»Totalausfall« Chaos Computer Club entlarvt Schwachstellen bei Videoidentifizierung

Mithilfe eines Fernsehers und roter Farbe konnten Hacker sich als jemand anders ausweisen. Sie halten die Video-Ident-Technik, mit der Banken, Krankenkassen und Mobilfunkdienste ihre Kunden verifizieren, für unsicher.
So oder ähnlich sieht es aus, wenn jemand seinen Personalausweis per Video-Ident-Verfahren verifiziert

So oder ähnlich sieht es aus, wenn jemand seinen Personalausweis per Video-Ident-Verfahren verifiziert

Foto: Andrea Warnecke / picture alliance / dpa Themendienst

Wer heute ein Konto bei einer Onlinebank oder einen neuen Mobilfunkvertrag abschließen will, muss nicht mehr unbedingt in einer Filiale des Anbieters vorsprechen. Oft reicht eine virtuelle Vorstellung per Handy-App, um so über eine Art Videoanruf Ausweis oder Führerschein vorzuweisen und zu verifizieren. Entsprechende Möglichkeiten zur Videoidentifizierung, im Alltag oft Video-Ident genannt, werden in immer mehr Bereichen angeboten.

Nun zeigen jedoch Experten des Chaos Computer Clubs (CCC) um den renommierten Sicherheitsforscher Martin Tschirsich, welche Sicherheitsrisiken das Verfahren offenbar birgt. Sie schafften es mit geringem Aufwand, sich bei sechs Anbietern unter falscher Identität anzumelden und konnten sogar die elektronische Patientenakte einer eingeweihten Testperson einsehen.

Bereits am Dienstag hatte der IT-Dienstleister der Gesundheitsbranche Gematik aufgrund der vom CCC nun öffentlich vorgestellten Angriffsmethode  den Zugang zur elektronischen Patientenakte mit Video-Ident gestoppt, Krankenkassen müssen das System abschalten. Heute gaben die Hacker Details darüber preis, welche Sicherheitslücken sie in marktüblichen Methoden zur Videoidentifizierung gefunden haben.

Fernseher und Farbe

Die Herausforderung für die Sicherheitsforscher: Sie mussten die Mitarbeiter bei verschiedenen Video-Ident-Diensten täuschen. Diese überprüfen nämlich in einem Videoanruf bestimmte Sicherheitsmerkmale wie die auf Ausweisen integrierten Hologramme. Um gefälschte Dokumente zu entlarven, werden die Kunden angewiesen, den Ausweis in verschiedenen Winkeln vor die Kamera zu halten, manchmal müssen sie auch bestimmte Teile des Ausweises mit dem Finger abdecken, um Videomanipulationen zu erschweren.

Um in einem solchen Echtzeitgespräch einen authentischen Ausweis durch die digitale Fälschung zu überdecken, war deshalb einiger Aufwand erforderlich. Zur Vorbereitung musste Sicherheitsforscher Tschirsich zuerst den echten Ausweis aus vielen Blickwinkeln fotografieren. So konnte die Hacker einen digitalen Zwilling des Dokuments erzeugen, in dem sie den Namen, Adresse oder auch das Bild ersetzen konnten. Bei dem Videoanruf mit dem Support-Mitarbeiter konnte dann der echte Ausweis nahtlos durch den gefälschten Zwilling ersetzt werden.

Um im Videoanruf das gefälschte Videobild vorzuführen, waren keine komplexen Hacks notwendig: Die Hacker filmten schlicht einen handelsüblichen Fernseher ab, auf dem sie das in Echtzeit manipulierte Video einspielten. Dass der Hacker nicht direkt vor dem Handy saß, konnten die Mitarbeiter des Video-Ident-Dienstes aufgrund der begrenzten Videoqualität der Handykameras nicht erkennen.

Laientaugliche Täuschung

Schwierigkeiten bereiteten den Hackern aber Details. Da die Echtzeit-Technik der Hacker mitunter Probleme hat, Objekte zu unterscheiden, gab es Probleme, wenn sie einen Teil des vorgelegten Dokuments mit ihren Fingern abdecken sollten. Die resultierenden Fehler im Video hätten die Täuschung leicht auffliegen lassen. Doch das Problem war schnell gelöst: Die Testperson malte die Hand kurzerhand mit roter Farbe an, sodass der Computer sie leichter von dem Ausweis unterscheiden konnte. Der Hand per Videomanipulation wieder eine natürliche Farbe zu verleihen, war kein Problem.

Der Sicherheitsforscher Tschirsich, der den am Mittwoch vorgestellten CCC-Bericht verfasst hat, geht allerdings davon aus, dass prinzipiell auch Laien die Schwachstellen ausnutzen könnten. Die benötigten Techniken zur Videomanipulation seien bereits weitverbreitet.

Zugriff auch auf andere Kundendaten

Die Bilanz der Hacker fällt vernichtend aus: Sechs getestete Anbieter akzeptierten nach ihrer Darstellung nicht nur die falschen Dokumente, in einem Fall entdeckten die Sicherheitsforscher auch eine Schwachstelle, mit der sie auf die Daten anderer Kunden zugreifen konnten.

Um zu überprüfen wie fälschungsanfällig die Verfahren sind, forderten die Hacker bei den Anbietern auch das abgespeicherte Videomaterial ihrer Videoidentifizierung mit dem falschen Ausweis an. Das Ergebnis: Imperfektionen in den manipulierten Videos waren zwar vereinzelt sichtbar, wurden von den Mitarbeitern der Video-Ident-Anbieter aber nicht entdeckt. Ebenso sollen sie ignoriert haben, ob die im Hologramm enthaltenen Sicherheitsmerkmale mit den anderen Informationen im Dokument übereinstimmen. Fazit des CCC: Die heute praktizierte Videoidentifizierung sei ein »Totalausfall«.

Tschirsich fordert Konsequenzen: »Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Video-Ident zu setzen, wo durch Missbrauch potenziell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten«, erklärt der Sicherheitsforscher. Auch die Versprechen der Anbieter, die Videoidentifizierung mittels künstlicher Intelligenz zu verbessern, seien eine Sackgasse.

Bei den Anbietern dürfte das Fazit auf wenig Zustimmung stoßen. Der IT-Branchenverband Bitkom beschwerte sich am Mittwoch öffentlich über die Abschaltung bei den Krankenkassen. »Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen« erklärte Bitkom-Hauptgeschäftsführer Bernhard Rohleder.

Statt die Technik pauschal zu untersagen, hätten Lösungen zur Absicherung der Verfahren vorgelegt werden müssen. Die Onlinefunktion des Personalausweises sei derzeit aber noch keine praktikable Alternative, da zu wenige Bürgerinnen und Bürger die Funktion aktiviert hätten oder nicht wüssten, wie die Identifizierung funktioniert.

tmk
Die Wiedergabe wurde unterbrochen.