Video-Ident – leider nicht mehr sicher…

23.08.2022 / Thomas Steil

Wer in den letzten zwei Jahren einen Vertrag unterschreiben musste, kam vermutlich mit dem Video-Ident-Verfahren in Kontakt. Gerade zu Pandemiezeiten wurde diese Methode der Identifikation häufig genutzt.

Dabei muss man seinen Personalausweis bereithalten und mit einer echten Person oder einer KI am anderen Ende in einer Videokonferenz mit Livevideo sein Ausweisdokument vor die Kamera halten. Es werden dann Sicherheitsmerkmale wie Hologramme oder Wasserzeichen geprüft. Doch auch die eigenen körperlichen Merkmale müssen zu erkennen sein. Beleuchtung und Gesicht müssen stimmen und folgen einer gewissen Choreografie.

Jetzt hat der Chaos Computer Club (CCC) in der letzten Woche eine verblüffend einfache Methode vorgestellt [1], wie man dieses Verfahren überlisten kann. Dabei kommen nicht irgendwelche spezialisierten und hochkomplizierten Methoden zum Einsatz, sondern eher der alte Farbkasten aus Schulzeiten und etwas Open Source[2] [3]. Es gelang dem Angreifer damit, diverse Video-Ident-Verfahren zu überlisten und sich sogar Zugang zur digitalen Patientenakte einer Testperson zu verschaffen. Ein Szenario, vor dem Datenschützer schon lange gewarnt haben. Überraschend ist jetzt vor allem die Einfachheit des Verfahrens.

Die gute Nachricht ist immerhin, dass die Verwendung dieser Vorgehensweise für die Krankenkassen erstmal untersagt wurde.

Verweise

[1] https://www.ccc.de/de/updates/2022/chaos-computer-club-hackt-video-ident

[2] https://github.com/sensity-ai/dot

[3] https://www.ccc.de/system/uploads/329/original/Angriff_auf_Video-Ident_v1.2.pdf

Sonderveranstaltung Technologietage
09.09.-10.09.2024 in Aachen oder online

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.