CCC offenbart Schwachstellen im "Video-Ident-Verfahren"

Stand: 10.08.2022, 18:00 Uhr

Experten aus dem Kreis des Chaos Computer Club (CCC) haben mit vergleichsweise einfachen Mitteln die Video-Ident-Verfahren von gleich sechs Anbietern ausgehebelt - und konnten sich so Zugriff auf teils sensible Daten verschaffen. Darunter auch auf eine Patientenakte. WDR-Digitalexperte Jörg Schieb erklärt die Hintergründe.

Von Jörg Schieb

Wer sich irgendwo ganz offiziell anmelden möchte, muss seine wahre Identität belegen. Früher war dazu ein Gang zur Postfiliale nötig. Doch seit einigen Jahren können sich Menschen auch mit einem "Video-Ident-Verfahren" identifizieren: Sie müssen dazu in einem Video Call ihr Ausweisdokument herzeigen (Personalausweis oder Reisepass) und ihr eigenes Gesicht in die Kamera halten. Das Verfahren soll unnötige Behördengänge ersparen.

Nur geringer Aufwand erforderlich

Doch Mitglieder des Chaos Computer Club (CCC) haben nun in einem ausführlichen Versuch nachgewiesen: Das Video-Ident-Verfahren lässt sich mit nur vergleichsweise geringem Aufwand aushebeln - die Mitarbeiter der Ident-Dienste täuschen. Wie genau die Experten dazu vorgegangen sind, ist ausführlich dokumentiert und lässt sich auf der Webseite des CCC nachlesen (bzw. ein PDF herunterladen).

Die CCC-Mitglieder haben das Ident-Verfahren überlistet, um eine elektronische Patientenakte (ePA) für eine fremde Person anzulegen und zu befüllen. Die betroffene Person war eingeweiht und einverstanden. Auf diese Weise ist es gelungen, sich Zugriff auf Diagnosen, Rezepte und Bescheinigungen zu verschaffen. Völlig unbemerkt.

Video-Ident-Verfahren für Patientenakte gestoppt

Welche Video-Ident-Anbieter dabei überlistet wurden (es gibt eine Vielzahl), hat der CCC nicht mitgeteilt. Stattdessen fordert der CCC in einer Pressemitteilung, die Verfahren generell "nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht, zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten". Unverzüglich hat die für die Digitalisierung zuständige Gematik GmbH reagiert und den Krankenkassen die weitere Nutzung des Video-Ident-Verfahrens vorläufig untersagt.

Eine Person hält einen gefälschten Ausweis in der Hand.

Eine Open-Source-Software und ein Kamera-Trick mit roten Händen reicht aus, um Video-Ident-Systeme zu überlisten

Beim Video-Ident-Verfahren steht die Überprüfung des Ausweisdokuments im Vordergrund. Die Mitglieder des CCC haben mit einfachen technischen Mitteln, unter anderem einer frei zugänglichen OpenSource-Anwendung, die Ausweisdokumente gefälscht. Das Foto der Person, die sich im Ident-Verfahren zeigt, muss in den Ausweis montiert werden. Ebenso muss ein Hologramm in den Ausweis montiert werden, der das Gesicht zeigt.

Software gaukelt Ausweis vor

Ein gefälschter Ausweis mit den Daten und Bild von Elvis Presley, von einem Bildschirm fotografiert

Die Software erzeugt einen virtuellen Ausweis mit Foto und Hologram – hier einen Personalausweis von Elvis Presley

Bei einem Anruf in einem Video-Ident-Callcenter müssen die Anrufer den Ausweis in der Hand halten, ihn bewegen und auf Anordnung auch Stellen des Ausweises mit Fingern abdecken. Das wurde mit Hilfe der Software gemacht, die für eine bewegte Darstellung des quasi virtuellen Ausweises gesorgt hat. Wie in einem "Greenscreen"-Effekt werden die Finger - zur besseren Verarbeitung durch die Software im Versuch rot angemalt - ausgestanzt, mit dem virtuellen Ausweis zusammengeführt und die Finger wieder in Hautton gebracht.

Da die Bildqualität in einem Video-Ident-Call eher schlecht ist, ist das bei den Versuchen nicht weiter aufgefallen. Hologramme und erst recht Einprägungen im Ausweis lassen sich im Video-Ident-Verfahren nicht zuverlässig überprüfen.

Elektronischer Personalausweis

Die Versuchsanordnung des CCC belegt: Es ist zwar nicht einfach, einen Ausweis zu fälschen (aufgrund von Hologramm und anderen Methoden), aber doch vergleichsweise einfach, in einem Video-Call den Eindruck zu erwecken, einen echten Ausweis in der Hand zu halten - obwohl er mit Standard-Software generiert wird.

"Besonders bitter ist, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt werden", erklärt der CCC. Damit ist gemeint: Seit über 10 Jahren lassen sich Personalausweise zur digitalen Identifizierung verwenden. Mit der AusweisApp2 ist das mit jedem handelsüblichen Smartphone bequem und ohne weitere Kosten möglich. Doch kaum jemand benutzt diese Funktion - weder Behörden, noch Bürger.

Abbildung des digitalen Personalausweises

Der digitale Personalausweis wird selten eingesetzt, dabei ist die Handhabung einfach und sicher

Dabei wäre diese Form des Ausweisens deutlich sicherer. Die Politik müsste diese Methode aber stärken - und vor allem Behörden anweisen und befähigen, dass sich Bürger möglichst überall damit online ausweisen können. Dann wären Video-Ident-Verfahren überflüssig.

Über den Autor

Jörg Schieb, WDR-Digitalexperte.

Jörg Schieb, Jahrgang 1964, ist WDR-Digitalexperte und Autor von 130 Fachbüchern und Ratgebern. Er beschäftigt sich seit vielen Jahren mit der Digitalisierung und deren Auswirkungen auf unseren Alltag.

Aktuelle TV-Sendungen