Das Videoident-Verfahren, was unter anderem zum Eröffnen von Konten genutzt wird, ist in der Kritik. Ein Hack beweist, wie einfach das System zu manipulieren ist. Eine sichere Alternative dazu ist nicht sehr beliebt.
Seit Jahren gibt es in Deutschland das Videoindent-Verfahren, um digital Identitäten zu überprüfen. Zunächst werden dabei die biometrischen Daten unserer Gesichter durch die Webcam oder die Kamera des Smartphones erfasst. Danach werden wir mit einem Mitarbeiter oder einer künstlichen Intelligenz verbunden, die uns bittet, den Personalausweis nun ebenfalls in die Kamera zu halten. Der Ausweis muss dann gegebenenfalls gedreht und gewendet werden und wir in die Kamera winken.
Das Prozedere fühlt sich in der Tat etwas holprig an, sagt Deutschlandfunk-Nova-Netzreporter Andi Noll. Und auch im internationalen Vergleich ist diese Technik veraltet.
Nicht nur an der veralteten Technik, sondern auch an der Sicherheit gab es in der Vergangenheit Kritik von Datenschützern und durch das Bundesamt für Sicherheit in der Informationstechnik. Auch haben IT-Sicherheitsexperten des Chaos Computer Clubs bewiesen, dass Videoident-Verfahren hacken zu können.
"Der Chaos Computer Club konnte diese Überprüfung aushebeln, indem er das Passfoto eines fremden Personalausweises digital durch sein eigenes ersetzt hat."
Das Passfoto eines fremden Personalausweises ersetzte Martin Tschirsich vom Chaos Computer Club digital durch sein eigenes Foto. Wichtig war dabei, dass der manipulierte Ausweis auf einem Fernsehgerät wiedergegeben und dann den Bildschirm abgefilmt wurde, um unterschiedliche Winkel zu erhalten. In den unterschiedlichen Blickwinkeln des Films baute Martin Tschirsich anschließend digital sein eigens Passbild ein.
Hört sich kompliziert an, ist es aber nicht, das sagt zumindest der Chaos Computer Club in einem Artikel zum Hack. Bei sechs unterschiedlichen Videoident-Systemen schaffte es Martin Tschirsich sich durch den Hack eine falsche digitale Patientenakte anzulegen.
Konsequenzen für Videoident-Verfahren
Nachdem der Chaos Computer Club seinen Hack veröffentlicht hat, wurde das Videoident-Verfahren bei den Krankenkassen erst mal eingestellt. In der deutschen Finanzbranche wird es aber immer noch genutzt, um Konten zu eröffnen. Die Begründung: Es gibt so kurzfristig keine Alternative.
Deutschlandfunk-Nova-Netzreporter Andreas Noll ist da anderer Meinung. Der elektronische Personalausweis ist die sicherste Möglichkeit zur digitalen Identifizierung. In Deutschland gibt es den E-Perso schon seit mehr als zwölf Jahren. Durchgesetzt hat sich das Verfahren hier allerdings bis jetzt noch nicht.