Martin Tschirsich, Sicherheitsforscher des CCC, hatte erst vor gut einer Woche darauf aufmerksam gemacht, wie leicht sich ein digitaler Führerschein bei der App Verimi fälschen lässt. Verimi verwendet zur Verifizierung der Original-Dokumente das Foto-Ident-Verfahren.

Ein naher Verwandter dieses Verfahrens ist das Video-Ident-Verfahren. Nutzer können hier ihre Identität im Netz nachweisen, indem sie in einem Videocall mit einem Drittanbieter durch einen Mitarbeiter oder eine Software überprüft wird. Allerdings lässt sich auch dieses Verfahren leicht hacken.

Dem Chaos Computer Club ist es gelungen, mit einer Open-Source-Software die Video-Ident-Verfahren von sechs verschiedenen Anbietern auszutricksen.

Die Hacker richteten sich mit falscher Identität eine elektronische Patientenakte ein und forderten in einer Mitteilung, dass das Verfahren generell nicht mehr da eingesetzt werden sollte, wo ein hohes Schadenspotenzial bestehe. Die Gematik reagierte bereits auf die Veröffentlichung und untersagte den Krankenkassen die Nutzung des Video-Ident-Verfahrens.

„Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar“, heißt es im Fazit des CCC. Aus diesem Grund fordert der CCC eine Revision: „Es wird Zeit für ein Ende der Beweislastumkehr: Nicht die Betroffenen sollten Schwächen der Systeme nachweisen müssen, die Verfahrensbetreiber sollten vielmehr verpflichtet werden, deren Sicherheit nach anerkannten Regeln zu belegen.“

Die Erfüllung bestehender und neuer Anforderungen solle künftig durch unabhängige Tests unter realen Angriffsbedingungen regelmäßig nachgewiesen werden. Insbesondere bedürfe jede Aussage zur Wirksamkeit von Gegenmaßnahmen gesicherter Evidenz. „Die bloße Behauptung, man habe etwas KI drübergesprenkelt, darf nicht mehr ausreichen.“