BSI und ANSSI warnen vor VideoIdent bei der digitalen EU-Brieftasche

Die EU-Staaten haben sich mit der Verordnung für eine europäische elektronische Identität (EUid) verpflichtet, ihren Bürgern bis Anfang 2027 digitale Brieftaschen für ihren Online-Ausweis zur Verfügung zu stellen. Damit sollen Nutzer künftig etwa Führerscheine oder Zeugnisse bei verschiedenen Online-Diensten digital einsetzen können. Bevor eine solche Wallet für die European Digital Identity (EUDI) verwendet werden kann, muss sie an den User gekoppelt und dafür mit dessen Identitätsmerkmalen versehen werden. Eine mögliche Technologie für dieses sogenannte Onboarding sind Verfahren für die videobasierte Fernidentifikation (VideoIdent). Experten warnen hier vor mangelhafter Security.

Um Vertrauen und Sicherheit zu gewährleisten, müssen die Onboarding-Verfahren für alle bestehenden und künftigen Dienste und Anwendungen rund um die EUDI-Wallet gemäß den Anforderungen der überarbeiteten eIDAS-Verordnung ein hohes Vertrauensniveau aufweisen. Das betonen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und seine französischen Behörde ANSSI in einer jetzt publizierten gemeinsamen Handreichung. Zu den diskutierten Methoden gehören demnach „evaluierte und zertifizierte Verfahren zur Identitätsprüfung aus der Ferne“.

Solche etwa von der SIM-Aktivierung oder Kontoeröffnung bekannten Ansätze sind den beiden Behörden zufolge zwar beliebt, da sie flexibel, ortsunabhängig und jederzeit genutzt werden könnten. Insbesondere der Einsatz videobasierter Methoden mithilfe biometrischer Merkmale bringe aber „auch erhebliche technische und sicherheitsrelevante Herausforderungen mit sich“. So könnten Identitäten mithilfe von KI generiert werden, vorgezeigte Dokumente gefälscht sein oder Angreifer sogar „die vollständige Kontrolle über übermittelte Informationen“ erlangen.

Hacker konnten VideoIdent-Verfahren einfach aushebeln

Eine videobasierte Identitätsprüfung sei „grundsätzlich anfällig für wiederholbare, skalierbare und unsichtbare Angriffe wie Präsentations- und Injektionsbedrohungen“, führen die Verfasser aus. Zudem dürften elektronische Daten aus Ausweisdokumenten derzeit in vielen Staaten gesetzlich noch nicht von Diensteanbietern ausgelesen werden. Könnten gespeicherte Lichtbilder als Referenz für den biometrischen Abgleich – sowie weitere verifizierbare Daten wie Name, Geltungs- und Geburtsdatum – genutzt werden, würde dies erhebliche Vorteile für die Sicherheit solcher Verfahren bieten.

Nötig sei daher „ein umfassender und europaweiter Ansatz für Prüfung, Zertifizierung und Standardisierung“ in diesem Bereich, heben BSI und ANSSI hervor. Nur so ließen sich eine hohe Sicherheit bei Onboarding-Prozessen, Interoperabilität zwischen nationalen Systemen und ein nachhaltiges Vertrauen von Nutzern und Aufsichtsbehörden gewährleisten. Aktuell arbeiten die zwei Sicherheitsämter nach eigenen Angaben mit daran, bestehende Standards für die Video-Identifizierung anzupassen und neue in europäischen Normungsgremien zu entwickeln.

Mitgliedern des Chaos Computer Clubs (CCC) gelang es schon Mitte 2022, die VideoIdent-Verfahren von sechs Anbietern mit einfachen Mitteln auszuhebeln. Trotzdem genehmigten deutsche Behörden Ende 2023 eine weitere Evaluierungsphase für die Nutzung dieser Technik zum Beantragen eines qualifizierten Zertifikates für digitale Signaturen.

(nie)