Chaos Computer Club hackt Verfahren zur Videoidentifikation

10. August 2022 um 13:21
  • security
  • datenschutz
  • e-health
  • Chaos Computer Club
image
Foto: CCC

Laut CCC ist die Video-Identifizierung ein "Totalausfall". Als Konsequenz des Berichts wurde in Deutschland der Zugang zur E-Patientenakte mittels Video-Ident gestoppt.

Heute gab die Schweizer Bundeskanzlei bekannt, für den Zugang zu den Bundessystemen die Videoidentifikation zu testen. Man stelle für den Zugriff auf interne Applikationen "hohe Anforderungen an das Login", betonte die Bundeskanzlei. Doch die Video-Identifikation scheint durchaus Schwachstellen zu haben, wie eine aktuelle Untersuchung des deutschen Chaos Computer Club (CCC) zeigt.
Sicherheitsforscher des CCC hätten erfolgreich die gängigen Lösungen für Videoidentifikation (Video-Ident) überwunden, heisst es im Report. Die Organisation spricht von einem "Totalausfall" der Systeme. Um die Sicherheitsmassnahmen zu umgehen, wurde zuerst der echte Ausweis aus unterschiedlichen Blickwinkeln fotografiert. Anschliessend wurde daraus ein digitaler Zwilling des Dokuments erstellt, bei dem Namen, Adresse und auch das Foto ausgetauscht werden konnten.

Nötig sind Verbraucherelektronik und rote Wasserfarbe

Beim Videocall zur Verifizierung des Ausweises filmten die Forscher dann schlicht einen TV-Bildschirm ab, auf dem sie ein manipuliertes Video einspielten. Dass die Person nicht direkt vor dem Smartphone sass, konnten Mitarbeitende des Video-Ident-Dienstes aufgrund der begrenzten Videoqualität der Handykameras nicht erkennen. "Die Ausrüstung beschränkte sich hardwareseitig auf preisgünstige Verbraucherelektronik sowie rote Wasserfarbe, softwareseitig wurde auf die quelloffene Programmbibliothek OpenCV (Bradski, 2000) zurückgegriffen", so der CCC.
"Während sich alle Welt vor ausgefeilten Deep Fakes fürchtet, gelang hier der Angriff mit Uralt-Technik und einfachen Mitteln." Es sei gelungen, bei sechs Video-Ident-Lösungen "den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln. Bis heute blieben diese Angriffe unerkannt." Um welche Anbieter es sich handelt, gibt der CCC nicht bekannt. In einem Fall sei es auch möglich gewesen, mit einem gefälschten Ausweis auf Daten wie Rezepte für Medikamente eines Krankenkassen-Kunden zuzugreifen. Der CCC fordert als Konsequenz, "diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht".

IT-Dienstleister untersagt Krankenkassen Videoidentifikation

Reagiert auf den Report hat bereits der deutsche IT-Dienstleister der Gesundheitsbranche Gematik. Der Zugang zur Elektronischen Patientenakte mit Video-Ident wurde gestoppt. Krankassen ist die Nutzung ab sofort untersagt. Gematik werde Video-Ident erst wieder zulassen, wenn die betroffenen Krankenkassen wirksame Gegenmassnahmen vorweisen könnten.
Wenig begeistert von diesem Vorgehen zeigt sich der Branchenverband Bitkom. In einer Mitteilung schreibt er: "Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen. Statt Anbieter mit Verdacht auf Sicherheitslücken anzusprechen und Lösungen zu erarbeiten, wurden alle Dienste pauschal gesperrt."
Das am Hack beteiligte CCC-Mitglied Martin Tschirsich erklärt hingegen: "Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Video-Ident zu setzen, wo durch Missbrauch potenziell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten." Zudem müssten Verantwortliche nun abwägen, wie mit bereits durchgeführten Identitätsfeststellungen umzugehen ist.

Loading

Mehr zum Thema

image

Beim NCSC häufen sich die Kündigungen

Vor dem Übergang in ein Bundesamt für Cybersicherheit verlassen Security-Spezialisten die Behörde. Grund könnte auch die Neuausrichtung beim VBS sein.

publiziert am 7.12.2023
image

Windows 10: Bezahlte Security-Updates nach Supportende auch für Consumer

Für frühere Windows-Versionen gab es "Extended Support" nur für Unternehmen. Was der Consumer-Service für Windows 10 aber kosten wird, ist noch nicht bekannt.

publiziert am 7.12.2023
image

UK beschuldigt Russland wegen Cyberangriffen

Laut der britischen Regierung versuchten russische Hacker ab 2015, sich mit Cyberangriffen in die Politik des Landes einzumischen.

publiziert am 7.12.2023
image

"Der öffentliche Sektor ist risiko­scheu"

Seit fast 20 Jahren betreut Cameron Brooks Kunden im öffentlichen Bereich. Im Interview spricht der AWS-Manager unter anderem über Cloud-Ambitionen und -Vorbehalte von Behörden.

publiziert am 6.12.2023