{"id":271286,"date":"2022-08-07T00:51:38","date_gmt":"2022-08-06T22:51:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271286"},"modified":"2023-06-22T15:42:23","modified_gmt":"2023-06-22T13:42:23","slug":"verimi-fiasko-dem-id-dienst-droht-wohl-mchtig-rger","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/07\/verimi-fiasko-dem-id-dienst-droht-wohl-mchtig-rger\/","title":{"rendered":"Verimi-Fiasko? Dem ID-Dienst droht wohl Ärger …"},"content":{"rendered":"

\"SicherheitDem Identifikationsdienst (ID-Dienst) Verimi, die im Bereich Foto-Ident-Verfahren unterwegs sind und auch als Zahlungsinstitut fungieren) droht wohl von verschiedenen Seiten \u00c4rger. Es wird berichtet, dass der Dienst die Bundesfinanzaufsicht (BAFIN) beim Produkt \"Verimi Pay\" get\u00e4uscht haben soll. Dann gibt es Kritik an einer nicht rechtzeitig eingestandenen Datenpanne. Und die von Verimi angebotene Identifikation eines Nutzers samt Speicherung digitaler Identit\u00e4ten in einer ID-Wallet scheint sich auch leicht austricksen zu lassen.<\/p>\n

<\/p>\n

Wer ist Verimi?<\/h2>\n

\"\"Vorab vielleicht einige Informationen zu Verimi. Das Unternehmen ist im Bereich Identifikationsdienste unterwegs. Das reicht von der Best\u00e4tigung einer Identifikation per Video-Ident-Verfahren hin zu ID Wallets, in denen digitale Identit\u00e4ten wie F\u00fchrerscheine etc. gespeichert werden k\u00f6nnen. Auch eine Lizenz der Bafin als Zahlungsinstitut \/ Zahlungsdienstleister zu fungieren, ist wohl vorhanden.<\/p>\n

\"Verimi<\/p>\n

Auf der Firmenwebseite hei\u00dft es beispielsweise zu den Vorteilen des Verimi-Wallet:<\/p>\n

Einmal kostenlos angelegt, k\u00f6nnen Sie Ihre gespeicherten Daten immer wieder dann einsetzen, wenn Sie online nachweisen wollen, wer Sie sind. Mit Verimi haben Sie alle Ihre Identit\u00e4tsdaten an einem Ort.<\/p><\/blockquote>\n

Es wird f\u00fcr weitere Leistungen wie das Foto-Ident-Verfahren von Veriff geworben, mit denen sich die (z.B. von Banken geforderte) Identit\u00e4t einer Person mittels Ausweis best\u00e4tigt werden k\u00f6nnen soll.<\/p>\n

Foto-Ident-Verfahren von Veriff<\/strong><\/p>\n

Verimi bietet seinen Nutzern die M\u00f6glichkeit, ihren Ausweis oder F\u00fchrerschein mittels eines Foto-Ident-Verfahrens in das Verimi ID-Wallet zu laden. Die Foto-Ident-Pr\u00fcfungen f\u00fchrt die Firma Veriff in unserem Auftrag durch. Veriff ist ein europaweit f\u00fchrender Anbieter in diesem Segment und das Foto-Ident-Verfahren wird von gro\u00dfen Anbietern standardm\u00e4\u00dfig angewendet. Neben internationalen Banken, FinTechs und Mobilit\u00e4tsanbietern nutzen auch gro\u00dfe Verlage die Foto-Ident-Pr\u00fcfungen von Veriff.<\/p><\/blockquote>\n

Man kann also die digitale Wallet zur Ablage von Ausweisdokumenten in elektronischer Form verwenden – eigentlich eine komfortable Geschichte.\u00a0Eine weitere angepriesene Leistung ist die M\u00f6glichkeit zur digitalen Unterschrift, die rechtsg\u00fcltig und digital bei Verimi Partnern funktionieren soll. Egal, ob Antr\u00e4ge, Vertr\u00e4ge oder K\u00fcndigungen: Mit Verimi unterschreiben Sie PDF-Dokumente online mit nur einem Klick – hei\u00dft es auf der Webseite.<\/p>\n

Dazu ist aber in allen F\u00e4llen eine einmalige Verifikation erforderlich. Zudem muss man sich bei Verimi registrieren und die Zugangsdaten (auch f\u00fcr Kommunikation mit Partnern) nutzen. Klingt gut, soll ja auch alles schnell gehen – ob es auch funktioniert und vor allem sicher ist?<\/p>\n

Foto-Ident-Verfahren sicher?<\/h2>\n

Es ist legitim, f\u00fcr eine solche Leistung zur Identifikation zu werben. Banken und FinTechs sowie Mobilit\u00e4tsanbieter greifen wohl auf so etwas zur\u00fcck. Aber ist das Verfahren auch sicher? Interessant ist, was am 6. August 2022 auf der Verimi-Webseite dazu zu finden ist.<\/p>\n

In einem Artikel auf Spiegel Online vom 5. August 2022 behauptet ein \u201eIT-Sicherheitsforscher\", dass es ihm gelungen sei, das Veriff Foto-Ident-Verfahren mittels gef\u00e4lschter Dokumente auszutricksen und gef\u00e4lschte Identit\u00e4ten zu erzeugen. Wir haben von diesem Fall erst aus den Medien erfahren,\u00a0 nehmen den Vorgang sehr ernst und haben mit Veriff umgehend eine \u00dcberpr\u00fcfung der Abl\u00e4ufe eingeleitet.<\/p><\/blockquote>\n

Den Artikel<\/a> von Spiegel Online kannte ich nicht – aber ich bin bereits am 4. August 2022 \u00fcber eine Serie von Tweets<\/a> von Martin Tschirsich (@mtschirs) gestolpert, die mich stutzen lie\u00df.<\/p>\n

\"Verimi<\/a><\/p>\n

\"Verimi<\/a><\/p>\n

\"Verimi<\/a><\/p>\n

Die Aussage von Tschirsich ist, dass das Identifikationsverfahren von Verimi nicht funktioniert und er sich beliebigen Unsinn, best\u00e4tigt vom Anbieter des ID-Verfahrens, als digitaler Identit\u00e4tsnachweis in seiner Verimi ID-Wallet ablegen kann.<\/p>\n

Die obigen Tweets und dieser Start-Tweet hier<\/a> sind auch die Basis des Spiegel Online-Artikels<\/a>, der eklatante M\u00e4ngel im Konzept des Anbieters Verimi und dessen ID Wallet offen legt.<\/p>\n

\u00dcber den Spiegel-Artikel und einen Beitrag von Lilith Wittmann wird offen gelegt, dass der ID-Dienstleister Verimi unter anderem der Allianz, dem Verlag Axel Springer, der Bundesdruckerei, der Deutschen Telekom, Mercedes-Benz, Samsung und Volkswagen geh\u00f6rt. Wenn ein Anbieter mit solchem Hintergrund derart eklatant patzt, ist in meinen Augen Hopfen und Malz verloren. Denn der Anbieter h\u00e4tte gewarnt sein m\u00fcssen – da 2021 bereits das Projekt \"digitale F\u00fchrerschein\" von Ex-Verkehrsminister Andreas Scheuer (CSU) gefloppt ist – und die App von Digital Enabling nach einer Woche zur\u00fcckgezogen werden musste (siehe diesen Golem-Artikel<\/a>).<\/p>\n

Im letzten Tweet mit dem Hinweis auf den Marketing-Gag und den Einsatz im Ausland verlinkt Tschirsich auf diesen heise-Beitrag<\/a> aus 2018. Dort geht es um den Vorwurf, dass Schw\u00e4chen beim Foto-Ident-Verfahren dazu gef\u00fchrt haben k\u00f6nnten, dass bei der Bank N26 mittels gef\u00e4lschter Ausweisdokumente nicht regul\u00e4r identifizierte Konten er\u00f6ffnet wurden. Die Bafin hatte damals ein Pr\u00fcfverfahren eingeleitet.<\/p>\n

Bin ich im Zirkus, wo ein Illusionsk\u00fcnstler vor meinen Augen nicht nur eine zers\u00e4gte Jungfrau, sondern auch meine (Digitale) Identit\u00e4t verschwinden l\u00e4sst? Die Aussage zur Unsicherheit des Foto-Ident-Verfahrens und dessen Einsatz in Deutschland in Sektoren ohne besondere Regulierung korrespondiert auch mit meinem pers\u00f6nlichen Bauchgef\u00fchl.<\/p><\/blockquote>\n

Im Fall der Verimi Wallet-ID-App ist es so, dass der digitale F\u00fchrerscheinnachweis h\u00f6chstens gegen\u00fcber einer Mietwagenfirma als Nachweis geeignet ist – in einer Polizeikontrolle hat das keinen Bestand – da nicht rechtssicher. W\u00e4re ja auch der Treppenwitz der Geschichte: Die alten, grauen und roten F\u00fchrerscheine werden aktuell auf das EU-F\u00fchrerscheinformat mit Plastikkarte umgestellt und mit Merkmalen ausgestattet, die F\u00e4lschungen unterbinden sollen. Da kann eine App, der ich beliebige Inhalte unterschieben kann, beliebig viel \"digital\" versprechen – das wird nix.<\/p>\n

Vorwurf: T\u00e4uschung der Bafin<\/h2>\n

Auf diesen Sachverhalt bin ich einmal bei den Kollegen von heise gesto\u00dfen<\/a>, wobei Sicherheitsforscherin Lilith Wittmann das Ganze hier<\/a> in epischer Breite aufbereitet. Der Sachverhalt:<\/p>\n