News

Chaos Computer Club hackt Videoidentverfahren

Mitgliedern des Chaos Computer Clubs ist es gelungen, mit vergleichsweise einfachen Mitteln im Videoidentverfahren zu täuschen. In der Folge ist es Krankenkassen nun untersagt, das Verfahren weiterhin für die Zugangsprüfung zur elektronischen Krankenakte zu nutzen.

Videoidentverfahren immer beliebter

Beim Videoidentverfahren soll die Identität einer Person im Rahmen eines Videochats überprüft werden. Hierzu wird eine Verbindung zu einem Dienstleister aufgebaut, dem im Videochat der eigene Ausweis präsentiert werden muss. Hierbei soll der Ausweis auf Sicherheitsmerkmale geprüft und das im Ausweis abgebildete Foto mit der im Videochat zu sehenden Person abgeglichen werden. Eingesetzt wird dieses Verfahren von immer mehr Unternehmen. So ist es etwa bei zahlreichen Onlinebanken, aber auch bei Krankenkassen, Mobilfunkanbietern oder Online-Casinos das Standardverfahren zur Identifikation. Wer heute ein Konto eröffnen möchte, muss also vielfach nicht mehr persönlich in einer Niederlassung der Bank vorsprechen, sondern kann vor dem eigenen PC sitzen bleiben. Schwachstellen in diesem Identifikationssystem sind aufgrund des Einsatzes in zahlreichen sensiblen Bereichen hochgradig problematisch: Konten lassen sich unter falschen Namen eröffnen, Zugriffe auf fremde Krankenakten sind möglich usw.

Anmeldung unter falscher Identität mit geringem Aufwand möglich

Mitglieder des Chaos Computer Clubs um den Sicherheitsforscher Martin Tschirsich haben nun bewiesen, dass es mit relativ geringem Aufwand möglich ist, im Videoidentverfahren mit einer falschen Identität zu bestehen. Hierzu fertigten sie Fotoaufnahmen eines Personalausweises aus unterschiedlichsten Winkeln an und erstellten anschließend einen digitalen Klon, bei dem wichtige Daten des Dokuments ausgetauscht wurden. So wurde es möglich, ein Video zu erstellen, in welchem der gefälschte Ausweis aus unterschiedlichsten Perspektiven – und damit mit allen Sichterheitsmerkmalen – gezeigt wird.

Eine weitere häufige Prüfung im Videoidentverfahren besteht darin, Teile des Ausweises mit einem Finger zu bedecken. So sollen Videomanipulationen wie die des Chaos Computer Clubs im Prüfgespräch auffallen. Doch auch diese Hürde nahm das Team um Tschirsich. Es griff auf eine Technik zurück, die Objekte erkennen und unterscheiden und so verschiedene Videoebenen trennen kann. Neben dieser Technik – die in herkömmlicher Videobearbeitungssoftware enthalten ist – brauchte es rote Farbe. Da die Objekterkennung bei ähnlich aussehenden Objekten Schwierigkeiten hat, die Objektgrenzen korrekt zu erfassen, malte die Testperson ihre Hand rot an. So wurde es der Technik erleichtert, die Grenzen von Hand und Ausweisdokument zu erfassen und damit eine korrekte Ebenentrennung im Video vorzunehmen. Damit konnte auch die Überdeckung einzelner Ausweiselemente mit dem Finger umgesetzt werden.

Das letzte Hilfsmittel, das der Chaos Computer Club nutzte, war ein Fernseher. Über diesen wurde ein in Echtzeit manipuliertes Video mit dem gefälschten Dokument abgespielt. Mit der Handykamera wurde während des Prüfgesprächs der Fernseher abgefilmt. Den Mitarbeitenden der Prüfdienste fiel dabei nicht auf, dass sie nicht mit einer direkt vor der Kamera sitzenden Person kommunizierten. Insgesamt sechs Anbieter der Videoprüfung konnten auf diesem Wege getäuscht werden. Wie viele Anbieter getestet wurden, geht aus den veröffentlichten Dokumenten nicht hervor.

Zugriff auf sensible Daten erhalten

Im Test erhielt das Team um Tschirsich Zugriff auf zahlreiche sensible Daten. So konnte in der Folge der Videoidentifikation etwa auf die elektronische Krankenakte einer eingeweihten Person zugegriffen werden. Im Zuge des Tests fiel darüber hinaus auf, dass bei einem Anbieter auch Zugriff auf die Daten anderer Kunden bestand – was eine schwere Sicherheitslücke darstellt.

Tschirsich und sein Team forderten nach dem Test die gespeicherten Videoaufnahmen von den Anbietern an und analysierten sie. Hierbei fielen ihnen mehrere Schwachstellen in ihrer eigenen Videomanipulation auf, die von den Prüfpersonen nicht moniert worden waren. Auch Unstimmigkeiten zwischen den im Hologramm gezeigten und auf dem Ausweis offen lesbaren Daten, die in den Videos zu erkennen waren, fielen im Test nicht auf.

Krankenkassen dürfen Videoidentverfahren nicht weiter nutzen

Tschirsich forderte in der Folge, das Videoidentverfahren nicht weiter in sensiblen Bereichen einzusetzen: „Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Video-Ident zu setzen, wo durch Missbrauch potenziell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten“. Ferner forderte er eine verpflichtende Überprüfung der Unternehmen, die das Videoidentverfahren anbieten: „Es wird Zeit für ein Ende der Beweislastumkehr: Nicht die Betroffenen sollten Schwächen der Systeme nachweisen müssen, die Verfahrensbetreiber sollten vielmehr verpflichtet werden, deren Sicherheit nach anerkannten Regeln zu belegen. Die Erfüllung bestehender und neuer Anforderungen sollte künftig durch unabhängige Tests unter realen Angriffsbedingungen regelmäßig nachgewiesen werden. Insbesondere bedarf jede Aussage zur Wirksamkeit von Gegenmaßnahmen gesicherter Evidenz. Die bloße Behauptung, man habe etwas KI drübergesprenkelt, darf nicht mehr ausreichen“.

Tatsächlich reagierte die für die elektronischen Gesundheitsdaten wie auch für das E-Rezept zuständige Gematik bereits. Krankenkassen dürfen das Videoidentverfahren im Rahmen des Zugriffs auf die elektronischen Akten nicht länger einsetzen. Der IT-Branchenverband Bitkom ist mit diesem Verbot indes nicht einverstanden. Geschäftsführer Bernhard Rohleder äußerte sich wie folgt: „Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen“. Rohleder forderte stattdessen eine bessere technische Absicherung des Verfahrens. Eine solche jedoch hält Tschirsich für nur schwer leistbar: Der Einsatz von KI, in dem in der Branche ein Heilmittel für die meisten Sicherheitsprobleme gesehen wird, hält er für eine Sackgasse – und seinen nun erfolgten Test für ein starkes Argument, wird KI doch bereits heute mit dem Versprechen auf umfassende Sicherheit bei Videoidentverfahren eingesetzt.

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"