Erst im vergangenen Jahr wollte das Verkehrsministerium um Andreas Scheuer den Führerschein mit einer eigenen App revolutionieren. Doch der Versuch scheiterte, nachdem unter anderem die IT-Expertin und Aktivistin Lilith Wittmann massive Sicherheitslücken entlarvte.
Jetzt hat Verimi, ein Anbieter für ID-Wallet-Lösungen, hinter dem mehrere große Unternehmen wie Axel Springer, die Deutsche Bank, die Lufthansa und die Telekom stehen, einen Nachfolger präsentiert. Allerdings ist das Verfahren, das Verimi nutzt, um die Echtheit des originalen physischen Führerscheins zu überprüfen, alles andere als sicher, wie ein Twitter-Thread zeigt.
Martin Tschirsich von ZFT Company hat das von Verimi verwendete Foto-Ident-Verfahren getestet. Dabei hat er seinen Führerschein abfotografiert, digital seinen Namen geändert und sich das neue Dokument in einem Copy-Shop in Übergröße ausgedruckt.
Die KI bestätigte die Echtheit des Dokuments dennoch innerhalb weniger Sekunde und lud den gefälschten Führerschein in die Wallet. „Ausweislich der Verimi ID-Wallet bin ich inzwischen stolzer Besitzer mehrerer digitaler Führerscheine sowie einer Schweizer Staatsbürgerschaft“, schrieb Tschirsich bei Twitter. Echt ist davon nichts.
Verimi in der Kritik
Diese Manipulation, die keinerlei IT-Fachkenntnisse erfordert, ist natürlich ein großes Sicherheitsleck im von Verimi angebotenen Prozess. Aktuell steht das Unternehmen aber nicht nur deshalb in der Kritik. Wie Wittmann kürzlich in einem Blogbeitrag berichtete, habe das Unternehmen wohl die Bundesanstalt für Finanzdienstleistungsaufsicht getäuscht, als eine falsche Anzahl von Transaktionen über Verimi Pay angegeben wurde.
Außerdem wurden offenbar die Daten von etwa einer halben Million Menschen über mehrere Jahre im Klartext in Logfiles abgespeichert. Über diese Datenpanne informierte Verimi die Nutzer jedoch nie.