Wer in den letzten zwei Jahren einen Vertrag unterschreiben musste, kam vermutlich mit dem Video-Ident-Verfahren in Kontakt. Gerade zu Pandemiezeiten wurde diese Methode der Identifikation häufig genutzt.
Dabei muss man seinen Personalausweis bereithalten und mit einer echten Person oder einer KI am anderen Ende in einer Videokonferenz mit Livevideo sein Ausweisdokument vor die Kamera halten. Es werden dann Sicherheitsmerkmale wie Hologramme oder Wasserzeichen geprüft. Doch auch die eigenen körperlichen Merkmale müssen zu erkennen sein. Beleuchtung und Gesicht müssen stimmen und folgen einer gewissen Choreografie.
Jetzt hat der Chaos Computer Club (CCC) in der letzten Woche eine verblüffend einfache Methode vorgestellt [1], wie man dieses Verfahren überlisten kann. Dabei kommen nicht irgendwelche spezialisierten und hochkomplizierten Methoden zum Einsatz, sondern eher der alte Farbkasten aus Schulzeiten und etwas Open Source[2] [3]. Es gelang dem Angreifer damit, diverse Video-Ident-Verfahren zu überlisten und sich sogar Zugang zur digitalen Patientenakte einer Testperson zu verschaffen. Ein Szenario, vor dem Datenschützer schon lange gewarnt haben. Überraschend ist jetzt vor allem die Einfachheit des Verfahrens.
Die gute Nachricht ist immerhin, dass die Verwendung dieser Vorgehensweise für die Krankenkassen erstmal untersagt wurde.
Verweise
[1] https://www.ccc.de/de/updates/2022/chaos-computer-club-hackt-video-ident
[2] https://github.com/sensity-ai/dot
[3] https://www.ccc.de/system/uploads/329/original/Angriff_auf_Video-Ident_v1.2.pdf
