Dem Chaos Computer Club ist es erneut gelungen, die Schwachstellen des unsicheren Video-Ident Verfahrens aufzuzeigen.
Bereits in der Vergangenheit hatte der Chaos Computer Club das dubiose Video-Ident-Verfahren, bei welchem Identitätsdaten per Videoübertragung durch das Internet fließen, als äußerst unsicher kritisiert, was selbst durch den Bundesdatenschutzbeauftragten bestätigt wurde.
Dennoch passierte damals nichts und Video-Ident wurde nicht verboten.
Nun liefert der Chaos Computer Club erneut einen handfesten Beweis, wie unsicher das Video-Ident-Verfahren ist.
Besonders eklatant daran ist, dass dieser Angriff selbst "von einem interessierten Hobbyisten" durchgeführt werden könnte.
Nur geringer Aufwand
Dieser Totalausfall bestätigt nun, wovor Datenschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem warnen, jedoch bei der Bundesregierung und der Bundesnetzagentur auf taube Ohren stießen. Deren Ausrede lautete: „Der Bundesregierung sind bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt.“ Einen konkreten Sicherheitsvorfall liefert der CCC hiermit gern und meldet somit Handlungsbedarf an.
Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar. Daher ist das Risiko des weiteren Missbrauchs als hoch einzuschätzen.
Video-Ident wird trotz seiner bekannten Unsicherheit von vielen Kryptoanbietern für KYC genutzt, um Kosten zu sparen.
Bezahlen müssen dafür die Nutzer (sofern sie so naiv sind und Video-Ident nutzen), indem die Nutzerdaten oft ins Darknet abfließen.
Der Chaos Computer Club fordert, das unsichere Video-Ident Verfahren zu verbieten, indem unsichere Systeme garnicht erst auf den Markt kommen dürfen (Beweislastumkehr, dass die Technik sicher ist)
Der Chaos Computer Club empfiehlt
Es wird Zeit für ein Ende der Beweislastumkehr: Nicht die Betroffenen sollten Schwächen der Systeme nachweisen müssen, die Verfahrensbetreiber sollten vielmehr verpflichtet werden, deren Sicherheit nach anerkannten Regeln zu belegen.
Die Erfüllung bestehender und neuer Anforderungen sollte künftig durch unabhängige Tests unter realen Angriffsbedingungen regelmäßig nachgewiesen werden. Insbesondere bedarf jede Aussage zur Wirksamkeit von Gegenmaßnahmen gesicherter Evidenz. Die bloße Behauptung, man habe etwas KI drübergesprenkelt, darf nicht mehr ausreichen.
Es empfiehlt sich zudem, bereits die Empfehlungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu beachten, bevor in einfacher Weise durchführbare Angriffe praktisch demonstriert werden. Dieser hatte nämlich den Einsatz von Video-Ident zur Absicherung von Gesundheitsdaten überall dort für datenschutzrechtlich unzulässig erklärt, wo sehr hoher Schutzbedarf besteht – und das bereits 2020.
Der Chaos Computer Club hat bereits in der Vergangenheit mit fundierter Kritik das dubiose Video-Ident-Verfahren auseinander genommen:
https://media.ccc.de/v/35c3-9616-circumventing_video_identification_using_augmented_realityOriginalartikel des Chaos Computer Club:
https://www.ccc.de/de/updates/2022/chaos-computer-club-hackt-video-identWeiterführende Links als Referenz am Ende des Originalartikels.