Einfach die eigene Identität vor der Kamera bestätigen? Der Hack des CCC im Zusammenhang mit der elektronischen Patientenakte hat gezeigt: Das Prinzip Video-Ident ist kaputt. Jetzt weiter daran rumzudoktern, ist der falsche Weg. Ein Kommentar.
Ausweis in die Kamera halten, Gesicht daneben, zack: Identität bestätigt. So funktionieren Video-basierte Identifikationssysteme. Sie sparen Zeit und Wege. Nicht mehr zur Krankenkasse laufen, um zu beweisen, dass man wirklich man selbst ist. Nicht mehr zur Post und Ausweis am Schalter zücken für die Konto-Eröffnung. SIM-Karte vom Sofa aus registrieren. Es hätte so schön sein können.
Doch der IT-Sicherheitsforscher Martin Tschirsisch hat gezeigt: Video-Ident-Verfahren kann man überlisten – „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“, wie es in der Mitteilung des Chaos Computer Club dazu heißt. Mehrere gängige Video-Ident-Systeme konnte Tschirsisch austricksen, als Konsequenz verbot die Gematik Video-Ident-Verfahren als Identifizierungstechnologie für elektronische Patientenakten.
Tschirsisch hatte zwar elektronische Patientenakten als ein prominentes und wegen der Gesundheitsdaten besonders sensibles Beispiel gewählt. Doch das Problem hört da nicht auf: Video-Ident wird für alle möglichen Identifizierungsvorgänge genutzt – vom Leihauto bis zur Kreditkarte. „Von Zuhause aus oder unterwegs kostenlos legitimieren“, wirbt etwa eine Bank. „Es ist nicht möglich Videoident für einen Dritten durchzuführen“, heißt es als Antwort bei den häufigsten Fragen. „Video-Ident ist schnell, einfach und sicher“, steht auf einer Hilfeseite zur SIM-Karten-Freischaltung. Es wird höchste Zeit, die Websites zu aktualisieren.
Reißleine ziehen
Die Gematik hat die Reißleine gezogen, doch das kann sie nur für die digitale Gesundheitsinfrastruktur tun. Aber was ist mit all den SIM-Karten-Registrierungen oder den Kreditverträgen bei Banken? Hier wären die Bundesnetzagentur (BNetzA) und die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) zuständig.
Wir wollten wissen, ob die Aufsichtsbehörden auch ein Verbot von Video-Ident in Erwägung ziehen. Doch noch hat sich offenbar keine der beiden zu dem Schritt entschlossen. „Hinweise auf Sicherheitsprobleme oder Schwachstellen in Bezug auf das Identifizierungsverfahren nehmen wir sehr ernst und überprüfen diese“, heißt es auf Anfrage von der Bafin. Abschließend bewerten könne man das aber noch nicht, „da maßgebliche Einzelheiten noch nicht bekannt sind.“
Die Antwort der BNetzA klingt ähnlich: „Die in der Dokumentation durch den Chaos Computer Club dargestellten Angriffsvektoren auf bestimmte Identifizierungsverfahren nimmt die Bundesnetzagentur sehr ernst.“ Die Bundesregierung werde sie prüfen, sobald die konkreten Umstände der Angriffsszenarien bekannt sind. Und: „Video- und Autoidentifizierungsverfahren sind eine Brückentechnologie, die aufgrund ihrer Marktdurchdringung und Verfügbarkeit derzeit für Fernidentifizierungen genutzt wird.“
Gegenüber heise.de sagt ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI): „Bei videobasierten Fernidentifikationslösungen ist grundsätzlich eine Manipulation des Videostreams möglich, sodass videobasierte Lösungen nicht dasselbe Sicherheitsniveau erreichen können wie beispielsweise die Online-Ausweisfunktion des Personalausweises.“
Aktuelle Verfahren sind kaputt
Der CCC hat gezeigt: Die aktuellen Verfahren sind nicht sicher genug. Das BSI sagt, es gibt grundsätzliche Manipulationsmöglichkeiten. „Videoidentifizierungsverfahren sind risikobehaftet“, schrieb der Bundesdatenschutzbeauftragte in seinem Tätigkeitsbericht für das Jahr 2020. Die Financial Intelligence Unit des Zoll schreibt in ihrem Jahresbericht 2020: „Das Video-Ident-Verfahren bietet ein erhebliches Missbrauchspotential.“ Die Geldwäschebekämpfungsabteilung meint damit Social-Engineering-Angriffe, bei denen Betroffene dazu gebracht werden, ihre Ausweisdaten unter Vorwand zu offenbaren. Bereits in der Vergangenheit veröffentlichten IT-Sicherheitsforschende immer wieder Angriffsszenarien.
Wenn man all das zusammennimmt, lässt das nur einen Schluss zu: Video-Ident ist kaputt. Und zwar so kaputt, dass die Technologiebrücke nicht mit ein bisschen mehr Künstliche-Intelligenz-Mörtel hier und Deep-Learning-Magie da gekittet werden sollte. Wir sparen sonst nicht mit Kritik an der Gematik. Aber in dieser Situation hat sie das Richtige getan.
Dafür bekommt sie Gegenwind, unter anderem vom Bitkom. Der Branchenverband wirft der Gematik vor, den Patient:innen „einen Bärendienst“ erwiesen zu haben. Man dürfe nicht „wie mit einem Bulldozer das Video-Ident-Verfahren als solches platt machen“.
Identifizierung möglich machen
Aber – um die mäßig gute Analogie weiterzuführen – die Gematik hat gar keinen Bulldozer aufgefahren. Auch der CCC nicht. Jemand hat an einer Brückenfuge der Brückentechnologie gekratzt und sie ist zusammengefallen. Die einzig mögliche Konsequenz: Video-Ident darf da, wo wirklich eine einwandfreie Identifizierung der Nutzenden unbedingt notwendig ist, nicht mehr eingesetzt werden.
Der elektronische Personalausweis, der gerade für solche Anwendungszwecke geeignet sein soll, hat sich bis heute nicht durchgesetzt. „Rohrkrepierer“ nennt der CCC dieses Projekt.
Statt sich jetzt auf kreative Hacker:innen einzuschießen oder konsequentes Handeln als Digitalisierungshürde zu diskreditieren, sollte man sich fragen, warum so wenige dieses Identifizierungsmittel nutzen und anbieten wollen. Ein Aktivierungszwang der eID-Funktion hat nicht den Durchbruch gebracht und wird es auch in Zukunft nicht. Es braucht einen konsequenten Fokus auf sichere und datensparsame Nutzungsmöglichkeiten und eine offene Kommunikation.
Und eine echte Wahlfreiheit: Denn wer ein digitales Verfahren nicht nutzen will, muss auch weiterhin die Möglichkeit haben, seinen Ausweis vor Ort vorzuzeigen – und auch nur da, wo es wirklich nötig ist.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires