Smartphonevideo an, Personalausweis in die Kamera halten, mit der Hand davor hoch- und runterwischen: Wer mal online ein Bankkonto eröffnet oder eine elektronische Patientenakte bei seiner Krankenkasse angelegt hat, hat sich sehr wahrscheinlich schon per Video oder Foto identifiziert. Viele nutzen das Verfahren, weil es bequem von zu Hause aus geht.
Doch fast genauso leicht, wie man sich online mit dem Videoident-Verfahren identifizieren kann, kann man es offenbar auch manipulieren. IT-Sicherheitsforschern ist es kürzlich gelungen, sich digital als eine andere Person auszugeben und ein Dokument auf deren Namen auszustellen. Das wirft die grundsätzliche Frage auf, wie sicher das Verfahren ist – und für welche Zwecke man es wirklich noch einsetzen sollte.
Perso gefälscht, Patientenakte für eine andere Person angelegt
Anlass für die Debatte ist ein Hack des IT-Sicherheitsexperten Martin Tschirsich vom Chaos Computer Club (CCC). Er hat es geschafft, eine digitale Patientenakte für eine andere Person anzulegen und dabei gleich sechs verschiedene Videoident-Lösungen zu überlisten. Und das nicht mit komplexen Deepfakes, wie der CCC betont, sondern "mit Uralttechnik und einfachen Mitteln".
Für seinen Hack ersetzte Tschirsich zunächst das Passfoto eines fremden Personalausweises digital durch das eigene. Vereinfacht ausgedrückt filmte er dafür das zu fälschende Ausweisdokument aus verschiedenen Blickwinkeln und baute die Einzelbilder anschließend digital mit seinem eigenen Passbild zusammen.
So präpariert begab sich Tschirsich in das Livevideotelefonat. Seinen eigenen Ausweis in der Hand haltend, ersetzte eine Software innerhalb eines Sekundenbruchteils das übertragene Videobild des Ausweises durch die vorbereitete Fälschung.
Damit Tschirsich sichergehen konnte, dass die Fälschung von seinem Gegenüber nicht erkannt würde, griff er auf eine analoge Täuschung zurück. Angelehnt an die Greenscreen-Technik tauchte er seine Hand in rote Aquarellfarbe. Dem Softwareprogramm sagte er vorab, es solle die Farbe Rot bei der Überlagerung mit dem digitalen Ausweis aussparen. Damit auch die roten Hände den Sachbearbeiter am anderen Ende der Leitung nicht stutzig machten, färbte die Software die erkannte Hand wieder hautfarben ein. So konnte Tschirsich vor dem Dokument hin- und herwinken, ohne dass seine digitale Manipulation aufflog.
Er habe mit seinem Experiment "eine gesellschaftliche Fehlentwicklung offenlegen" wollen, sagt er im Gespräch mit ZEIT ONLINE. "Ich bin selbst gesetzlich versichert. Und ich weiß, dass neugierige Menschen alle möglichen Daten abrufen können. Ich wollte zeigen, dass das Videoident-Verfahren es ihnen zu einfach macht."
Auch wenn sicher nicht jede Person den Angriff sofort zu Hause kopieren kann: Tschirsich zufolge reicht ein moderater Aufwand, um ein Dokument so wie er zu fälschen und damit durchzukommen. Er bezieht sich bei seiner Einschätzung auf definierte Kriterien, in der Fachsprache common criteria genannt, die beschreiben, wie aufwendig eine Attacke ist. Auch der CCC schreibt: "Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar."
Smartphonevideo an, Personalausweis in die Kamera halten, mit der Hand davor hoch- und runterwischen: Wer mal online ein Bankkonto eröffnet oder eine elektronische Patientenakte bei seiner Krankenkasse angelegt hat, hat sich sehr wahrscheinlich schon per Video oder Foto identifiziert. Viele nutzen das Verfahren, weil es bequem von zu Hause aus geht.
Doch fast genauso leicht, wie man sich online mit dem Videoident-Verfahren identifizieren kann, kann man es offenbar auch manipulieren. IT-Sicherheitsforschern ist es kürzlich gelungen, sich digital als eine andere Person auszugeben und ein Dokument auf deren Namen auszustellen. Das wirft die grundsätzliche Frage auf, wie sicher das Verfahren ist – und für welche Zwecke man es wirklich noch einsetzen sollte.