Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Chaos Computer Club offenbart Schwachstellen des Videoident-Verfahrens

Wer ein Bankkonto eröffnen, bestimmte Verträge abschließen oder ausgewählte Bestellungen tätigen möchte, muss nicht notwendigerweise persönlich bei einem Unternehmen auftauchen: Dank des Videoident-Verfahrens reicht eine stabile Internetverbindung sowie ein Endgerät, das mit einer Kamera ausgestattet ist – und natürlich ein Personalausweis oder Reisepass. In der Regel werden Nutzer durch den Prozess geleitet und mehrfach ihren Ausweis zeigen. Auf diese Weise gilt die Identität des Kunden als bestätigt. Allerdings weist das Verfahren einige Schwachstellen auf, wie der Chaos Computer Club (CCC) zeigt.


Zugriff auf sensible medizinische Daten
Experten des CCC und der Sicherheitsforscher Martin Tschirsch gelang es, die Echtheitsprüfung physischer Ausweisdokumente im Rahmen des Videoident-Verfahrens zu überlisten. Die Vorgangsweise legt der CCC in einem umfassenden Bericht dar: Tschirsch verschaffte sich Zugriff auf die elektronische Patientenakte einer eingeweihten Testperson. Dabei handelt es sich um äußerst sensible Daten wie medizinische Diagnosen, Arbeitsunfähigkeitsbescheinigungen, eingelöste Rezepte sowie Behandlungsunterlagen. Laut CCC sei der Angriff „von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar“. Allzu einfach geht der Schwindel jedoch nicht vonstatten: Tschirsch musste den Ausweis aus mehreren Blickwinkeln fotografieren um ein gefälschtes Dokument zu erstellen. Während des Videoanrufs blendete der CCC das zuvor manipulierte Material ein.

Krankenkassen beenden Einsatz von Videoident
Der Coup hat Folgen: Die zuständige Gematik GmbH reagierte auf die Erkenntnisse des CCC und untersagt nun den Krankenkassen den Einsatz von Videoident. Laut Tschirsch konnten sechs nationale wie internationale Anbieter überlistet werden. Er fordert weitere Konsequenzen: Es sei fahrlässig, das Verfahren in solchen Bereichen einzusetzen, in denen Missbrauch mit einem hohen Schaden für die Betroffenen einhergeht.

Kommentare

Lailaps
Lailaps11.08.22 12:07
Tja, irgendwie ist nix sicher.
Her mit der Pizza-Mix
+1
surangumal11.08.22 12:17
Lailaps
Tja, irgendwie ist nix sicher.

verstehe. könntest du mir bitte den Gefallen tun und deine Bankdaten mit 2-3 PINs hier zu posten? ist ja sowieso nix sicher, dann ist's ja wohl egal, richtig?
-8
Rosember11.08.22 12:21
Ich würde eher sagen, dass Bequemlichkeit und Sicherheit nur bedingt vertragen. Denn das ist vermutlich der eigentliche Grund für diese „Ersatzidentverfahren“: die möglichst niedrige Hürde, die Kunden wie Unternehmen/Behörden etc. bei solchen Prozessen verlangen.
+5
MacDino11.08.22 12:39
Die Frage ist eher, wie risikobereit die beiden Seiten sind.
Auch ein Ausweisdokument lässt sich „von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand“ fälschen, um diesen dann vor Ort vorzuweisen - dabei das Gegenüber noch in ein „interessantes“ und vor allem ablenkendes Gespräch verwickeln und schon erhält man („in sechs Fällen“ - von wievielen Versuchen eigentlich?) Zugriff auf das Ziel…

Nur mal so als Denkanstoss…
+1
Urkman11.08.22 13:26
Also ich habe vor kurzem ein Video Ident Verfahren gemacht und das funktionierte anders als in dem Dokument beschrieben...
+1
don.redhorse11.08.22 13:31
Verstehe dieses Identverfahren eh nicht. Mit dem ePerso gibt’s die Möglichkeit sich auszuweisen, nutzt nur keiner… seitdem Smartphones NFC beherrschen benötigt man nicht mal mehr ein Lesegerät. Hatte mir seinerzeit extra ein Reiner SCT Komfortleser gekauft. Gut, auch wegen FinTS aber da hätte es auch ein einfacherer getan.
+4
elBohu
elBohu11.08.22 13:40
Man braucht den Ausweis, damit man ihn von mehreren Seiten fotografieren kann, um dann eine Filmsequenz zu erstellen, die man dann einblendet, statt den Ausweis vorzuzeigen, immer in der Hoffnung, dass die Person nicht sagt: "Jetzt drehen Sie mal nach links, nicht nach rechts! Und dann kippen".
OK, ist so ähnlich, wie einen Fingerabdruck einer Person zu erstellen, deren Smartfone man dannklaut und es "öffnet".
Ich finde es gut, dass sich Personen oder Institutionen mit solchen Themen befassen, aber man muss auch immer schauen, welcher aufwand betrieben wird und dann als Unsicherheitsfaktor verkauft wird.
Die Passende Mail oder Anruf an die passenden Leut und die geben einem die Daten freiwillig, ganz ohne Arg...
wyrd bið ful aræd
+2
ted-23611.08.22 14:26
Hier zeigt sich wieder mal wie dämlich die deutsche Politik ist.
Ich habe die eID im Perso seit 2013 und mir auch ein Lesegerät gekauft. Bis heute konnte ich nicht ein einziges mal meine eID benutzen! Ich wurde zu allen möglichen ID-Verfahren gezwungen, ob Video oder Post-ID.
Es ist völlig bescheuert, das unsere Regierung die eID immer noch nicht gesetzlich vorgeschrieben hat! 🤮 … zu was bezahlt man diese Mehrkosten, wenn man nichts davon hat? Mittlerweile steht die Neuanschaffung des Perso an, denn nach 10 Jahren ist der alte Perso ungültig. Da zahle ich wieder für die eID und kann trotzdem nichts damit anfangen. Selbst die Behörden haben ihre selbstverpflichtende Zielsetzung, alle Behördengänge bis Ende 2022 mit der eID online zugänglich zu machen, aufgegeben. Neues Ziel ist, glaube ich, Ende 2024. Wer soll das glauben?
+5
Legoman
Legoman11.08.22 15:06
Einen Ausweis mit einer Webcam durch Laien auf Echtheit prüfen lassen zu wollen, ist schon eine sportliche Idee.
Üblicherweise nimmt man den Ausweis in die Hand, prüft u.a. Prägungen, Prüfziffern, UV-Beschaffenheit, Planchetten, Fasern u.ä. und vergleicht natürlich Lichtbild, Augenfarbe, Alter usw. mit der vorlegenden Person.
Ich bin mir ziemlich sicher, dass jede billige Hinterhoffälscherei etwas zusammenklöppeln kann, was diese Pseudoüberprüfung besteht.

(Na ja, PostIdent in der Filiale ist auch einigermaßen lächerlich. Ich musste beim letzten Mal nicht mal die Maske absetzen...)
ted-236
Hier zeigt sich wieder mal wie dämlich die deutsche Politik ist.
Man kann der Politik bestimmt ne Menge nachsagen - aber ob sie daran Schuld ist, dass Privatunternehmen diese Methode nicht nutzen, wage ich zu bezweifeln.
+2
Raziel111.08.22 15:26
Die letzten Male als ich so ein Verfahren benötigt habe hätte ein Foto gereicht um das ganze auszutricksen. Abgesehen davon bleibt noch das mulmige Gefühl Fotos von sich bzw Videos irgendwo ans Ende der Welt zu einer völlig unbekannte Agentur zu übertragen.
0
system7
system711.08.22 17:07
Als noch irgendwelche schlecht geschulten und wenig motivierten Postmitarbeiter in der Filiale diese Verifikation durchführten, war das Verfahren natürlich viel sicherer.

Videoident ist mir einmal jedoch auch negativ aufgefallen. Der Counterpart sprach kaum Deutsch und konnte das Verahren nicht einmal vernünftig erklären.
0
Legoman
Legoman12.08.22 10:12
Mir kam noch folgernder Gedanke:
Ich halte mein Gesicht und meinen Ausweis in eine Kamera und erkläre freundlich, dass ich derjenige bin usw.

Was genau soll jetzt irgendwen daran hindern, dieses Material mitzuschneiden und weiterzuverwenden?

(Soll ja Leute geben, die sich auch wundern, wenn sie nach einem schlüpfrigen Videochat plötzlich mit Nacktbildern erpresst werden. Wer hätte das nur ahnen können.)

Sensible Dinge gehören nicht vor eine Kamera, wenn man die andere Seite nicht auch kontrollieren kann. Da kollidiert wie so oft die Bequemlichkeit mit der Vernunft.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.