Was ist „Video-Ident“ überhaupt?
Videobasierte Online-Identifizierung („Video-Ident“) ist ein Verfahren, das online zur Identifizierung von Personen eingesetzt wird. Durch dieses Verfahren muss man z.B. nicht mehr persönlich zu einer Bank gehen, um ein Konto zu eröffnen, sondern kann dies bequem von zu Hause aus erledigen.
Der Ablauf einer solchen Video-Identifizierung ist in der Regel immer ähnlich. Man ruft über einen Computer mit einer Webcam oder per Smartphone über einen Link die Identifizierungsstelle an. Daraufhin muss man Angaben zu seinen Stammdaten machen. Anschließend wird ein Ausweisdokument vor die Kamera gehalten und in verschiedenen Positionen gezeigt. So soll zum einen die Echtheit des Dokuments und zum anderen die korrekte Identität der Person bestätigt werden. Dabei kann das Verfahren von einem Menschen oder vollautomatisch durch eine Software durchgeführt werden.
Angriff durch den Chaos Computer Clubs
Ein Dokument des Chaos Computer Clubs („CCC“) erläutert und dokumentiert, wie – erfolgreich – versucht wurde, unterschiedliche Video-Ident-Verfahren auszutricksen. Dabei wurden Ausweisdokumente so fotografiert und abgefilmt, dass anschließend in der Video-Ident-Überprüfung optische Echtheitsmerkmale wie Hologramme mit technischer Hilfe über die Ausweisfälschung gelegt werden konnten. Mit diesem Verfahren ist es dem CCC bereits mit geringer Vorbereitungszeit und verbraucherzugänglicher Technik gelungen, Verfahren von mehr als sechs Video-Ident-Anbietern zu täuschen. Jeder Angriffsversuch gelang und wurde nicht erkannt. Teilweise wurde ein Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO geltend gemacht, um die Videoaufnahmen des Identifizierungsverfahrens einsehen zu können. In den Videos ließen sich stellenweise Hinweise auf die durchgeführten Manipulationen erkennen, die von den Anbietern jedoch in keinem Fall zur Ablehnung des Video-Idents führten.
Auswirkung und Folgen
Der CCC konnte somit Zugriff auf die elektronische Patientenakte inklusive aller dazugehörigen, sensiblen Daten einer (eingeweihten) Person erlangen. Ebenso können diese Angriffe bei der Erstellung von elektronischen Signaturen eingesetzt werden. Diese gelten als digitales Pendant zu handschriftlichen Unterschriften und haben vor Gericht sogar ähnliche Beweiskraft. Folglich erleichtern aktuelle Video-Ident-Verfahren kriminellen den Zugang zu sensiblen Daten und erleichtern Identitätsdiebstahl.
Deshalb rät der CCC vom Einsatz des Video-Idents ab. Bereits 2019 veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit mit dem Tätigkeitsbericht 2020 eine ebenso niederschmetternde Grundsatzentscheidung: „Videoidentifizierungsverfahren sind risikobehaftet. Wo ein sehr hohes Vertrauensniveau erreicht werden muss, sind sie datenschutzrechtlich sogar unzulässig.“ Auch das Bundesamt für Sicherheit in der Informationstechnik wies bereits 2017 die Angreifbarkeit des Video-Ident-Verfahrens mit Videobearbeitung nach.
Die Bundesregierung und Bundesnetzagentur halten bisher trotz der Schwachstellen weiterhin an dem Verfahren fest. Dies mag daran liegen, dass durch das dargestellte Verfahren Prozesse erheblich vereinfacht werden können und momentan keine Alternative existiert.
Gerade in Zeiten von immer fortschrittlicherer KI und besser werdenden „Deepfakes“ steigt die Gefahr im Zusammenhang mit den aktuellen Sicherheitsbestimmungen beim Video-Ident. Zwar behaupten einige Anbieter, selbst auf Software mit künstlicher Intelligenz zu setzen, allerdings zeigt der Angriff des CCC, dass es – falls dem so ist – erfolglos geschieht. Deshalb lautet ein Vorschlag des CCC, dass Anbieter der Video-Identifizierung nachweisen müssen, ob und gegen was ihr Verfahren abgesichert ist. In der Zwischenzeit sollte das Video-Ident-Verfahren zumindest nicht dort eingesetzt werden, wo ein hoher Schutzbedarf besteht.
Recent Comments