{"id":271455,"date":"2022-08-11T00:00:42","date_gmt":"2022-08-10T22:00:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271455"},"modified":"2022-08-11T09:58:17","modified_gmt":"2022-08-11T07:58:17","slug":"video-ident-durch-chaos-computer-club-sturmreif-geschossen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/11\/video-ident-durch-chaos-computer-club-sturmreif-geschossen\/","title":{"rendered":"Video-Ident durch Chaos Computer Club "sturmreif geschossen""},"content":{"rendered":"

\"SicherheitSo langsam kommt Licht ins Dunkel, im Hinblick auf das Video-Ident- (und das Foto-Ident-) Verfahren und dass diese im Grunde nur noch beerdigt werden k\u00f6nnen – die Pr\u00fcfungen lassen sich mit einfachsten Mitteln austricksen. Sicherheitsforscher Martin Tschirsich vom Chaos Computer Club (CCC) konnte in zwei Anwendungsszenarien (Verimi ID-Wallet f\u00fcr digitalen F\u00fchrerschein, gematik elektronische Patientenakte (ePA) zeigen, wie sich die Verfahren zum Identifikationsnachweis t\u00e4uschen lassen. Das Versprechen, eine sichere Identifikation der Benutzer zu gew\u00e4hrleisten, l\u00e4sst sich nicht einhalten – es drohen Betrug und wirtschaftliche Sch\u00e4den.<\/p>\n

<\/p>\n

Was ist Video-Ident<\/h2>\n

\"\"Im Video-Ident-Verfahren k\u00f6nnen Nutzer ihre Identit\u00e4t im Internet nachweisen, indem sie ein Video von sich und ihrem Ausweisdokument an einen Video-Ident-Anbieter \u00fcbertragen und dort durch einen Mitarbeiter oder eine Software pr\u00fcfen lassen. Anschlie\u00dfend kann der so Identifizierte beispielsweise Mobilfunkvertr\u00e4ge abschlie\u00dfen, EU-weit rechtsverbindlich unterschreiben (QES), Kredite beantragen und Bankkonten anlegen \u2013 oder eine elektronische Patientenakte (ePA) er\u00f6ffnen.<\/p>\n

Ich habe dies schon mal zur Freischaltung einer Prepaid-SIM genutzt (ohne Identifikationsnachweis darf die nicht aktiviert werden) – und es gab auch einen Fall, wo ich dies mit einem Unternehmen abwickelte, die im Bankbereich aktiv waren. In beiden F\u00e4llen war es so, dass ein Mitarbeiter sowohl meine Person als auch den Ausweis im Live-Video sehen wollte und auch Anweisungen gab, die ich ausf\u00fchren musste. Aber ein \"ungutes Gef\u00fchl\" blieb – was passiert mit den Informationen und ist das alles auch sicher. Daher setze ich i.d.R. auf das Post-Ident-Verfahren.<\/p>\n

Es gibt wohl noch ein \"abgespecktes Verfahren\" namens Foto-Ident, wo kein Video, sondern Fotos zum Abgleich verwendet werden. Wird beim nachfolgend erw\u00e4hnten Fall von Verimi genutzt. Dort lassen sich auch digitale F\u00fchrerscheine oder andere Ausweise in einer ID-Wallet des Anbieters Verimi speichern.<\/p><\/blockquote>\n

Das Verfahren ist unsicher<\/h2>\n

Auf welch t\u00f6nernen F\u00fc\u00dfen das ganze Video-Ident-Verfahren (aber auch Foto-Indent) im Grunde steht, hat Sicherheitsforscher Martin Tschirsich vom Chaos Computer Club (CCC) binnen weniger Tage in zwei konkreten Anwendungsf\u00e4llen demonstriert, die ich hier im Blog beleuchtet habe. Weiterhin hat der CCC die Methoden offen gelegt.<\/p>\n

Das Verimi Foto-Ident-Problem<\/h3>\n

Ich hatte es im Blog-Beitrag Verimi-Fiasko? Dem ID-Dienst droht wohl \u00c4rger \u2026<\/a> vor einigen Tagen aufgegriffen. Der Identifikationsdienst (ID-Dienst) Verimi bietet seinen Nutzern die M\u00f6glichkeit, ihren Ausweis oder F\u00fchrerschein mittels eines Foto-Ident-Verfahrens in der Verimi ID-Wallet zu laden. Die Foto-Ident-Pr\u00fcfungen f\u00fchrt die Firma Veriff im entsprechenden Auftrag durch.<\/p>\n

Neben internationalen Banken, FinTechs und Mobilit\u00e4tsanbietern nutzen auch gro\u00dfe Verlage die Foto-Ident-Pr\u00fcfungen von Veriff, hei\u00dft es vom Hersteller. Das hei\u00dft, das Verfahren m\u00fcsste \"trustable\" sein, wenn ich damit bei Banken zur Kontener\u00f6ffnung vorstellig werde.<\/p>\n

Sicherheitsforscher Martin Tschirsich zeigte, dass er genau diese Foto-Ident-Pr\u00fcfungen von Veriff mit einfachen Mitteln austricksen konnte. Es war ein leichtes, mittels manipulierter Dokumente gef\u00e4lschte Identit\u00e4ten zu erzeugen und dann in der Verimi ID-Wallet zu speichern.<\/p>\n

Das ePA Video-Ident-Problem<\/h3>\n

Heute hatte ich im Blog berichtet, dass die gematik die Verwendung des Video-Ident-Verfahren zur Identifikation von Nutzern durch Krankenkassen im Rahmen der Ausstellung einer elektronischen Patientenakte (ePA) aus Sicherheitsgr\u00fcnden untersagte (siehe den Beitrag gematik untersagt Video-Ident-Verfahren in der Telematikinfrastruktur (9. August 2022)<\/a>).<\/p>\n

Ich hatte dort nur den Hinweis gegeben, dass es einem Sicherheitsforscher gelungen sein soll, bei sechs verschiedenen Anbietern einer elektronischen Patientenakte fremde Identit\u00e4ten verifizieren zu lassen. Der gematik, die die Telematik-Infrastruktur des Gesundheitswesens betreibt, hat dann die Notbremse gezogen und Video-Ident zur Identifikation bis auf weiteres untersagt.<\/p>\n

Bitkom kritisiert Verbot des Video-Ident<\/h3>\n

Der Schaden, der dort entstanden ist, l\u00e4sst sich noch nicht absch\u00e4tzen. Aber im Sinne von \"manchmal kannst Du nicht genug fressen, wie Du kotzen m\u00f6chtest\" schiebe ich noch was nach. Die Bitkom (Bitkom e. V. ist der Branchenverband der deutschen Informations- und Telekommunikationsbranche) erdreistet sich in meinen Augen nat\u00fcrlich, das Verbot des Video-Ident-Verfahren der gematik zu kritisieren und einen unkomplizierten Zugang zu digitalen Versorgungsangeboten f\u00fcr die Patienten zu fordern (danke f\u00fcr den Blog-Leser, der mich in diesem Kommentar<\/a> auf eine entsprechende Meldung verwies). Dazu wird Bitkom-Hauptgesch\u00e4ftsf\u00fchrer Dr. Bernhard Rohleder in einer Mitteilung (Quelle: \u00c4rztezeitung<\/a>) so zitiert:<\/p>\n

Mit dem pauschalen und unangek\u00fcndigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die gematik den Patientinnen und Patienten in Deutschland einen B\u00e4rendienst erwiesen. Statt Anbieter mit Verdacht auf Sicherheitsl\u00fccken anzusprechen und L\u00f6sungen zu erarbeiten, wurden alle Dienste pauschal gesperrt<\/p><\/blockquote>\n

Mit dem Verbot werde nun eine unn\u00f6tige H\u00fcrde auf dem Weg zu einer digitalen Gesundheitsversorgung aufgebaut. Die ohnehin schleppend verlaufende Einf\u00fchrung der elektronischen Patientenakte werde damit unn\u00f6tig erschwert, so Rohleder.<\/p>\n

Pers\u00f6nlich stehe ich nur noch fassungslos da – Deutschland schafft sich ab – aber durch die Inkompetenz solcher Verbandsvertreter. Zumindest kann man in der \u00c4rztezeitung lesen, dass das Bundesgesundheitsministeriums (BMG) die Reaktion der gematik begr\u00fc\u00dft. \"Patientendaten sind sensible Daten\", so die Erinnerung eines Sprechers des BMG, die unbedingt gesch\u00fctzt werden m\u00fcssten.<\/p>\n

CCC legt Details offen<\/h2>\n

Der Chaos Computer Club (CCC) hat zum 9. August 2022 im Beitrag Chaos Computer Club hackt Video-Ident<\/a> dann die Details des Hacks offen gelegt. Sicherheitsforscher Martin Tschirsich vom Chaos Computer Club (CCC) demonstriert in diesem Dokument<\/a>, wie das Video-Ident-Verfahren zur Verifikation ausgehebelt werden kann.<\/p>\n

Mit Open-Source-Software sowie roter Aquarellfarbe ist es Tschirsich gelungen, die Choreographie beim Video-Ident-Verfahren auszutricksen. Diese Choreografie sieht beim Video-Ident-Verfahren vor, den zu Identifizierenden anhand von Indizien wie im Videobild sichtbaren Hologrammen oder der Mimik zwei entscheidende Fragen beantworten: Ist der Ausweis echt? Ist die Person vor der Kamera echt? Die Video-Ident-Anbieter behaupten, ihre L\u00f6sungen w\u00fcrden Betrugsversuche sicher erkennen.<\/p>\n

Tschirsich konnte jedoch nachweisen, dass diese Behauptung der Anbieter, dass das alles sicher sei, Schall-und-Rauch ist. Denn es ist ihm mittels \"videotechnischer Neukombination mehrerer Quell-Dokumente\" gelungen, sechs Video-Ident-L\u00f6sungen zu \u00fcberlisten und den Mitarbeitern bzw. der Software dieser Anbieter eine fremde Identit\u00e4t vorzugaukeln. Bis heute blieben diese Angriffe unerkannt.<\/p>\n

Martin Tschirsich ist auf diesem Gebiet kein Unbekannter, hatte er doch bereits 2019 demonstriert, wie Unbefugte in den Besitz von Gesundheitskarten, Arzt- und Praxisausweisen gelangen konnten. Ich hatte den Fall aus dem Jahr 2019, wo der CCC auf seinem Jahreskongress berichtete, dass sich Aktivisten einen Arztausweis f\u00fcr Dr. med. Cyber ausstellen lie\u00dfen, im Blog-Beitrag Sicherheitsl\u00fccken im deutschen Gesundheitsdatennetz<\/a> aufgegriffen.<\/p><\/blockquote>\n

Der CCC schreibt, dass es keiner der gef\u00fcrchteten und von KI erzeugten Deep Fakes bedurfte, sondern einfache Mittel und Uralt-Technik erm\u00f6glichten die T\u00e4uschung der Mitarbeiter oder KI-Systeme der Video-ID-Anbieter.<\/p>\n

Der ePA-GAU<\/h3>\n

Besonders brisant: Seit 2021 ist das Video-Ident-Verfahren zur Identifikation im Bereich elektronische Patientenakte (ePA) und elektronisches Rezept (eRezept) im Einsatz. Der CCC schreibt, dass Tschirsich im Prinzip f\u00fcr eine beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine elektronische Patientenakte (ePA) er\u00f6ffnen und dar\u00fcber deren in Arztpraxen, Krankenh\u00e4usern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern konnte. Wie schreibt das BMI – siehe oben – Patientendaten sind sensible Daten, die unbedingt gesch\u00fctzt werden m\u00fcssten.<\/p>\n

Unsichere Video-Ident-Technologie<\/h3>\n

Unter dem Strich beweist der Hack, dass die (auch im Ausland verwendete) Video-Ident-Technologie (wie die oben erw\u00e4hnte Foto-Ident-Technologie) ein Totalausfall ist. Datensch\u00fctzer und das BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) h\u00e4tten laut CCC seit langem vor genau diesem Szenario gewarnt. Dieser Beitrag<\/a> aus 2018 skizziert bereits, wie das Video-Ident-Verfahren im Labor ausgetrickst werden konnte.<\/p>\n

Als Reaktion auf die Forschungsergebnisse wurden die Sicherheitsvorkehrungen f\u00fcr die Video-Identifikation bereits versch\u00e4rft, hei\u00dft es im Bericht. In einer Antwort der Bundesregierung<\/a> aus 2019 hie\u00df es noch, dass bislang keine konkreten Sicherheitsvorf\u00e4lle zur Kenntnis gelangt seien<\/em>. Die alte Leier \"kann ja sein, aber es ist ja noch nichts passiert\".<\/p>\n

Mit den aktuellen F\u00e4llen ist der Nachweis nun aber wohl erfolgt, dass die Pr\u00fcfungen nicht \"trustable\" sind. Der CCC schreibt<\/a>, dass der Angriff von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausf\u00fchrbar sei. Daher wird das Risiko des weiteren Missbrauchs als hoch eingesch\u00e4tzt.<\/p>\n

Die Wunderwaffe \"KI-Pr\u00fcfung\", die Anbieter in der Vergangenheit als Ma\u00dfnahme gegen T\u00e4uschungsversuche anf\u00fchrten, wurde durch Tschirsich widerlegt. Der Sicherheitsforscher dazu:<\/p>\n

Die Annahme, dass moderne Video-Ident-Verfahren die bekannten Schw\u00e4chen \u201adurch den Einsatz von k\u00fcnstlicher Intelligenz' beheben k\u00f6nnen, hat sich in der Praxis als falsch herausgestellt.<\/p><\/blockquote>\n

Der CCC legt den Finger in eine ziemlich verkorkste Entwicklung. Zitat aus der Mitteilung des CCC:<\/p>\n

Besonders bitter ist die jetzige Situation mit Blick auf die vergangenen Jahre: Zuerst wird der teure elektronische Personalausweis mit dem Versprechen eingef\u00fchrt, einen besseren Schutz vor Identit\u00e4tsdiebstahl im Internet zu schaffen. Das Projekt erwies sich als Rohrkrepierer. Kaum jemand nutzt auch nach zehn Jahren die sichere Online-Identifizierung, die der Personalausweis beinhaltet und die jeder einzelne Besitzer auch mit einem vervielfachten Preis bezahlt hat.<\/p>\n

Stattdessen kam ein nun nachgewiesen unsicheres Video-Ident-Verfahren mit eklatanten L\u00fccken zum Einsatz, gegen das auch grunds\u00e4tzliche Bedenken bestehen: Im Rahmen der Identit\u00e4ts\u00fcberpr\u00fcfung fallen bei den Dienstleistern beispielsweise biometrische Informationen an. Ein selektives Offenbaren nur der f\u00fcr den Identifikationsvorgang notwendigen Informationen, welches im elektronischen Personalausweis von Anfang an eingebaut wurde, ist hier nicht einmal vorgesehen. Denn mit dem Personalausweis kam zwar auch eine zwangsweise Erfassung biometrischer Daten, zum Identit\u00e4tsnachweis im Gesch\u00e4ftsverkehr werden sie aber gerade nicht transferiert.<\/p><\/blockquote>\n

Der CCC fordert eine Beweislastumkehr – nicht der Betroffe soll Schw\u00e4chen der Systeme nachweisen m\u00fcssen, die Verfahrensbetreiber sollten vielmehr verpflichtet werden, deren Sicherheit nach anerkannten Regeln zu belegen. Auf das am Horizont stehende Deep Fake-Thema, wo per Computer Personen imitiert werden, ist noch gar nicht abgestellt worden.<\/p>\n

Datenschutzbeauftragter warnte ..<\/h3>\n

Interessant ist \u00fcbrigens der Hinweis des CCC, auf die Empfehlungen des Bundesbeauftragten f\u00fcr den Datenschutz und die Informationsfreiheit. Dieser hatte bereits 2020 den Einsatz von Video-Ident zur Absicherung von Gesundheitsdaten \u00fcberall dort f\u00fcr datenschutzrechtlich unzul\u00e4ssig erkl\u00e4rt, wo sehr hoher Schutzbedarf besteht. Wie das Video-Ident-Verfahren bei der gematik zur Identifikation von Versicherten f\u00fcr die elektronische Patientenakte (ePA) Einzug halten konnte, bleibt f\u00fcr mich unerkl\u00e4rlich.<\/p>\n

Und die oben von Bitkom-Hauptgesch\u00e4ftsf\u00fchrer Dr. Bernhard Rohleder zitierten Aussagen sind in meinen Augen ein Skandal. H\u00e4tte er doch blo\u00df geschwiegen …<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\ngematik untersagt Video-Ident-Verfahren in der Telematikinfrastruktur (9. August 2022)<\/a>
\nSicherheitsl\u00fccken im deutschen Gesundheitsdatennetz<\/a>
\nElektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?<\/a>
\nElektronische Patientenakte: B\u00e4r will Datenschutz schleifen<\/a>
\nProblem mit statischer Aufladung bei eGK 2.1-Leseger\u00e4ten<\/a>
\nDatenleck: Old-School-'Hack' f\u00fcr Gesundheitskarte<\/a>
\nCyber-Angriff zieht IFAP-Arzneimitteldatenbank in Mitleidenschaft<\/a>
\nDigitalisierung im Gesundheitswesen: \u00c4rzteverb\u00e4nde fordern einj\u00e4hriges Moratorium<\/a>
\nGesundheitswesen: Einrichtungen Hauptziel von Ransomware-Angriffen<\/a>
\nDatenschutz-GAU: Finger weg von der Gesundheits-App Vivy<\/a>
\nN\u00e4chstes Sicherheitsdesaster bei Vivy-Gesundheits-App<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

So langsam kommt Licht ins Dunkel, im Hinblick auf das Video-Ident- (und das Foto-Ident-) Verfahren und dass diese im Grunde nur noch beerdigt werden k\u00f6nnen – die Pr\u00fcfungen lassen sich mit einfachsten Mitteln austricksen. Sicherheitsforscher Martin Tschirsich vom Chaos Computer … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-271455","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271455","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271455"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271455\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271455"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271455"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271455"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}