Chaos Computer Club hackt Verfahren zur Videoidentifikation

10. August 2022 um 13:21
  • security
  • datenschutz
  • e-health
  • Chaos Computer Club
image
Foto: CCC

Laut CCC ist die Video-Identifizierung ein "Totalausfall". Als Konsequenz des Berichts wurde in Deutschland der Zugang zur E-Patientenakte mittels Video-Ident gestoppt.

Heute gab die Schweizer Bundeskanzlei bekannt, für den Zugang zu den Bundessystemen die Videoidentifikation zu testen. Man stelle für den Zugriff auf interne Applikationen "hohe Anforderungen an das Login", betonte die Bundeskanzlei. Doch die Video-Identifikation scheint durchaus Schwachstellen zu haben, wie eine aktuelle Untersuchung des deutschen Chaos Computer Club (CCC) zeigt.
Sicherheitsforscher des CCC hätten erfolgreich die gängigen Lösungen für Videoidentifikation (Video-Ident) überwunden, heisst es im Report. Die Organisation spricht von einem "Totalausfall" der Systeme. Um die Sicherheitsmassnahmen zu umgehen, wurde zuerst der echte Ausweis aus unterschiedlichen Blickwinkeln fotografiert. Anschliessend wurde daraus ein digitaler Zwilling des Dokuments erstellt, bei dem Namen, Adresse und auch das Foto ausgetauscht werden konnten.

Nötig sind Verbraucherelektronik und rote Wasserfarbe

Beim Videocall zur Verifizierung des Ausweises filmten die Forscher dann schlicht einen TV-Bildschirm ab, auf dem sie ein manipuliertes Video einspielten. Dass die Person nicht direkt vor dem Smartphone sass, konnten Mitarbeitende des Video-Ident-Dienstes aufgrund der begrenzten Videoqualität der Handykameras nicht erkennen. "Die Ausrüstung beschränkte sich hardwareseitig auf preisgünstige Verbraucherelektronik sowie rote Wasserfarbe, softwareseitig wurde auf die quelloffene Programmbibliothek OpenCV (Bradski, 2000) zurückgegriffen", so der CCC.
"Während sich alle Welt vor ausgefeilten Deep Fakes fürchtet, gelang hier der Angriff mit Uralt-Technik und einfachen Mitteln." Es sei gelungen, bei sechs Video-Ident-Lösungen "den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln. Bis heute blieben diese Angriffe unerkannt." Um welche Anbieter es sich handelt, gibt der CCC nicht bekannt. In einem Fall sei es auch möglich gewesen, mit einem gefälschten Ausweis auf Daten wie Rezepte für Medikamente eines Krankenkassen-Kunden zuzugreifen. Der CCC fordert als Konsequenz, "diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht".

IT-Dienstleister untersagt Krankenkassen Videoidentifikation

Reagiert auf den Report hat bereits der deutsche IT-Dienstleister der Gesundheitsbranche Gematik. Der Zugang zur Elektronischen Patientenakte mit Video-Ident wurde gestoppt. Krankassen ist die Nutzung ab sofort untersagt. Gematik werde Video-Ident erst wieder zulassen, wenn die betroffenen Krankenkassen wirksame Gegenmassnahmen vorweisen könnten.
Wenig begeistert von diesem Vorgehen zeigt sich der Branchenverband Bitkom. In einer Mitteilung schreibt er: "Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen. Statt Anbieter mit Verdacht auf Sicherheitslücken anzusprechen und Lösungen zu erarbeiten, wurden alle Dienste pauschal gesperrt."
Das am Hack beteiligte CCC-Mitglied Martin Tschirsich erklärt hingegen: "Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Video-Ident zu setzen, wo durch Missbrauch potenziell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten." Zudem müssten Verantwortliche nun abwägen, wie mit bereits durchgeführten Identitätsfeststellungen umzugehen ist.

Loading

Kommentare

Mehr zum Thema

image

Security-Behörde nennt Citrix-Lücke "unakzeptables Risiko"

Die Schwachstelle in Citrix-Netscaler lässt die CISA aktiv werden. US-Behörden müssen sofort handeln.

publiziert am 14.7.2025
image

Ingram Micro erholt sich von Cyberangriff

Der IT-Distributor ist wieder voll funktionsfähig. Noch ist aber unklar, ob und was für Daten beim Ransomware-Angriff gestohlen wurden.

publiziert am 10.7.2025
imageAbo

100 Tage Meldepflicht: Das Bacs zieht erste Bilanz

Das Bundesamt für Cybersicherheit äussert sich zum Aufwand, den die Meldepflicht gebracht hat. Und gibt Zahlen zu den eingegangen Meldungen bezüglich Sektoren sowie Art der Angriffe bekannt.

publiziert am 10.7.2025
image

SAP patcht hoch­kritische Lücken

In Supplier Relationship Management gibt es eine Schwachstelle, die die höchste CVSS-Bewertung erhalten hat. Patches für diese und weitere schwerwiegende SAP-Lücken stehen zur Verfügung.

publiziert am 9.7.2025