Chaos Computer Club überlistet Video-Ident-Verfahren
Sicherheitsforscher des Chaos Computer Clubs (CCC) haben nach eigenen Angaben erfolgreich die gängigen Lösungen für videobasierte Online-Identifizierung (Video-Ident) überwunden. Genauer gesagt ist dies Martin Tschirsich gelungen, der das Vorgehen detailliert festgehalten hat (PDF). Dabei hat Tschirsich sich unter anderem Zugriff auf die elektronische Patientenakte einer Testperson verschafft.
Trotz nachgewiesener prinzipbedingter Sicherheitsmängel wird die videobasierte Online-Identifizierung, kurz Video-Ident, inzwischen regelmäßig zur Absicherung digitaler Unterschriften, elektronischer Patientenakten, von Sozialdaten und mehr eingesetzt. Dabei wird ein in die Kamera gehaltenes ID-Dokument mit der zu identifizierenden Person abgeglichen und im Videobild auf Echtheit geprüft.
Angriffe bleiben unerkannt
Der Bericht beschreibt einen neuen Angriff auf das Verfahren mit und ohne menschlichen Operator, basierend auf videotechnischer Neukombination mehrerer Quell-Dokumente. Das Schadpotential wird praktisch demonstriert, indem unter falscher Identität auf elektronische Patientenakten zugegriffen sowie qualifizierte elektronische Signaturen erzeugt werden. Die Angriffe bleiben unerkannt.
Die auch für Laien zugängliche Angriffstechnik bedarf geringer Vorbereitungszeit und bedingt keine relevanten Kosten. Vom weiteren Einsatz des Video-Idents wird abgeraten, so Tschirsich in seinen Ausführungen.
Der CCC fordert, diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht. Die gematik hatte als Reaktion die weitere Nutzung von VideoIdent-Verfahren für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zulässig erklärt und verfügt, dass die Krankenkassen das VideoIdent-Verfahren ab sofort aussetzen. Der Verband Bitkom ist davon nicht begeistert.
-->
"Überraschung" nicht ohne Grund wird seit längerer Zeit vor dieser Methode gewarnt
Danke. Besser wieder zur Post rennen. Ist sicherer.