „Totalausfall“. Zudem bestätigten die Testangriffe die in der Vergangenheit von Datenschützer:innen ausgesprochenen Bedenken.
Der Bundesregierung seien allerdings bisher keine konkreten Sicherheitsvorfälle bekannt gewesen. Einen konkreten Sicherheitsvorfall liefere der Chaos Computer Club daher gern und melde Handlungsbedarf an.
Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Video-Ident zu setzen, wo durch Missbrauch potenizell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten.
Zudem sollen die Verantwortlichen der Ident-Verfahren nun auch abwägen, wie mit bereits durchgeführten Identitätsfeststellungen umgegangen werde.
Auch interessant:
