12.08.2022, 15:46 Uhr | Lesezeit: 4 Minuten

Das Video-Ident-Verfahren wird für zahlreiche Bereiche im Internet genutzt. So identifiziert lassen sich beispielsweise Bankkonten eröffnen und Verträge abschließen. Doch nun wurde im immer als sicher geltenden Video-Ident-Verfahren eine schwere Sicherheitslücke entdeckt.

CCC entdeckt Sicherheitslücke im Video-Ident-Verfahren

Der CCC hat den kompletten Identifikationsprozess des Video-Ident-Verfahrens manipuliert und ist so auf die Sicherheitslücke gestoßen. Die Experten erstellten einen digitalen Zwilling eines Personalausweises und ersetzten bei ihm Name, Adresse sowie Passbild. Mithilfe einer Software führten sie das Original und die überarbeitete Kopie des Ausweises dann zu einer Videokopie zusammen. Nun starteten sie das Video-Ident-Verfahren, hielten allerdings statt eines echten Ausweises das Video mit der Ausweiskopie in die Kamera. Gleichzeitig verwendeten sie ein Smartphone mit schlechter Kamera, durch das die Bildübertragung glaubhaft etwas an Qualität verlor. Der Umstand reichte aus, um den Mitarbeitern des Video-Ident-Dienstes vorzugaukeln, der Ausweis wäre echt.

Ganze sechs nationale sowie internationale Anbieter des Video-Ident-Verfahrens ließen sich so täuschen. Besonders schlimm: Das Vorgehen funktionierte sogar dann, wenn auf dem Ausweis offensichtliche Fehler sichtbar waren. Die Experten des CCC gehen deswegen davon aus, dass auch gewöhnliche Anwender die Sicherheitslücke im Video-Ident-Verfahren für sich ausnutzen könnten. Das Fazit fiel daher eindeutig aus: Als „Totalausfall“ bezeichneten die Experten die Sicherheit des Verfahrens.

Lesen Sie auch: E-Perso kommt endlich aufs Smartphone 

Elektronische Krankenakten durch Schwachstelle zugänglich

Wie eingangs erwähnt, ist das Video-Ident-Verfahren im Internet oftmals Voraussetzung bei Konto- oder Vertragsabschlüssen. Es wird aber auch im medizinischen Bereich genutzt, beispielsweise um Zugang zu den Diensten ePatientenakte und eRezept zu erhalten. Aufgrund der Sicherheitslücke im Video-Ident-Verfahren könnten die Experten somit Zugriff auf die Krankenakten von jedem der 73 Millionen gesetzlich Versicherten in Deutschland bekommen. Und das inklusive der dort gespeicherten medizinischen Informationen von Ärzten, Krankenhäusern und Versicherungen. Dass dies problemlos funktioniert, hat der CCC sogar getestet und die Akten einer eingeweihten Testperson aufgerufen und geöffnet. Die Sicherheitsexperten hatten dann Zugriff auf ausgefüllte Rezepte, Arbeitsunfähigkeitsbescheinigungen, medizinische Diagnosen und Originalbehandlungsunterlagen.

Die Krankenkassen müssen das Video-Ident-Verfahren aufgrund der Sicherheitslücke vorerst aussetzen. Der Schritt sei vor dem Hintergrund des hohen Schutzbedarfs bei der Digitalisierung des Gesundheitswesens unumgänglich, so der Digitalisierungsdienstleister des deutschen Gesundheitssystems, Gematik. „Die Gematik hat die weitere Nutzung von Video-Ident-Verfahren für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zulässig erklärt und am 9. August 2022 verfügt, dass die Krankenkassen das Video-Ident-Verfahren ab sofort aussetzen“, lautet die offizielle Mitteilung. Über die Wiederzulassung von Video-Ident-Verfahren könne erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind. Auch das Bundesgesundheitsministerium steht hinter der Entscheidung, das Video-Ident-Verfahren im Medizinbereich vorerst zu stoppen.

Lesen Sie auch: Digitaler Führerschein kommt aufs Handy – hat aber noch Einschränkungen

Die Reaktion der Behörden

So vorsichtig wie die Gematik zeigen sich aber nicht alle. Der CCC weist darauf hin, dass Datenschutzbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits seit Langem vor Sicherheitslücken wie jetzt im Video-Ident-Verfahren warnen. Bei der Bundesnetzagentur stießen sie laut den Experten bislang aber „auf taube Ohren“. Die Begründung der Behörde: „Der Bundesregierung sind bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt.“ Und tatsächlich war die nun entdeckte Schwachstelle dem BSI so bislang nicht bekannt. Der CCC freut sich daher laut eigener Aussage, einen konkreten Sicherheitsvorfall einzubringen und den Handlungsbedarf somit hervorheben zu können.

Das BSI betonte weiterhin, dass die Entscheidung, inwiefern das Video-Ident-Verfahren in anderen Anwendungsgebieten unter den gegebenen Umständen weiterbetrieben werden könne, in der Zuständigkeit der jeweiligen Aufsichtsbehörden liege. Viele von ihnen hat der Bericht des CCC offenbar aufgerüttelt. So erklärte etwa die zuständige Bundesanstalt für Finanzdienstleistungen (Bafin) auf Anfrage von heise, dass man die Hinweise ebenfalls sehr ernst nehme. Allerdings ließe die Entscheidung der Krankenkassen, das Verfahren nicht zu nutzen, nicht automatisch Rückschlüsse auf Anwendungen in anderen Sektoren zu. Denn der Behörde seien bislang keine Einzelheiten bekannt. „Daher ist eine abschließende Bewertung der beschriebenen Angriffsszenarien und Entscheidung über eventuelle Maßnahmen derzeit noch nicht möglich“, so ein Bafin-Sprecher.

Mehr zum Thema

Ausweisen per Video Chat Bequemes Online-Banking? Diese Tücken hat Video-Ident

Gegen Bloßstellung im Netz So schützen Sie Ihre persönlichen Daten im Netz

Digitale Identität Alles, was Sie über E-Perso und E-ID wissen müssen

Quellen

• Chaos Computer Club
• gematik