Chaos Computer Club hackt Verfahren zur Videoidentifikation

10. August 2022, 13:21
  • security
  • datenschutz
  • e-health
  • Chaos Computer Club
image
Foto: CCC

Laut CCC ist die Video-Identifizierung ein "Totalausfall". Als Konsequenz des Berichts wurde in Deutschland der Zugang zur E-Patientenakte mittels Video-Ident gestoppt.

Heute gab die Schweizer Bundeskanzlei bekannt, für den Zugang zu den Bundessystemen die Videoidentifikation zu testen. Man stelle für den Zugriff auf interne Applikationen "hohe Anforderungen an das Login", betonte die Bundeskanzlei. Doch die Video-Identifikation scheint durchaus Schwachstellen zu haben, wie eine aktuelle Untersuchung des deutschen Chaos Computer Club (CCC) zeigt.
Sicherheitsforscher des CCC hätten erfolgreich die gängigen Lösungen für Videoidentifikation (Video-Ident) überwunden, heisst es im Report. Die Organisation spricht von einem "Totalausfall" der Systeme. Um die Sicherheitsmassnahmen zu umgehen, wurde zuerst der echte Ausweis aus unterschiedlichen Blickwinkeln fotografiert. Anschliessend wurde daraus ein digitaler Zwilling des Dokuments erstellt, bei dem Namen, Adresse und auch das Foto ausgetauscht werden konnten.

Nötig sind Verbraucherelektronik und rote Wasserfarbe

Beim Videocall zur Verifizierung des Ausweises filmten die Forscher dann schlicht einen TV-Bildschirm ab, auf dem sie ein manipuliertes Video einspielten. Dass die Person nicht direkt vor dem Smartphone sass, konnten Mitarbeitende des Video-Ident-Dienstes aufgrund der begrenzten Videoqualität der Handykameras nicht erkennen. "Die Ausrüstung beschränkte sich hardwareseitig auf preisgünstige Verbraucherelektronik sowie rote Wasserfarbe, softwareseitig wurde auf die quelloffene Programmbibliothek OpenCV (Bradski, 2000) zurückgegriffen", so der CCC.
"Während sich alle Welt vor ausgefeilten Deep Fakes fürchtet, gelang hier der Angriff mit Uralt-Technik und einfachen Mitteln." Es sei gelungen, bei sechs Video-Ident-Lösungen "den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln. Bis heute blieben diese Angriffe unerkannt." Um welche Anbieter es sich handelt, gibt der CCC nicht bekannt. In einem Fall sei es auch möglich gewesen, mit einem gefälschten Ausweis auf Daten wie Rezepte für Medikamente eines Krankenkassen-Kunden zuzugreifen. Der CCC fordert als Konsequenz, "diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht".

IT-Dienstleister untersagt Krankenkassen Videoidentifikation

Reagiert auf den Report hat bereits der deutsche IT-Dienstleister der Gesundheitsbranche Gematik. Der Zugang zur Elektronischen Patientenakte mit Video-Ident wurde gestoppt. Krankassen ist die Nutzung ab sofort untersagt. Gematik werde Video-Ident erst wieder zulassen, wenn die betroffenen Krankenkassen wirksame Gegenmassnahmen vorweisen könnten.
Wenig begeistert von diesem Vorgehen zeigt sich der Branchenverband Bitkom. In einer Mitteilung schreibt er: "Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen. Statt Anbieter mit Verdacht auf Sicherheitslücken anzusprechen und Lösungen zu erarbeiten, wurden alle Dienste pauschal gesperrt."
Das am Hack beteiligte CCC-Mitglied Martin Tschirsich erklärt hingegen: "Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Video-Ident zu setzen, wo durch Missbrauch potenziell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten." Zudem müssten Verantwortliche nun abwägen, wie mit bereits durchgeführten Identitätsfeststellungen umzugehen ist.

Loading

Mehr zum Thema

image

Neue Chefin für das BSI

Die Tech-Expertin Claudia Plattner soll die Spitze des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) übernehmen, nachdem das Amt monatelang unbesetzt war.

publiziert am 7.2.2023
image

Polizei schiesst Kryptomessenger Exclu ab

Die App soll ein grosser Favorit von Kriminellen und Drogenschmugglern gewesen sein. Nun haben die Behörden die Dienste abgeschaltet, auch dank Hinweisen aus dem "Cyberbunker".

publiziert am 7.2.2023
image

EFK: Skyguide muss das Continuity Management verbessern

Im Rahmen des Programms "Virtual Center" kommt es zu grossen Veränderungen im IT-Betrieb von Skyguide. In einer zweiten Prüfung anerkennt die Finanzkontrolle zwar Fortschritte, aber beim IT Continuity Management gibt es noch viel zu tun.

publiziert am 7.2.2023
image

Uni Zürich blockiert ausländische Website-Zugriffe

Aus dem Ausland kann nicht mehr auf die Website und Mailboxen der Universität Zürich zugegriffen werden.

publiziert am 7.2.2023