Dem Identifikationsdienst (ID-Dienst) Verimi, die im Bereich Foto-Ident-Verfahren unterwegs sind und auch als Zahlungsinstitut fungieren) droht wohl von verschiedenen Seiten Ärger. Es wird berichtet, dass der Dienst die Bundesfinanzaufsicht (BAFIN) beim Produkt "Verimi Pay" getäuscht haben soll. Dann gibt es Kritik an einer nicht rechtzeitig eingestandenen Datenpanne. Und die von Verimi angebotene Identifikation eines Nutzers samt Speicherung digitaler Identitäten in einer ID-Wallet scheint sich auch leicht austricksen zu lassen.
Anzeige
Wer ist Verimi?
Vorab vielleicht einige Informationen zu Verimi. Das Unternehmen ist im Bereich Identifikationsdienste unterwegs. Das reicht von der Bestätigung einer Identifikation per Video-Ident-Verfahren hin zu ID Wallets, in denen digitale Identitäten wie Führerscheine etc. gespeichert werden können. Auch eine Lizenz der Bafin als Zahlungsinstitut / Zahlungsdienstleister zu fungieren, ist wohl vorhanden.
Auf der Firmenwebseite heißt es beispielsweise zu den Vorteilen des Verimi-Wallet:
Einmal kostenlos angelegt, können Sie Ihre gespeicherten Daten immer wieder dann einsetzen, wenn Sie online nachweisen wollen, wer Sie sind. Mit Verimi haben Sie alle Ihre Identitätsdaten an einem Ort.
Es wird für weitere Leistungen wie das Foto-Ident-Verfahren von Veriff geworben, mit denen sich die (z.B. von Banken geforderte) Identität einer Person mittels Ausweis bestätigt werden können soll.
Anzeige
Foto-Ident-Verfahren von Veriff
Verimi bietet seinen Nutzern die Möglichkeit, ihren Ausweis oder Führerschein mittels eines Foto-Ident-Verfahrens in das Verimi ID-Wallet zu laden. Die Foto-Ident-Prüfungen führt die Firma Veriff in unserem Auftrag durch. Veriff ist ein europaweit führender Anbieter in diesem Segment und das Foto-Ident-Verfahren wird von großen Anbietern standardmäßig angewendet. Neben internationalen Banken, FinTechs und Mobilitätsanbietern nutzen auch große Verlage die Foto-Ident-Prüfungen von Veriff.
Man kann also die digitale Wallet zur Ablage von Ausweisdokumenten in elektronischer Form verwenden – eigentlich eine komfortable Geschichte. Eine weitere angepriesene Leistung ist die Möglichkeit zur digitalen Unterschrift, die rechtsgültig und digital bei Verimi Partnern funktionieren soll. Egal, ob Anträge, Verträge oder Kündigungen: Mit Verimi unterschreiben Sie PDF-Dokumente online mit nur einem Klick – heißt es auf der Webseite.
Dazu ist aber in allen Fällen eine einmalige Verifikation erforderlich. Zudem muss man sich bei Verimi registrieren und die Zugangsdaten (auch für Kommunikation mit Partnern) nutzen. Klingt gut, soll ja auch alles schnell gehen – ob es auch funktioniert und vor allem sicher ist?
Foto-Ident-Verfahren sicher?
Es ist legitim, für eine solche Leistung zur Identifikation zu werben. Banken und FinTechs sowie Mobilitätsanbieter greifen wohl auf so etwas zurück. Aber ist das Verfahren auch sicher? Interessant ist, was am 6. August 2022 auf der Verimi-Webseite dazu zu finden ist.
In einem Artikel auf Spiegel Online vom 5. August 2022 behauptet ein „IT-Sicherheitsforscher", dass es ihm gelungen sei, das Veriff Foto-Ident-Verfahren mittels gefälschter Dokumente auszutricksen und gefälschte Identitäten zu erzeugen. Wir haben von diesem Fall erst aus den Medien erfahren, nehmen den Vorgang sehr ernst und haben mit Veriff umgehend eine Überprüfung der Abläufe eingeleitet.
Den Artikel von Spiegel Online kannte ich nicht – aber ich bin bereits am 4. August 2022 über eine Serie von Tweets von Martin Tschirsich (@mtschirs) gestolpert, die mich stutzen ließ.
Die Aussage von Tschirsich ist, dass das Identifikationsverfahren von Verimi nicht funktioniert und er sich beliebigen Unsinn, bestätigt vom Anbieter des ID-Verfahrens, als digitaler Identitätsnachweis in seiner Verimi ID-Wallet ablegen kann.
Die obigen Tweets und dieser Start-Tweet hier sind auch die Basis des Spiegel Online-Artikels, der eklatante Mängel im Konzept des Anbieters Verimi und dessen ID Wallet offen legt.
Über den Spiegel-Artikel und einen Beitrag von Lilith Wittmann wird offen gelegt, dass der ID-Dienstleister Verimi unter anderem der Allianz, dem Verlag Axel Springer, der Bundesdruckerei, der Deutschen Telekom, Mercedes-Benz, Samsung und Volkswagen gehört. Wenn ein Anbieter mit solchem Hintergrund derart eklatant patzt, ist in meinen Augen Hopfen und Malz verloren. Denn der Anbieter hätte gewarnt sein müssen – da 2021 bereits das Projekt "digitale Führerschein" von Ex-Verkehrsminister Andreas Scheuer (CSU) gefloppt ist – und die App von Digital Enabling nach einer Woche zurückgezogen werden musste (siehe diesen Golem-Artikel).
Im letzten Tweet mit dem Hinweis auf den Marketing-Gag und den Einsatz im Ausland verlinkt Tschirsich auf diesen heise-Beitrag aus 2018. Dort geht es um den Vorwurf, dass Schwächen beim Foto-Ident-Verfahren dazu geführt haben könnten, dass bei der Bank N26 mittels gefälschter Ausweisdokumente nicht regulär identifizierte Konten eröffnet wurden. Die Bafin hatte damals ein Prüfverfahren eingeleitet.
Bin ich im Zirkus, wo ein Illusionskünstler vor meinen Augen nicht nur eine zersägte Jungfrau, sondern auch meine (Digitale) Identität verschwinden lässt? Die Aussage zur Unsicherheit des Foto-Ident-Verfahrens und dessen Einsatz in Deutschland in Sektoren ohne besondere Regulierung korrespondiert auch mit meinem persönlichen Bauchgefühl.
Im Fall der Verimi Wallet-ID-App ist es so, dass der digitale Führerscheinnachweis höchstens gegenüber einer Mietwagenfirma als Nachweis geeignet ist – in einer Polizeikontrolle hat das keinen Bestand – da nicht rechtssicher. Wäre ja auch der Treppenwitz der Geschichte: Die alten, grauen und roten Führerscheine werden aktuell auf das EU-Führerscheinformat mit Plastikkarte umgestellt und mit Merkmalen ausgestattet, die Fälschungen unterbinden sollen. Da kann eine App, der ich beliebige Inhalte unterschieben kann, beliebig viel "digital" versprechen – das wird nix.
Vorwurf: Täuschung der Bafin
Auf diesen Sachverhalt bin ich einmal bei den Kollegen von heise gestoßen, wobei Sicherheitsforscherin Lilith Wittmann das Ganze hier in epischer Breite aufbereitet. Der Sachverhalt:
- Seit 2019 besitzt Verimi wohl die Lizenz, um die digitale Identität von Menschen anhand des Personalausweises zu bestätigen.
- Idee war, die Daten der bestätigten digitalen Identitäten zu speichern und dann anderen Unternehmen bereitzustellen.
- Rechtliche Hürde: Ausweisdaten dürfen nur Stellen speichern, die unter das Geldwäschegesetz (GWG) fallen, also Banken.
- Eine Weitergabe der Daten an Dritte ist problematisch (DSGVO), es sei denn, es handelt sich um dauerhaft und rechtssicher gespeicherte Identitätsdaten zur Verhinderung von Geldwäsche.
- Daher entschied sich Verimi ein Zahlungsinstitut zu werden und gründete die Dienstleistung "Verimi Pay". Für die Tätigkeit als Zahlungsdienstleister benötigt man die Genehmigung (Lizenz) der Bafin.
Die Lizenz der Bafin kann ein Unternehmen schnell verlieren, wenn es Auflagen und Prüfungen nicht besteht. Unter anderem gibt es die Auflage, monatlich die Anzahl der durchgeführten Transaktionen an die Bafin zu melden. Das Unternehmen muss also nachweisen, dass es als Zahlungsinstitut tätig ist. Eine Marktsättigung macht es aber für Anbieter schwer, entsprechende Partner zu finden, die Transaktionen über "Verimi Pay" abwickeln. Wittmann zeichnet in ihrem Artikel nach, dass bereits im Sommer 2019 der Entzug der Bafin-Lizenz wegen fehlender Aktivitäten drohte – es wurden mindestens fünf Kunden gebraucht, die "Verimi Pay" in ihren Online-Shops integrieren.
Im November 2019 waren drei Partner (aus dem Umfeld der Eigentümer) gefunden, die "Verimi Pay" in ihren Shops integrierten. Da fehlte noch was und es muss was passieren. Am 13.11.2019 rief Verimi CEO Roland Adrian die 80 Mitarbeiter auf, mindestens fünf Zahlungen über Shops mit "Verimi Pay" durchzuführen. Gehofft wurde auf 2.000 Transaktionen (die vermutete Schwelle, ab der die Bafin eine Tätigkeit als Zahlungsinstitut anerkennt), binnen einer Woche wurden 1,500 Transaktionen erreicht. Dabei bildete der von der Photodruck PixArt GmbH betriebene Onlineshop photo-druck.de einen Dreh- und Angelpunkt. So scheint es Mitteilungen zu geben, dass Team-Tassen und Urlaubskalender für die Belegschaft über den Onlineshop und Verimi Pay gekauft wurden, wobei Werksstudenten (möglicherweise auch Studentinnen) im Einsatz waren. Niederungen des Tagesgeschäfts halt eben.
Bei Interesse lassen sich die Verflechtungen bei Lillith Wittmann hier nachlesen – dort sind die betreffenden internen Mitteilungen auch als Screenshots dokumentiert. Öffentlich wurde das Ganze, weil ehemalige Verimi-Angestellte den Vorwurf erhoben, dass die Transaktionszahlen künstlich in die Höhe getrieben worden seien. Es könnte also auf eine Prüfung der Bafin hinauslaufen, und wenn sich das alles bewahrheitet, was da im Raum steht, könnte der Entzug der Lizenz drohen.
Datenschutzverstöße der Verimi GmbH
Im Sinne "aller guten Dinge sind drei" gibt es eine vermutete Datenpanne bei der Verimi GmbH (der Tagesspiegel berichtet hinter einer Paywall). Von Frag den Staat gibt es eine Anfrage an die Berliner Beauftragte für Datenschutz und Informationsfreiheit die wohl auch erfolgreich war. Es ging um Unterlagen zu Datenschutzverstößen der Verimi GmbH. Kernpunkt der Antwort der Beauftragten:
Ihre o. g. E-Mail liegt mir vor und ist hier zum Geschäftszeichen 1391.215 veraktet. Hierzu teile ich Ihnen Folgendes mit: Es ist hier ein seit Ende Oktober 2021 abgeschlossener Vorgang vorhanden (Az. 535.3049), dem eine Datenpannenmeldung der o. g. GmbH von September 2021 zugrunde liegt.
Wenn ich nichts übersehen habe, geht aus den kostenpflichtig an Frag den Staat übermittelten Unterlagen hervor, dass es ein Prüfverfahren gegen die Verimi GmbH wegen möglicher Datenschutzverstöße gibt, dieses aber noch bis zum 4. November 2022 läuft. Aktuell ist wohl noch nichts öffentlich, was für ein Datenschutzverstoß vorliegen könnte.
Wenn ich mir aber den obigen Abriss ansehe, dürfte es, wenn sich die Vorwürfe bestätigen, eng für den Anbieter und bestimmte Geschäftsmodelle werden.
Anzeige
Wir müssen hier natürlich auch streng unterscheiden zwischen Foto-Ident und Video-Ident. Nicht mal N26 nutzt Foto-Ident (läuft über Video, mit schwankendem Perso vor der Kamera wegen den Hologrammen). Die osteuropäischen Mitarbeiter beenden gerne mitten im Gespräch die Verbindung, weil deren Callcenter a) nicht genug Bandbreite hat und b) die Authentifizierung ihnen zu lange dauert (provisions-basiert).
Das man 'n Foto-Ident-Verfahren austricksen kann, sollte jedem halbwegs klar denkendem Menschen klar sein.
Was mich, insbesondere hier in Deutschland, bei Kontoeröffnungen und/oder -bestätigungen doch immer und immer wieder penetrant stört ist der Umstand, daß praktisch keine Bank, kein Anbieter, kein Dienstleister Gebrauch von der eID des Personalausweises macht.
Gerade *das* war doch der ursprüngliche Sinn hierfür und so unheimlich kompliziert ist die Einbindung in die Infrastruktur nun auch wieder nicht.
Persönlich verzichte ich seit jeher auf derlei Foto- und Video-Ident-Verfahren. Das aus einem sehr, sehr einfachen Grund: Ich gebe meine Kamera nur ungerne Dritten frei, ich mag es nicht Fremde in mein Wohnumfeld schauen zu lassen und insgesamt fühle ich mich dabei äußerst unwohl. Ergo Post-Ident, weil nichts anderes angeboten wird.
Halt Stop, mein regelmäßig angefordertes erweitertes Führungszeugnis kann ich mittels eID anfordern. Hurra.
Immerhin ist die eID jetzt zwangsweise im ePerso drin.
Achne. Ed heißt ja nicht ePerso sondern "neuer Personalausweis".
Ein Magnetspintomogramm ist ja auch deutlich ungefährlicher als ein Kernspintomogramm!
(beides dasselbe und völlig harmlos, gar verglichen mit einem Röntgentomogramm, uups, heißt ja Computertomogramm.)
naja … Ausweise und Dokumente konnte man schon immer "Fälschen" wie naiv muss man sein um zu glauben das das digital nicht möglich wäre? Gut das es dann so einfach möglich ist, ist nen Hammer ;-P
Manches ist da lediglich der Aufwand so groß das es einfach keine Nutzen gibt es zu fälschen, aber absolut nix ist fälschungssicher!
Allianz,
Verlag Axel Springer,
Bundesdruckerei,
Deutschen Telekom,
Mercedes-Benz,
Samsung,
Volkswagen
gehört eine Firma, die angeblich versucht, das Bafin
auszutricksen, Gesetze zu umgehen?
Und das, wird durch Privatpersonen an den Tag gebracht?
BRD = Bananen Republik Deutschland?
Dachte ich auch sofort beim Lesen des Artikels …
Und dann:
"Mit Verimi haben Sie alle Ihre Identitätsdaten an einem Ort."
Ja!
Und alle Ihre Identitätsdaten sind dann auch mit nur einigen Klicks gehackt und alle sind dann in einer Hand, in der sie absolut nix zu suchen haben!
Alles mal wieder äußerst vertrauenserweckend – auch auf die Zukunft betrachtet.
Es ist eigentlich noch schlimmer:
Diesen ehemalige BlueChips gehört nicht nur diese Firma, sondern die haben sie gegründet.
Und sie wurden sicher vorher(!) kompetent rechtlich beraten, dass das was sie da vorhaben "eigentlich" illegal ist, ausser wenn man…
Und wenn man gerade liest, was da mit CumEx vorsich geht, und das einer der vermuteten Akteuere totale, ja wohl patongene Gedächtnislücken zeigt,
aber jetzt trotz dieser offensichtlichen, massiven Hirnminderleistung Bundeskanzler werden konnte passt eines zum anderen..
https://www.focus.de/politik/kahrs-2_id_131436619.html
Bin mal gespannt was daraus wird. Ich persönlich konnte den Scholz noch nie leiden! Ist mir zu zwielichtig.
Da wird *nichts* passieren. Wie üblich. Bitte weitergehen, es gibt hier nichts zu sehen.
Immerhin ist die eID jetzt zwangsweise im ePerso drin.
Achne. Ed heißt ja nicht ePerso sondern "neuer Personalausweis".
Ein Magnetspintomogramm ist ja auch deutlich ungefährlicher als ein Kernspintomogramm!
(beides dasselbe und völlig harmlos, gar verglichen mit einem Röntgentomogramm, uups, heißt ja Computertomogramm.)
Allianz,
Verlag Axel Springer,
Deutschen Telekom,
Mercedes-Benz,
Volkswagen
Alles zwielichtige Konzerne, und erst recht würde ich niemals AS meine Identitäten anvertrauen. Verimi ist auf meiner Blacklist und wird da auch nie von runterkommen.
Und das nächste Video-Identverfahren muss wegen schwerer Sicherheitsmängel abgeschaltet werden:
"Den deutschen Krankenkassen ist die Identifikation ihrer Versicherten per Smartphone untersagt worden. Die zuständige Gematik-Gesellschaft hat in der Nacht von Montag auf Dienstag eine Verfügung an die Kassen verschickt, die ihnen die Nutzung sogenannter Video- und Robo-Ident-Verfahren verbietet. Die Verfügung liegt dem Handelsblatt vor."
Link: https://www.handelsblatt.com/politik/deutschland/sicherheitsmaengel-krankenkassen-muessen-ident-verfahren-per-smartphone-abschalten/28585658.html