Das zur digitalen Personenidentifizierung genutzte „Video-Ident-Verfahren“, konnte bei verschiedenen Anbietern durch den Chaos Computer Club (CCC) ohne großen Aufwand getäuscht werden, wodurch es der Gruppe möglich war, sich Zugang zu mitunter vertraulichen Informationen zu verschaffen.
Durch die fortschreitende Digitalisierung ist es seit mehreren Jahren möglich, seine Identität für eine Anmeldung auch online nachzuweisen, so können bspw. Behördengänge vermieden werden. In den Videoanrufen kontrolliert ein*e Mitarbeiter*in die Übereinstimmung von den bereits angegebenen Daten, der Person und dem Ausweisdokument. Dabei müssen Gesicht wie Dokument lediglich auf dem Videoanruf klar sichtbar sein und in verschiedene Richtungen bewegt werden, um deren Echtheit zu belegen.
Der CC-Club täuschte mehrere Unternehmen durch Fälschung der Ausweisdokumente, unter anderem mithilfe einer Open-Source Anwendung, die öffentlich zugänglich ist. Zudem spielte der Gruppe die schlechte Qualität der Anrufe in die Hände, wodurch kleine Ungereimtheiten nicht auffielen. Unter anderem konnte auf konkrete Gesundheitsdaten einer Person zugegriffen werden, die ihr Einverständ-nis vorab zu diesem Versuch gegeben hatte.
Das genaue Vorgehen der auf Computersicherheit spezialisierten NGO ist auf deren Website nachzulesen, um welche sechs Unternehmen es sich bei den erfolgreichen handelt, haben die Expert*innen aber nicht bekanntgegeben. Allerdings folgte auf die Bekanntgabe der Sicherheitslücke eine Anordnung der für die Digitalisierung der Krankenkassen zuständigen Gematik GmbH, welche die weitere Nutzung der Anwendung verbot.
Grundsätzlich sollte die Verifizierung von Personen im digitalen Raum längst durch den Wechsel zum digitalen Personalausweis realisiert worden sein. Doch nur wenige Bürger*innen verfügen bislang über diesen, zumal es auch hier starke Kritik an der von der Bundesregierung eingesetzten Technologie gibt.
Quelle: www.tagesschau.de
Picture by mohamed_hassan on pixabay
Text: CC-BY-SA 3.0