22. August 2022
Letzte Woche hat der Chaos Computer Club (CCC) publiziert, was längst zu befürchten war: gängige Verfahren zur digitalen Identifikation wie "Video-Ident" und "Online-Ident" sind manipulierbar und daher nur bedingt verlässlich. Ein Umdenken ist nötig. Das überzeugendste Zielbild für Use Cases mit hohem Sicherheitsbedürfnis besteht darin, mittels NFC die in physischen Ausweisen gespeicherten Daten zu nutzen.
Was ist passiert?
"Chaos Computer Club hackt Video-Ident": In unserem nördlichen Nachbarland berichtete selbst die Bild darüber. Zurecht. Denn Fakt ist: mit vergleichsweise einfachen Mitteln gelang es, sechs Video-Ident Lösungen unerkannt zu manipulieren. Wie genau? Nachfolgend einige Auszüge und Abbildungen aus der Original-Studie des Chaos Computer Club (CCC) .
"Der Angriff basiert auf der videotechnischen Kombination zweier oder mehrerer echter ID-Dokumente im Videobild zu einem künstlichen neuen ID-Dokument. Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen."
"Nach Abschluss der vorbereitenden Maßnahmen kann das Video-Ident initiiert werden. In dessen Verlauf wird die zu identifizierende Person gebeten, ihr ID-Dokument in die Kamera zu halten. Hierzu wird das Ziel-Dokument verwendet. […]. Das so manipulierte Videobild wird dann auf einem handelsüblichen Fernseher wiedergegeben. Das Fernsehbild wird unter Beibehaltung der ursprünglichen optischen Achse abgefilmt und an den Video-Ident-Anbieter übertragen"
Sicherheitselemente wie Hologramme oder die Abdeckung von bestimmten Bereichen des Ausweises durch einen oder mehrere Finger können dabei durch teils ausgeklügelte, aber relativ einfach und kostengünstig umzusetzende Massnahmen umgangen werden. Studienautor Martin Tschirsich bewertet die Ergebnisse deshalb u.a. wie folgt:
"Mit der praktischen Demonstration des Angriffs konnte gezeigt werden, dass zentrale Annahmen hinsichtlich der Sicherheit des Video-Idents gegenüber Manipulation des Videobildes nicht haltbar sind: Der demonstrierte Angriff ist zum einen wirtschaftlich durchführbar, zum anderen konnten alle implementierten Gegenmaßnahmen unerkannt überwunden werden."
Was sind die Implikationen?
Um weiteren Schaden abzuwenden, sieht der Studienautor des CCC dringenden Handlungsbedarf:
- Substantielles Vertrauensniveau kann bei Verifikation physischer ID-Dokumente aus der Ferne nicht erreicht werden. […] Gleiches gilt bei Verifikation biometrischer Merkmale aus der Ferne."
- Mittels Video-Ident durchgeführte Identitätsfeststellungen sind je nach Schutzbedarf und Risiko erneut mit geeigneten Verfahren durchzuführen."
- Eine Weiterentwicklung und der weitere Betrieb von Video-Ident ohne Kenntnis der notwendigen Gegenmaßnahmen, ohne sichere Zulassungsprozesse und belegtes Vertrauensniveau ist insbesondere im Gesundheitswesen nicht zu verantworten."
In der Schweiz wird Video-Identifikation heute insbesondere auch für das Online Onboarding bei Banken genutzt. In diesem Kontext ist wichtig zu verstehen, dass der Hack des CCC sowohl Verfahren mit als auch ohne menschliche Überprüfer betrifft.
Führt für Kontoeröffnungen und andere vergleichbare Identifikationsprozesse künftig also wieder kein Weg mehr an der persönliche Identifikation vor Ort vorbei? Und müssen allenfalls sogar die bereits digital eröffneten Kunden eine Geschäftsstelle besuchen, um sich "richtig" zu identifizieren? Grundsätzlich schon – ausser es findet sich ein alternativer Ansatz, der die Sicherheit bei Remote-Identifikationen wesentlich erhöht. Die gute Nachricht: einen solchen Ansatz gibt es.
Wie kann das Problem gelöst werden?
Sicherheitsexperten gingen seit längerem davon aus, dass rein optische Verfahren zur digitalen Identifikation irgendwann gehackt werden. Auch die Lösung scheint klar: Es braucht einen kryptographischen Beweis der Authentizität des Ausweisdokuments und dessen Inhalte.
Die zielführendste Lösung für einen solchen kryptographischen Beweis besteht unseres Erachtens darin, den in manche physischen Ausweisdokumente eingebauten NFC-Chip zu nutzen. Etwas konkreter: Der Verifier baut einen gesicherten Kanal zum Chip auf und verifiziert dessen Authentizität und die Authentizität der Daten (Personendaten, Foto).
Eine Nutzung von NFC-Chips in Ausweisen würde zwei Probleme gleichzeitig lösen: Erstens können die Personendaten kryptographisch gesichert extrahiert werden, d.h. ihre Integrität und Authentizität wird eindeutig überprüfbar. Zweitens kann so sichergestellt werden, dass die sich identifizierende Person im Besitz des physischen Ausweisdokuments ist, was auch "Deep Fake"-Attacken deutlich erschwert und in der Skalierung hindert.
Weshalb werden NFC Chips bisher nicht für die digitale Identifikation genutzt?
Die Idee des NFC-basierten Verfahrens ist nicht neu, sie wurde von der FINMA explizit als Zusatzfaktor für digitales Self-Onboarding zugelassen. Weshalb hat sie sich bisher am Markt nicht durchgesetzt?
Die NFC-Methode funktioniert nur mit Ausweisen, die einen Chip mit biometrischen Daten enthalten. Beim Schweizer Pass ist dies seit längerem der Fall, ebenso beim Ausländerausweis für Drittstaatsangehörige, nicht jedoch bei der Schweizer Identitätskarte und beim Ausländerausweis für EU/EFTA-Staatsangehörige. Die Identitätskarte der EU wiederum enthält zwar seit rund einem Jahr einen biometrischen Chip; aufgrund langer ID-Erneuerungszyklen ist jedoch erst ein Bruchteil der EU-Bevölkerung damit ausgestattet.
Sprich: Wird bei der digitalen Identifikation ein Ausweis mit NFC-Chip vorausgesetzt, werden Stand heute gewisse Bevölkerungsgruppen vom Verfahren ausgeschlossen. Und auch bei Personen mit Schweizer Pass ist eine etwas geringere Convenience und entsprechende tiefere Konversionsrate zu erwarten, weil der Pass anders als die ID-Karte nicht ins Portemonnaie passt und daher weniger griffbereit ist. Wie so oft liegt also ein Zielkonflikt zwischen Security und Convenience bzw. Conversion vor.
Fazit
Die neue Studie des Chaos Computer Club kommt für Expertenkreise zwar nicht überraschend, dies ändert jedoch nichts an ihrer Relevanz und Tragweite.
So bedauerlich diese Erkenntnis auch ist: Die aktuell in der Schweiz angewendeten digitalen Identifikationsmethoden können ihrem Anspruch des hohen Vertrauenslevels nur bedingt gerecht werden.
Um die Sicherheit bei der Remote-Identifikation wesentlich zu erhöhen, braucht es einen kryptographischen Beweis der Authentizität des Ausweisdokuments und dessen Inhalte. Mit der Nutzung von NFC-Chips in physischen Ausweisen ist ein solcher Beweis möglich. Selbst dann verbleibt zwar ein gewisses Restrisiko durch "Deep Fakes" von Video-Selfies. Wenn der Angreifer zusätzlich im Besitz des physischen Ausweisdokuments mit NFC-Chip sein muss, ist eine solche "Deep Fake" Angriffsmethode jedoch kaum skalierbar und das Risiko auch aus einer individuellen Perspektive stark reduziert.
Kurz- und mittelfristig gilt es daher wohl die bittere Pille zu schlucken und bei gewissen besonders risikobehafteten Use Cases künftig nur noch jene Personen digital zu identifizieren, welche über einen Ausweis mit NFC-Chip verfügen. Für alle anderen Zielgruppen sind persönliche Prozesse vor Ort beizubehalten bzw. vorzusehen.
Langfristig können die Nachteile der NFC-Methode weitgehend adressiert werden, indem biometrische NFC-Chips auch in die Schweizer Identitätskarte sowie in den Ausländerausweis für EU/EFTA-Staatsangehörige eingebaut werden. Gerade im Bewusstsein um die langen Erneuerungsprozesse von Ausweisdokumenten sollte diese Entwicklung vom Bund schnellstmöglich angestossen und umgesetzt werden.
Ebenfalls langfristig verspricht eine vom Staat herausgegebene E-ID eine Verbesserung der Prozesse bei Identifikation und Onboarding. Der entsprechende Gesetzesvorschlag befindet sich aktuell in der Vernehmlassung. Mit einem Go-Live ist frühestens 2025 zu rechnen.
Interessierst Du Dich für Themen wie digitale Sicherheit, Online Onboarding und E-ID? Bleib im Loop auf www.acrea.com/newsletter
