Chaos Computer Club trickst Video-Ident mit Manipulationen der Videobilder aus
Hackern des Chaos Computer Clubs ist es gelungen, mittels Videomanipulationssoftware das Video-Ident-Verfahren zu überlisten. Die Angreifer verschafften sich Zugang zu vertraulichen Informationen der elektronischen Patientenakte einer Testperson und zeigten, dass die Video-Identifizierung nicht sicher ist.
Sicherheitsforscher des Chaos Computer Clubs überwinden Video-Ident
"Im Video-Ident-Verfahren können Nutzer ihre Identität im Internet nachweisen, indem sie ein Video von sich und ihrem Ausweisdokument an einen Video-Ident-Anbieter übertragen und dort durch einen Mitarbeiter oder eine Software prüfen lassen", schreibt der Chaos Computer Club auf seiner Website. In einem "Angriff" auf dieses Verfahren haben Sicherheitsforscher des Clubs die Prüfung mit gefälschten Videos ausgetrickst und eklatante Sicherheitsmängel aufgedeckt. Den Mitarbeiterinnen und Mitarbeitern der Identitätsverifizierung ist es dabei ebenso wenig gelungen, den Betrug zu erkennen wie der behilflichen künstlichen Intelligenz. Für den Chaos Computer Club bestätigen sich damit längst geahnte Sicherheitsbedenken. Schon seit geraumer Zeit wird Kritik gegen den Einsatz des Video-Ident-Verfahrens laut. Nach Angaben des Chaos Computer Clubs würde die Bundesregierung dieser Kritik jedoch den Einwand entgegensetzen, dass "bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt" sind. Nun liefert der Hacker-Verein allerdings aus seiner Sicht einen solchen Vorfall. Durch die Videomanipulation schafften es die Angreifer, den Prüfern eine falsche Identität vorzugaukeln und auf diese Weise Zugriff auf die elektronische Patientenakte einer Testperson zu erhalten.
Die Schwachstelle des Video-Idents ist das Video selbst
In seinem Bericht über den durchgeführten Angriff schreibt Martin Tschirsich vom Chaos Computer Club, dass eine bekannte Schwäche des Video-Ident-Verfahrens das Video selbst ist. Die Prüfung der Identität und der Echtheit des Personalausweises erfolgt nicht anhand realer Dokumente, sondern anhand entsprechender Videobilder. Eine Mitarbeiterin oder ein Mitarbeiter eines Video-Ident-Anbieters muss demnach nicht nur prüfen, ob ein Ausweis echt ist, sondern auch, ob das übertragene Video echt ist. Letzteres hat dabei eine besondere Bedeutung. Ist schließlich bereits das Video eine Fälschung, kann nicht mehr festgestellt werden, ob die Person und der gezeigte Personalausweis in Wirklichkeit auch so aussehen. Durch moderne Videomanipulationsprogramme und sogenannte "Deep Fakes" können Gesichter in Videos eine ganz andere Gestalt annehmen und Bilder täuschend echt manipuliert werden. Für Betrüger kommt bei der schlechten Übertragungsqualität erleichternd hinzu, dass viele Sicherheitsmechanismen des Personalausweises beim Video-Ident nicht funktionieren bzw. nicht geprüft werden können. Im Grunde bleibt den Kontrolleuren nur übrig, das allgemeine Aussehen des Dokuments sowie die darauf befindlichen Hologramme abzugleichen. Beides können erfahrene Hacker jedoch recht leicht manipulieren - wie Tschirsich in seinem Bericht zeigt.
Hacker nutzten für Angriff einfache Methoden
Statt auf hochmoderne Methoden wie Deep Fakes zurückzugreifen, nutzte Tschirsich simple und frei zugängliche Open-Source-Software, um das Video-Ident-Verfahren zu überlisten. Er benötigte für das Gelingen seines Betrugs nur unterschiedliche Videoaufnahmen des Personalausweises einer anderen Person. Das Dokument bzw. die erforderlichen Bilder könnten Kriminelle durch Diebstähle oder Schwindel ergaunern. Danach konnte Tschirsich mit Bildausschnitten und -bearbeitungen Teile des gestohlenen Ausweises auf seinen Ausweis übertragen - einschließlich der sicherheitsrelevanten Hologramme. Die Täuschung wurde perfekt, indem selbst beim Abdecken gewisser Hologramme durch die Finger ein Computerprogramm die nicht mehr sichtbaren Stellen des Personalausweises erkannte und dort die Überlagerung mit eingespielten Hologrammen aussetzte. Hierfür musste der Hacker seine Finger nur mit roter Farbe anmalen, welche bei der Übertragung durch eine andere Software im Video wieder als Hautfarbe erschien. Damit sind selbst angewandte Prüfverfahren, die den Mitarbeiterinnen und Mitarbeitern dabei helfen sollen Videomanipulationen erkennen zu können, wirkungslos.
Chaos Computer Club fordert Abkehr vom Video-Ident-Verfahren
Angesichts des erfolgreichen Angriffs fordert der Chaos Computer Club das Video-Ident-Verfahren nicht länger zu benutzen. Zumindest sollte es nicht mehr dort eingesetzt werden, "wo ein hohes Schadenspotenzial besteht". "Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Video-Ident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können - zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten", sagt Tschirsich. Die Annahme, dass der Einsatz von künstlicher Intelligenz bei der Prüfung die bekannten Schwächen beheben könnte, habe sich nun in der Praxis als falsch erwiesen. Neben den großen Sicherheitsmängel, kritisiert der Chaos Computer Club auch die Datenerhebung im Zuge des Video-Idents. "Im Rahmen der Identitätsüberprüfung fallen bei den Dienstleistern beispielsweise biometrische Informationen an. Ein selektives Offenbaren nur der für den Identifikationsvorgang notwendigen Informationen, welches im elektronischen Personalausweis von Anfang an eingebaut wurde, ist hier nicht einmal vorgesehen", erklären die Hacker. Damit würden mehr Daten transferiert, als gebraucht werden. In den Händen der Dienstleister könnten hier erneut Anfälligkeiten für Hackerangriffe und Betrügereien resultieren.
Nicolas Flohr / Redaktion finanzen.net
Weitere News
Bildquellen: BeeBright / Shutterstock.com, Lichtmeister / Shutterstock.com