Video-Ident gilt immer noch als ausreichend sicher. Nun gelang es dem CCC, die videobasierte Online-Identifizierung zu knacken.
Mit Video-Ident mussten sich bestimmt schon die meisten von uns irgendwann einmal herumschlagen. Egal ob man eine neue SIM-Karte fürs Handy registrieren muss, oder man sich mal eben ein neues Bankkonto anlegen will. An der videobasierten Online-Identifizierung „Video-Ident“ kommt man fast nicht mehr vorbei. Oder etwa doch?
Sicherheitsforschern des CCC gelang es nun, die Online-Identifizierung mit nur wenigen und für jedermann frei zugänglichen Mitteln zu hacken und fordern, „diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotenzial besteht„.
Video-Ident mit Open-Source-Software und ein bisschen Farbe ausgetrickst
Mehr hatte der Sicherheitsforscher des Chaos Computer Club (CCC), Martin Tschirsich, nicht gebraucht, um das als so sicher beworbene Video-Ident auszutricksen bzw. zu hacken. Erst vor Kurzem gelang es dem IT-Sicherheitsexperten, gravierende Sicherheitsmängel im digitalen Führerschein nachzuweisen.
Wie erdgeist heute im Blog des CCC berichtete, benötigte Tschirsich lediglich eine Open-Source-Software und ein bisschen roter Aquarellfarbe.
Während sich alle Welt vor ausgefeilten Deep Fakes fürchtet, gelang hier der Angriff mit Uralt-Technik und einfachen Mitteln.
erdgeist
Mit nur wenig Aufwand zu einer neuen Identität
So simpel der Trick, so mannigfaltig sind auch die möglichen Missbrauchsszenarien. Martin Tschirsich veröffentlicht mit seinem am achten August veröffentlichten PoC (Proof of Concept) nicht nur die genaue Vorgehensweise. Er zeigt auch die vielen Gefahren und das Missbrauchspotenzial auf, welche durch diese doch recht einfache Art der Manipulation des Video-Idents ermöglicht werden.
Es braucht nicht viel Fantasie, um sich vorstellen zu können, was jemand mit viel krimineller Energie und der Möglichkeit, die immer noch als sicher eingeschätzte videobasierte Online-Identifizierung auszuhebeln bzw. zu hacken, so alles anstellen kann.
Je nach Motivation des Angreifers kann der Angriff darauf abzielen, eine beliebige neue Identität zu erschaffen (z. B. Betrug, Geldwäsche, Bankdrop) oder eine bestehende Identität zu übernehmen (z. B. Zugriff auf bestehende Konten, Patientenakten).
Martin Tschirsich
Der „Exportschlager“ Video-Ident
Obwohl diese bereits seit 2014 infrage gestellt wird, beharrt man weiter auf der Sicherheit der besagten Online-Identifizierung.
Spätestens seit 2014 sind allerdings auch erhebliche Zweifel an der Vertrauenswürdigkeit des Video-Idents bekannt. So empfiehlt die damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit „auf die Möglichkeiten einer Videoidentifizierung zu verzichten“ und verweist auf die ungeklärte Wirksamkeit.
Martin Tschirsich
Aber nicht nur die damalige Bundesbeauftragte für Datenschutz hatte berechtigte Zweifel am Video-Ident. Auch das BSI und der CCC hatten in der Vergangenheit bereits mehrmals Bedenken geäußert. Bedenken, welche z. B. das Bundesministerium für Wirtschaft und Klimaschutz nicht teilt.
Gefördert wird das Video-Ident auch aus dem Bundesministerium für Wirtschaft und Klimaschutz (Bundesministerium für Wirtschaft und Klimaschutz, 2020). Von Seiten der Wirtschaft wird betont, dass Video-Ident „einen Exportschlager darstelle“ (Wirtschaftsforum der SPD e.V., 2019).
Martin Tschirsich
Taube Ohren bei der Bundesregierung und der Bundesnetzagentur
Lange haben Sicherheitsforscher und Datenschützer berechtigte Bedenken zum Video-Ident geäußert. Bislang stieß man aber immer auf taube Ohren. Eine Tatsache, welche sich nun ändern dürfte. Denn der CCC hat es geschafft, mit nur wenigen und für jedermann zugänglichen „Tools“ ein als sicher geltendes Verfahren auszuhebeln.
Dieser Totalausfall bestätigt nun, wovor Datenschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem warnen, jedoch bei der Bundesregierung und der Bundesnetzagentur auf taube Ohren stießen.
Deren Ausrede lautete: „Der Bundesregierung sind bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt.“ Einen konkreten Sicherheitsvorfall liefert der CCC hiermit gern und meldet somit Handlungsbedarf an.
erdgeist
Auf die Reaktionen der verantwortlichen Stellen dürfen wir gespannt sein. Fest steht derzeit aber nur eines. Mit ein bisschen krimineller Energie und ein wenig roter Farbe zur neuen Identität, ist dank Video-Ident derzeit kein allzu großes Problem.