Experten aus dem Kreis des Chaos Computer Club (CCC) haben mit vergleichsweise einfachen Mitteln die Videoident-Verfahren von gleich sechs Anbietern ausgehebelt – und konnten sich so Zugriff auf teils sensible Daten verschaffen. Darunter auch auf eine Patientenakte.
Wer sich irgendwo ganz offiziell anmelden möchte, muss seine wahre Identität belegen. Früher war dazu ein Gang zur Postfiliale nötig. Doch seit einigen Jahren können sich Menschen auch mit einem „Video Ident Verfahren“ identifizieren: Sie müssen dazu in einem Video Call ihr Ausweisdokument herzeigen (Personalausweis oder Reisepass) und ihr eigenes Gesicht in die Kamera halten. Das Verfahren soll unnötige Behördengänge ersparen.
Nur geringer Aufwand erforderlich
Doch Mitglieder des Chaos Computer Club (CCC) haben nun in einem ausführlichen Versuch nachgewiesen: Das Video-Ident-Verfahren lässt sich mit nur vergleichsweise geringem Aufwand aushebeln – die Mitarbeiter der Ident-Dienste täuschen. Wie genau die Experten dazu vorgegangen sind, ist ausführlich dokumentiert und lässt sich auf der Webseite des CCC nachlesen (bzw. ein PDF herunterladen).
Die CCC-Mitglieder haben das Ident-Verfahren überlistet, um eine elektronische Patientenakte (ePA) für eine fremde Person anzulegen und zu befüllen. Die betroffene Person war eingeweiht und einverstanden. Auf diese Weise ist es gelungen, sich Zugriff auf Diagnosen, Rezepte und Bescheinigungen zu verschaffen. Völlig unbemerkt.
Video-Ident-Verfahren für Patientenakte gestoppt
Welche Video-Ident-Anbieter dabei überlistet wurden (es gibt eine Vielzahl), hat der CCC nicht mitgeteilt. Stattdessen fordert der CCC in einer Pressemitteilung, die Verfahren generell „nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht, zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten“. Unverzüglich hat die für die Digitalisierung zuständige Gematik GmbH reagiert und den Krankenkassen die weitere Nutzung des Video-Ident-Verfahrens vorläufig untersagt.
Beim Video-Ident-Verfahren steht die Überprüfung des Ausweisdokuments im Vordergrund. Die Mitglieder des CCC haben mit einfachen technischen Mitteln, unter anderem einer frei zugänglichen OpenSource-Anwendung, die Ausweisdokumente gefälscht. Das Foto der Person, die sich im Ident-Verfahren zeigt, muss in den Ausweis montiert werden. Ebenso muss ein Hologramm in den Ausweis montiert werden, der das Gesicht zeigt.
Software gaukelt Ausweis vor
Bei einem Anruf in einem Video-Ident-Callcenter müssen die Anrufer den Ausweis in der Hand halten, ihn bewegen und auf Anordnung auch Stellen des Ausweises mit Fingern abdecken. Das wurde mit Hilfe der Software gemacht, die für eine bewegte Darstellung des quasi virtuellen Ausweises gesorgt hat. Wie in einem „Greenscreen“-Effekt werden die Finger – zur besseren Verarbeitung durch die Software im Versuch rot angemalt – ausgestanzt, mit dem virtuellen Ausweis zusammengeführt und die Finger wieder in Hautton gebracht.
Da die Bildqualität in einem Video-Ident-Call eher schlecht ist, ist das bei den Versuchen nicht weiter aufgefallen. Hologramme und erst recht Einprägungen im Ausweis lassen sich im Video-Ident-Verfahren nicht zuverlässig überprüfen.
Elektronischer Personalausweis
Die Versuchsanordnung des CCC belegt: Es ist zwar nicht einfach, einen Ausweis zu fälschen (aufgrund von Hologramm und anderen Methoden), aber doch vergleichsweise einfach, in einem Video-Call den Eindruck zu erwecken, einen echten Ausweis in der Hand zu halten – obwohl er mit Standard-Software generiert wird.
„Besonders bitter ist, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt werden“, erklärt der CCC. Damit ist gemeint: Seit über 10 Jahren lassen sich Personalausweise zur digitalen Identifizierung verwenden. Mit der Ausweisapp2 ist das mit jedem handelsüblichen Smartphone bequem und ohne weitere Kosten möglich. Doch kaum jemand benutzt diese Funktion – weder Behörden, noch Bürger.
Dabei wäre diese Form des Ausweisens deutlich sicherer. Die Politik müsste diese Methode aber stärken – und vor allem Behörden anweisen und befähigen, dass sich Bürger möglichst überall damit online ausweisen können. Dann wären Video-Ident-Verfahren überflüssig.