Heute gab die Schweizer Bundeskanzlei bekannt, für den Zugang zu den Bundessystemen die Videoidentifikation zu testen. Man stelle für den Zugriff auf interne Applikationen "hohe Anforderungen an das Login", betonte die Bundeskanzlei. Doch die Video-Identifikation scheint durchaus Schwachstellen zu haben, wie eine aktuelle Untersuchung des deutschen Chaos Computer Club (CCC) zeigt.

Sicherheitsforscher des CCC hätten erfolgreich die gängigen Lösungen für Videoidentifikation (Video-Ident) überwunden, heisst es im Report. Die Organisation spricht von einem "Totalausfall" der Systeme. Um die Sicherheitsmassnahmen zu umgehen, wurde zuerst der echte Ausweis aus unterschiedlichen Blickwinkeln fotografiert. Anschliessend wurde daraus ein digitaler Zwilling des Dokuments erstellt, bei dem Namen, Adresse und auch das Foto ausgetauscht werden konnten.

Beim Videocall zur Verifizierung des Ausweises filmten die Forscher dann schlicht einen TV-Bildschirm ab, auf dem sie ein manipuliertes Video einspielten. Dass die Person nicht direkt vor dem Smartphone sass, konnten Mitarbeitende des Video-Ident-Dienstes aufgrund der begrenzten Videoqualität der Handykameras nicht erkennen. "Die Ausrüstung beschränkte sich hardwareseitig auf preisgünstige Verbraucherelektronik sowie rote Wasserfarbe, softwareseitig wurde auf die quelloffene Programmbibliothek OpenCV (Bradski, 2000) zurückgegriffen", so der CCC.

"Während sich alle Welt vor ausgefeilten Deep Fakes fürchtet, gelang hier der Angriff mit Uralt-Technik und einfachen Mitteln." Es sei gelungen, bei sechs Video-Ident-Lösungen "den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln. Bis heute blieben diese Angriffe unerkannt." Um welche Anbieter es sich handelt, gibt der CCC nicht bekannt. In einem Fall sei es auch möglich gewesen, mit einem gefälschten Ausweis auf Daten wie Rezepte für Medikamente eines Krankenkassen-Kunden zuzugreifen. Der CCC fordert als Konsequenz, "diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht".

Reagiert auf den Report hat bereits der deutsche IT-Dienstleister der Gesundheitsbranche Gematik. Der Zugang zur Elektronischen Patientenakte mit Video-Ident wurde gestoppt. Krankassen ist die Nutzung ab sofort untersagt. Gematik werde Video-Ident erst wieder zulassen, wenn die betroffenen Krankenkassen wirksame Gegenmassnahmen vorweisen könnten.

Wenig begeistert von diesem Vorgehen zeigt sich der Branchenverband Bitkom. In einer Mitteilung schreibt er: "Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen. Statt Anbieter mit Verdacht auf Sicherheitslücken anzusprechen und Lösungen zu erarbeiten, wurden alle Dienste pauschal gesperrt."

Das am Hack beteiligte CCC-Mitglied Martin Tschirsich erklärt hingegen: "Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Video-Ident zu setzen, wo durch Missbrauch potenziell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten." Zudem müssten Verantwortliche nun abwägen, wie mit bereits durchgeführten Identitätsfeststellungen umzugehen ist.