Der digitale Führerschein ist da. Doch leider ist er hochgradig manipulierbar, wie IT-Sicherheitsexperte Martin Tschirsich via Twitter zeigt.
Für die Erstellung des digitalen Führerscheins ist der ID-Dienstleister Verimi verantwortlich. Doch wie sich nun herausstellte, ist dessen Foto-Ident-Verfahren höchst unsicher und leicht von jedermann manipulierbar.
ID Wallet erneut in der Kritik
Die Fotoidentifikation der App von Verimi lässt sich mit einfachsten Mitteln austricksen, wie der Spiegel in einem neuen Bericht verkündet. Bereits im vergangenen Herbst musste sich die ID Wallet für den digitalen Führerschein der harschen Kritik des mittlerweile über 40 Jahre bestehenden Chaos Computer Clubs (CCC) stellen. Nachdem dieser umfassende Sicherheitsbedenken geäußert hatte, sah sich der mit der Entwicklung beauftragte Dienstleister Digital Enabling GmbH gezwungen, die ID Wallet wieder aus den App-Stores von Google und Apple zu entfernen.
Doch wie der IT-Sicherheitsexperte Martin Tschirsich auf Twitter demonstrierte, ist nun auch der zweite Anlauf mit dem ID-Dienstleister Verimi missglückt. Denn auch dieser hat es offenbar nicht geschafft, eine sichere Lösung zu entwickeln, auf deren Basis sich der Führerschein guten Gewissens digitalisieren ließe.
Verimi setzt auf ein Foto-Ident-Verfahren, für das der Benutzer lediglich die Vorder- und Rückseite seines Führerscheins fotografieren und zusätzlich ein Selfie hochladen muss. Auf Basis eines rein KI-gestützten Prozesses, will Verimi die eingereichten Bilddaten automatisch prüfen lassen. Dadurch will das Unternehmen sicherstellen, dass der Besitzer des Führerscheins selbst den Upload durchgeführt hat und es sich um eine echte Person handelt.
So einfach lässt sich der digitale Führerschein fälschen
Doch Tschirsich war nach eigenen Angaben offenbar in der Lage, mehrere digitale Führerscheine zu generieren. Auf diesen konnte er sich selbst unterschiedliche Namen zuordnen und sogar seine Staatsbürgerschaft ändern. Um dies zu erreichen, musste er lediglich die persönlichen Daten auf einem Foto seines Führerscheins mit einer Bildbearbeitungssoftware verändern. Den Ausdruck des manipulierten Bildes konnte er im Anschluss einfach mit der Verimi-App fotografieren und dadurch einen digitalen Führerschein mit den gewünschten Änderungen erzeugen.
Offenbar findet keinerlei Abgleich der von der App ermittelten Daten mit einem Führerscheinregister statt. „Die Unsicherheit des Foto-Ident ist allseits bekannt„, warnt Tschirsich via Twitter.
Gefälschte Fahrerlaubnis bereits nutzbar für Carsharing und Miete
Besonders brisant erscheint dies vor dem Hintergrund, dass der digitale Führerschein langfristig analoge Ausweispapiere vollständig ersetzen soll. Die dafür erforderlichen Gesetzesänderungen lassen aktuell noch auf sich warten. Doch diese sind im Rahmen der schnell fortschreitenden Digitalisierung sicherlich nur noch eine Frage der Zeit.
Dennoch kann der digitale Führerschein bereits für Carsharing-Angebote, sowie für die Anmietung von Mietwagen verwendet werden. Verimi nimmt die eigenen, auf ihrer Webseite publizierten Werte offenbar nicht allzu ernst. „Ihre Sicherheit ist uns wichtig„, heißt es dort. „Mit Ihren verifizierten Daten können Sie online nachweisen, wer Sie sind.“ Scheint ja gut zu klappen.
