Was sind eigentlich Daten im Darknet wert?

Ständig liest man ja von Datenlecks, bei denen persönliche Daten von Benutzern öffentlich oder von Hackern (z.B. bei Ransomware-Befall) abgezogen wurden. Aber was ist eigentlich eine Kopie von Kreditkartendaten, Krankenakten, Pässen etc. im Darknet wert? Und das Verfahren des Identitätsnachweises mit Selfie und Fotos von Ausweisdokumenten, welches gerade ausgeweitet wird, dürfte noch für manchen Ärger sorgen.

Sicherheitsanbieter Kaspersky hat eine Zusammenstellung der "Handelspreise" solcher Daten für das Darknet veröffentlicht, die mir über den nachfolgenden Tweet die Tage unter die Augen gekommen ist.

Die komplette Analyse von Kasperky lässt sich diesem Artikel nachlesen. Während persönliche Daten wie Name, Adresse und E-Mail bereits für 50 Cent zu haben sind, bringen Scans von speziellen Dokumenten wie Führerschein oder Reisepass richtig Geld.

Selfie und Ausweisdokumente

Mangels funktionierendem Authentifizierungsverfahren über den Personalausweis (das geht zwar, ist aber so komplex, dass das kaum einer nutzen kann), kommt die Videoidentifizierung immer mehr zum Einsatz. Dabei müssen Personen vor einer Webkamera sitzen und ihren Ausweis mit Vor- und Rückseite zeigen. Speziell das Thema "Selfie mit persönlichen Ausweisdokumenten" dürfte uns zukünftig noch Bauschmerzen bereiten, da immer mehr Firmen zu einer Online-Identifizierung übergehen.

Ich selbst musste das bisher zwei Mal durchführen (einmal zur Aktivierung einer SIM-Karte und einmal, um eine Crypto-Wallet zu registrieren). Aber diese Art der Authentifizierung wird zunehmen, da der Gesetzgeber immer häufiger einen Identitätsnachweis verlangt. Die Telekom springt beispielsweise auf diesen Zug und nutzt eine vollautomatisierte Online-Identifizierung, wie ich einer Information von Anfang Februar 2021 entnehmen konnte.

Telekom nutzt das automatisiert

Die Telekom führt als erster Telekommunikationsanbieter zur digitalen Identitätsfeststellung von Kunden das Selfie-Ident-Verfahren der Nect GmbH ein. Selfie-Ident ist eine voll digitale Lösung zur Identitätsfeststellung von Kunden. Dabei werden per Smartphone Vorder- und Rückseite des Personalausweises aufgenommen und auf Echtheit geprüft. Anschließend wird per Selfie-Kamera ein Video der Person gemacht (Lebendigkeitsprüfung). Schließlich wird das Foto auf dem Personalausweis mit dem Gesicht des zu identifizierenden Kunden abgeglichen und es werden weitere Sicherheitsmerkmale des Ausweises überprüft. Damit will die Nect GmbH sicherstellen, dass Ausweis und Person tatsächlich zusammengehören (s. Video). Die Auswertung der Daten läuft voll automatisiert und mit Unterstützung von künstlicher Intelligenz (KI).

Eine Identifikation mit diesem neuartigen Verfahren, bei dem erstmals ausschließlich Video eingesetzt wird, dauert zwei Minuten. Der Kunde benötigt dafür ein Smartphone, die App von Nect, und seinen Ausweis und schon kann er sich bei der Telekom identifizieren. Das Vresprechen: Der Kunde muss keine Wartezeit mitbringen und auch nicht auf die Mitwirkung eines Servicemitarbeiters hoffen. Darin unterscheidet sich Selfie-Ident von anderen Identitätsverfahren. Selfie-Ident steht somit auch rund um die Uhr zur Verfügung. Zum Start kann neben dem deutschen Personalausweis auch der elektronische Aufenthaltstitel dafür genutzt werden. Auch können hiermit Identifizierungsverfahren in Telekom Shops und bei Partnershops durchgeführt werden.

Die Lizenz zum Identitätsklau?

Wenn ich die Ausführungen im obigen Abschnitt lese, kommt es mir wie die Lizenz zum Identitätsklau vor. Eine App, die vorgibt, die Daten zur Authentifizierung zu ermitteln, diese aber an Dritte weiterleitet. Schwachstellen in Apps und Geräten, über die sich solche Daten abziehen lassen. Oder auch Phishing-Kampagnen, die vorgeben, der Nutzer müsse sich jetzt mit seinem Online-Konto einer Identitätsprüfung unterziehen. Und schlussendlich noch die Szenarien, wo die von Firmen gesammelten Daten einer Identitätsprüfung durch einen Hack abfließen. Schöne neue Welt.