Bild mit einem Gesichtsloser Hacker vor Binärcode und der Aufschrift "Gehackt"

Video-Ident konnte erfolgreich vom CCC gehackt werden

10.8.22 14:08 von Sunny Lesezeit: 4 Min.

Video-Ident gilt immer noch als ausreichend sicher. Nun gelang es dem CCC, die videobasierte Online-Identifizierung zu knacken.

Mit Video-Ident mussten sich bestimmt schon die meisten von uns irgendwann einmal herumschlagen. Egal ob man eine neue SIM-Karte fürs Handy registrieren muss, oder man sich mal eben ein neues Bankkonto anlegen will. An der videobasierten Online-Identifizierung „Video-Ident“ kommt man fast nicht mehr vorbei. Oder etwa doch?

Sicherheitsforschern des CCC gelang es nun, die Online-Identifizierung mit nur wenigen und für jedermann frei zugänglichen Mitteln zu hacken und fordern, „diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotenzial besteht„.

Video-Ident mit Open-Source-Software und ein bisschen Farbe ausgetrickst

Mehr hatte der Sicherheitsforscher des Chaos Computer Club (CCC), Martin Tschirsich, nicht gebraucht, um das als so sicher beworbene Video-Ident auszutricksen bzw. zu hacken. Erst vor Kurzem gelang es dem IT-Sicherheitsexperten, gravierende Sicherheitsmängel im digitalen Führerschein nachzuweisen.

Wie erdgeist heute im Blog des CCC berichtete, benötigte Tschirsich lediglich eine Open-Source-Software und ein bisschen roter Aquarellfarbe.

Während sich alle Welt vor ausgefeilten Deep Fakes fürchtet, gelang hier der Angriff mit Uralt-Technik und einfachen Mitteln.
erdgeist

Mit nur wenig Aufwand zu einer neuen Identität

So simpel der Trick, so mannigfaltig sind auch die möglichen Missbrauchsszenarien. Martin Tschirsich veröffentlicht mit seinem am achten August veröffentlichten PoC (Proof of Concept) nicht nur die genaue Vorgehensweise. Er zeigt auch die vielen Gefahren und das Missbrauchspotenzial auf, welche durch diese doch recht einfache Art der Manipulation des Video-Idents ermöglicht werden.

Es braucht nicht viel Fantasie, um sich vorstellen zu können, was jemand mit viel krimineller Energie und der Möglichkeit, die immer noch als sicher eingeschätzte videobasierte Online-Identifizierung auszuhebeln bzw. zu hacken, so alles anstellen kann.

Je nach Motivation des Angreifers kann der Angriff darauf abzielen, eine beliebige neue Identität zu erschaffen (z. B. Betrug, Geldwäsche, Bankdrop) oder eine bestehende Identität zu übernehmen (z. B. Zugriff auf bestehende Konten, Patientenakten).
Martin Tschirsich

Der „Exportschlager“ Video-Ident

Obwohl diese bereits seit 2014 infrage gestellt wird, beharrt man weiter auf der Sicherheit der besagten Online-Identifizierung.

Spätestens seit 2014 sind allerdings auch erhebliche Zweifel an der Vertrauenswürdigkeit des Video-Idents bekannt. So empfiehlt die damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit „auf die Möglichkeiten einer Videoidentifizierung zu verzichten“ und verweist auf die ungeklärte Wirksamkeit.
Martin Tschirsich

Aber nicht nur die damalige Bundesbeauftragte für Datenschutz hatte berechtigte Zweifel am Video-Ident. Auch das BSI und der CCC hatten in der Vergangenheit bereits mehrmals Bedenken geäußert. Bedenken, welche z. B. das Bundesministerium für Wirtschaft und Klimaschutz nicht teilt.

Gefördert wird das Video-Ident auch aus dem Bundesministerium für Wirtschaft und Klimaschutz (Bundesministerium für Wirtschaft und Klimaschutz, 2020). Von Seiten der Wirtschaft wird betont, dass Video-Ident „einen Exportschlager darstelle“ (Wirtschaftsforum der SPD e.V., 2019).
Martin Tschirsich

Taube Ohren bei der Bundesregierung und der Bundesnetzagentur

Lange haben Sicherheitsforscher und Datenschützer berechtigte Bedenken zum Video-Ident geäußert. Bislang stieß man aber immer auf taube Ohren. Eine Tatsache, welche sich nun ändern dürfte. Denn der CCC hat es geschafft, mit nur wenigen und für jedermann zugänglichen „Tools“ ein als sicher geltendes Verfahren auszuhebeln.

Dieser Totalausfall bestätigt nun, wovor Datenschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem warnen, jedoch bei der Bundesregierung und der Bundesnetzagentur auf taube Ohren stießen.
Deren Ausrede lautete: „Der Bundesregierung sind bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt.“ Einen konkreten Sicherheitsvorfall liefert der CCC hiermit gern und meldet somit Handlungsbedarf an.
erdgeist

Auf die Reaktionen der verantwortlichen Stellen dürfen wir gespannt sein. Fest steht derzeit aber nur eines. Mit ein bisschen krimineller Energie und ein wenig roter Farbe zur neuen Identität, ist dank Video-Ident derzeit kein allzu großes Problem.

canna.to: Clearingstelle Urheberrecht im Internet lässt Musikportal sperren

Ungemach oder Werbung für Canna.to? Die größten Internet-Anbieter auf dem deutschen Markt werden bald noch mehr Stoppschilder aufstellen.

Hat vermutlich gerade versucht die BNetzA zu erreichen

Bundesnetzagentur sucht Faxanbieter: mit Kupfer gegen die Zukunft

Die Bundesnetzagentur braucht einen neuen Faxdienstleister; nur gut, dass die Behörde für Digitalisierung mit der Zeit geht.

Von der Leyen: Handy-Daten gelöscht – Beweismittel vernichtet

Das ehemalige Diensthandy der Ursula von der Leyen gilt als sehr wichtiges Beweismittel. Jetzt kam herraus: Alle Daten wurden gelöscht.

Das Internet, Vernetzung, Sicherheitslücke, Log4Shell

Log4Shell: Eine Sicherheitslücke erschüttert das Internet

Die Log4Shell Sicherheitslücke ermöglicht die Kontrolle von Millionen an Geräten. Wir haben alle wichtigen Informationen für euch gesammelt.

Truecrypt: BSI verheimlicht Audit-Dokumente der Software

Im Jahr 2010 ließ das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Analyse der veralteten Software Truecrypt erstellen.

Chaos Computer Club kritisiert Corona-Datenspende-App des RKI

In dem Gutachten weist der Chaos Computer Club auf eine Vielzahl von Schwachstellen bezüglich der Corona-Datenspende-App des RKI hin.

Ein Hacker mit einem Laptop. (Cyber-Angriff auf SPD-Symbolbild).

Hackerangriff gegen die SPD: Die Spur führt nach Russland

Ein Hackerangriff auf E-Mails der SPD wirft Fragen auf. Wie ernst nehmen politische Parteien und Organisationen ihre Sicherheitsvorkehrungen?

BitTorrent-Tracker unter die Lupe genommen (Symbolbild)

OpenTrackr: BitTorrent-Tracker blockiert tausende illegale Hashes

OpenTrackr ist einer der meist genutzten BitTorrent-Tracker. Im vergangenen Jahr erreichten ihn 2.990 DMCA Takedown-Anfragen.

Smart-TVs: FBI warnt eindringlich vor Sicherheitslücken

Das FBI warnt erneut von der Gefahr die von Smart-TVs ausgehen kann. Denn unser Smart-TV kann auch ein Gateway für Hacker sein.

Das BSI warnt vor der Nutzung von Kaspersky-Virenschutzprodukten

Eine Warnung des BSI, rät allen Nutzern von Kaspersky-Virenschutzprodukten, diese zu deinstallieren und eine andere Software zu installieren.

Chaos Computer Club: Alles ist Eins. Außer der 0. bald im TV

Fans des CCC haben einen Grund, sich zu freuen. Denn "Alles ist Eins. Außer der 0." kann man sich bald ganz gemütlich im Fernsehen anschauen.

Eine Vendetta-Maske auf einem Laptop mit einem Anonymous-Mitglied auf dem Bildschirm

Berühmte Hacker, die uns noch lange in Erinnerung bleiben werden (Teil 1)

Wenn es ums "Hacken" geht, gibt es viele bekannte Namen. Jeder von ihnen hat dazu beigetragen, das Internet auf seine Weise zu verändern.

IT-Sicherheitsgesetz 2.0: BSI erhält die Lizenz zum Hacken

Die Bundesregierung hat umstrittene Pläne aus dem IT-Sicherheitsgesetz 2.0 entfernt. An den neuen Befugnissen fürs BSI hat man festgehalten.

Chaos Computer Club: 42 Jahre für IT-Sicherheit und Datenschutz

Alles Gute zum Geburtstag, CCC! Der 42. Jahrestag des Chaos Computer Clubs ist ein Anlass zum Feiern, aber natürlich auch zum Nachdenken.

Hacker verschafft sich Zugriff auf Online-Personalausweis-eID-Funktion

Online-Personalausweis: Hacker spürt Sicherheitslücke auf

Mittels eigener App erlangte ein Hacker Login-Daten für die eID-Funktion beim Online-Personalausweis. Er informierte das BSI.

Hackerangriff auf deutsche Energieversorger

Hackerangriff aus Russland – Deutsche Energieversorger im Visier

Ein Hackerangriff, den man russischen Cyberkriminellen zuordnet, hat es in 150 Fällen auf kritische Infrastruktur in Deutschland abgesehen.

Junge Frau hat gerade beim Shopping ihre versprochene Steuerrückerstattung rausgehauen (Symbolbild)

Steuerrückerstattung versprochen: BNetzA deaktiviert Rufnummern

Statt der versprochenen Steuerrückerstattung in Höhe von mehreren Hundert Euro verteilten Kriminelle einen Link, um Bankdaten auszuspähen.

Darknet-Händlerin verkauft per Try2Check geprüfte Kreditkarten (Symbolbild)

Try2Check: Polizei nimmt Kreditkarten-Prüfer vom Netz

Der Dienst Try2Check unterstützte seit 2005 kriminelle Darknet-Händler, indem er jedes Jahr Millionen gestohlene Kreditkarten überprüfte.