VideoIdent – sicher vor Hackerangriffen?
Bei neuen, komplett digitalen Verfahren besteht die Gefahr, dass diese mit krimineller Absicht ausgetrickst werden. Der Chaos Computer Club (CCC), die grösste deutsche Hackervereinigung, hat versucht, Sicherheitslücken bei digitalen Identifikationsverfahren aufzuzeigen.
Chaos Computer Club, Deutschland
In einem Bericht des Chaos Computer Clubs (CCC) vom 10. August 2022 wurde detailliert über erfolgreiche Deep Fake-Angriffe auf digitale Identifikationsanbieter informiert. Dies hatte in Deutschland zu einer breiten medialen Diskussion geführt über die Sicherheit von VideoIdent als Identifikationsmethode.
Wie sicher sind die digitalen Identifikationsverfahren von Intrum?
IDnow, der exklusive Software-Partner von Intrum bei digitalen Identifikationsverfahren für die Schweiz, wurde in dieser Aktion vom CCC ebenfalls angegriffen. Die regulierten Ident-Produkte mit Verifizierung von Sicherheitsmerkmalen (z. B. ePA, QES, BaFin / GWG) konnten die Versuche jedoch erfolgreich erkennen und abwehren, was vom CCC auch so bestätigt wurde. Die Angriffe wurden sowohl von verschiedenen KI-basierten Algorithmen als auch von den Mitarbeitenden erkannt. Der CCC war also nachweislich nicht in der Lage, die regulierten Ident-Produkte von IDnow zu überlisten.
Andere gesetzliche Regelungen in der Schweiz
In der Schweiz sind für digitale Identifikationsverfahren andere Regulationen (FINMA für Geldwäscherei und ZERTES für elektronische Signatur) im Einsatz als in Deutschland. Die in den Medienberichten erwähnte Angriffsvariante des CCC bezieht sich auf ein automatisiertes Identifikationsverfahren für das elektronische Patientendossier in Deutschland. Der dazugehörige Workflow und die Regulation unterscheiden sich in diversen Punkten von der in der Schweiz bekannten und praktizierten Video-Identifikation.
Fazit
Dem CCC ist es nicht gelungen, Systeme und Technologie von IDnow zu überwinden. Zusätzlich bezieht sich der beschriebene Angriff in keiner Weise auf die regulatorische und operative Situation von digitalen Identifikation in der Schweiz.
Keine Identifizierungsmethode ist zu 100 Prozent sicher, weder online noch persönlich. Generell hat sich jedoch über die Jahre gezeigt, dass Online-Verfahren auf Grund der technischen Unterstützung deutlich sicherer sind im Vergleich zu einer persönlichen Identifizierung.