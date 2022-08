Identifikationsverfahren per Video weist riesige Sicherheitslücken auf

(Quelle: Pixabay/Thedigitalartist) Identifikationsverfahren per Video weist riesige Sicherheitslücken auf

(Quelle: Pixabay/Thedigitalartist)

12. August 2022 - Der Chaos Computer Club weist auf gravierende Schwachstellen in der Identitätsbestimmungs-Software von Video-ID-Anbietern hin und bestätigt seine Behauptungen mit Hacks.





Für den Hack benötigte der CCC lediglich Open-Source-Software und rote Aquarellfarbe. Mittels videotechnischer Neukombinationen mehrerer Quell-Dokumente ist es dem Club dann gelungen, die Software des Video-Ident-Verfahrens auszutricksen. Hierfür waren keine Deep Fakes nötig, einfache Mittel und Uralt-Technik waren Täuschung genug für die KI-Systeme der Video-ID-Anbieter. Damit hat der CCC beispielsweise bei sechs verschiedenen Anbietern einer elektronischen Patientenkarte fremde Identitäten verifizieren lassen oder den Identifikationsdienst Verimi, der von internationalen Banken, Fintechs und Mobilitätsanbietern genutzt wird, ausgetrickst. Details zum Verfahren publizierte der CCC in einem 30-seitigen Per Video-Ident-Verfahren können Nutzer ihre Identität im Internet nachweisen, indem sie ein Video erstellen, das sie und ihr dazugehöriges Ausweisdokument zeigt. Dieses Video wird dann wiederum an einen Video-Ident-Anbieter geschickt, wo ein Mitarbeiter oder eine Software den Identitätsnachweis prüft und bestätigt. Anschliessend lassen sich EU-weit Verträge unterschreiben, Kredite beantragen oder Bankkonten anlegen. Was erstmals als simple digitale Identifikationslösung erscheint, weist aber ein enormes Betrugspotential auf, wie die ethischen Hacker des Chaos-Computer-Clubs (CCC) aus Deutschland melden . So lassen sich die Prüfungen mit einfachsten Mitteln austricksen, wie der CCC durch Hacks beweist.Für den Hack benötigte der CCC lediglich Open-Source-Software und rote Aquarellfarbe. Mittels videotechnischer Neukombinationen mehrerer Quell-Dokumente ist es dem Club dann gelungen, die Software des Video-Ident-Verfahrens auszutricksen. Hierfür waren keine Deep Fakes nötig, einfache Mittel und Uralt-Technik waren Täuschung genug für die KI-Systeme der Video-ID-Anbieter. Damit hat der CCC beispielsweise bei sechs verschiedenen Anbietern einer elektronischen Patientenkarte fremde Identitäten verifizieren lassen oder den Identifikationsdienst Verimi, der von internationalen Banken, Fintechs und Mobilitätsanbietern genutzt wird, ausgetrickst. Details zum Verfahren publizierte der CCC in einem 30-seitigen Bericht

Diese Hacks beweisen, was unter Datenschützer schon länger bekannt ist: Das Video (respektive Foto)-Ident-Verfahren genügt modernen Sicherheitsstandards nicht – auch die hoch angepriesenen KI-Systeme sind zu überlisten. Die Angriffe des CCC beweisen nämlich nicht nur, dass ein Hack möglich ist, sondern zeigen auch auf, dass dieser Hack nicht einmal schwierig ist. So schreibt der CCC, der Angriff sei in kurzer Zeit und mit geringem Aufwand durchzuführen, womit das Risiko weiterer Missbräuche als hoch einzuschätzen ist. Die Software des Video-Ident-Verfahrens, die den zu Identifizierenden anhand von Indizien wie sichtbaren Hologrammen oder der Mimik per KI-Verfahren analysiert, bedarf deshalb einer Überarbeitung: "Die Annahme, dass moderne Video-Ident-Verfahren die bekannten Schwächen durch den Einsatz von künstlicher Intelligenz beheben können, hat sich in der Praxis als falsch herausgestellt", wie Martin Tschirsich des CCC ausführt.



Erste Massnahmen wurden nach den erfolgreichen Hacks des CCC bereits getroffen. So untersagte beispielsweise der digitale Gesundheitsdienstleister Gematik das Video-Ident-Verfahren in der Telematikinfrastruktur. (rf)