CCC trickst VideoIdent aus

Wir berichteten bereits davon, dass die gematik es den Krankenkassen untersagt hat, das VideoIdent-Verfahren (Wikipedia-Beitrag dazu) für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) zu nutzen.

Da gibt es eine Schwachstelle, die nun aufgedeckt wurde. Dass VideoIdent unsicher ist, wurde durch den CCC (Chaos Computer Club) bewiesen, dabei haben sich die Sicherheitsforscher unter anderem Zugriff auf die elektronische Patientenakte einer Testperson verschafft.

Martin Tschirsich, ein Sicherheitsforscher des CCC (der neulich erst was zu Foto-Ident schrieb), demonstrierte bereits 2019, wie Unbefugte in den Besitz von Gesundheitskarten, Arzt- und Praxisausweisen gelangen konnten. Es liest sich natürlich einfacher als es ist, aber das Austricksen von VideoIdent sei durch Open-Source-Software und ein bisschen rote Aquarellfarbe gelungen.

Da VideoIdent seit letztem Jahr für den Zugriff auf ePatientenakte und inzwischen auch eRezept im Einsatz ist, konnte Tschirsich im Prinzip für eine beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine elektronische Patientenakte (ePA) eröffnen und darüber deren in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern.

Besonders schlimm dürfte diese Aussage aus dem Bericht des CCC wirken: „Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar. Daher ist das Risiko des weiteren Missbrauchs als hoch einzuschätzen.“

Mal schauen, was durch das Bekanntmachen der Lücke in anderen Bereichen noch passiert.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

24 Kommentare

  1. Herr Hauser says:

    So dürfte man den Perso auch gar nicht halten, sondern muss man so halten damit nichts wichtiges verdeckt wird.

    • Es geht dabei darum das man dazu aufgefordert wird den Ausweis so zu halten um Videomanipulaton aufzudecken. Durch das neue Verfahren wird die Videomanipulation trotz verdecken duch den Finger möglich.

    • Vll erstmal das Paper vom CCC lesen? Ok, mach ich doch glatt für Dich:

      „[…]Im Video-Ident wird gelegentlich die Abdeckung von bestimmten Bereichen des Ziel-Dokuments durch einen oder mehrere Finger verlangt, während die zu identifizierenden Person das Dokument und sich selbst mit der Frontkamera am Smartphone oder der klassischen Webcam filmt. Dies ist beispielsweise bei allen Video-Ident-Verfahren der Fall, die den Vorgaben der BaFin genügen (Bundesanstalt für Finanzdienstleistungsaufsicht, 2017). Ziel ist es, damit eine Manipulation des Videobildes aufzudecken. […]“

      Bitte, gerne!

  2. Im Prinzip müsste sofort der Zugriff auf die ePatientenakte unterbunden werden und das Projekt eRezept in den Wartezustand geschaltet werden. Hier sind die zuständigen Stellen des Bundes gefordert. Wofür haben wir in DE eigentlich das BSI, wenn solche Schwachstellen nicht bemerkt werden und erst recht nicht davor gewarnt wird? Was hört man in diesem Zusammenhang eigentlich von den Verbraucherschützern?

    • MeinNametutnichtszurSache says:

      BSI? 🙂 Das warnt lieber vor „gefährlicher“ Software aus „unfreundlichen“ Ländern. Solche Sachen wie hier… ach komm, wir sind doch unter uns im gleichen Boot, da ist das nicht sooo schlimm. 🙂

      Ich habe es (hier?) mal gelesen… eigentlich sollte der CCC bei solchen Themen als Standard-Consultant vorgesehen sein.

      • In diesem Fall hat das BSI sogar davor gewarnt, wurde aber von der Regierung ignoriert. Steht zumindest so im verlinkten CCC Paper:

        „Dieser Totalausfall bestätigt nun, wovor Datenschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem warnen, jedoch bei der Bundesregierung und der Bundesnetzagentur auf taube Ohren stießen.“

        • Naja, die Bundesregierung und die BNetzA haben momentan größere Probleme zu bewältigen als sich um die Daten einiger Freaks zu kümmern, die unbedingt ihre Gesundheitsdaten in ein elektronisches System einspeisen wollen und ihr Rezept nicht mehr in Papierform vom Doc zur Apotheke bringen wollen.

  3. Einfach eine nutzerfreundliche App mit ordentlicher UI/UX bereitstellen fur den Personalausweis und das bei Identifikation im Web zur Pflicht machen und die Sache ist meiner Meinung nach erledigt.

    • Mit der Ausweisapp 2 funktioniert das eigentlich ganz gut.
      Wird leider von vielen Banken und Versicherungen nicht unterstützt.

      • Genau, einfach mal die eID Funktionalität nutzen und gut ist die Sache.

        Aber nein, alle haben angst vor den Berechtigungszertifikaten. Tja dann nutzt doch einen Dienstleister der Sie hat, z.b. die Deutsche Post Post-Ident App, die kann mit der eID Funktionalität des PA umgehen.
        Damit hatte ich mich während einer Depot Eröffnung innerhalb von ein paar Sekunden „eindeutig“ verifiziert.

        Ich verstehe einfach nicht wieso das nicht noch mehr nutzen und stattdessen diesen Video-Ident oder sogar nun diesen Selfie-Ident quatsch nutzen.

        🙁

  4. Peter Lustig says:

    Da ich aus dem Artikel beim CCC nicht schlau wurde: kann mir jemand kurz erklären, was da mit der roten Hand bzw. der Verschiebung des Farbtons praktiziert bzw. erreicht wurde?

  5. Kann es bitte nochmal jemand erklären? Ich male mir die Hand rot an und dann….???

    • Sagt mal, seid Ihr alle nicht in der Lage selbst nachzulesen? Der Link ist doch im Artikel (https://www.ccc.de/system/uploads/329/original/Angriff_auf_Video-Ident_v1.2.pdf).

      Na gut, dann suche ich für Dich die relevante Stelle… moment… ah, da isse ja:

      „[…]Die von Fingern überdeckten Segmente des ID-Dokuments im Videobild können mit einer einfachen Methode erkannt werden. Zunächst werden die Finger mit roter wasserlöslicher Aquarellfarbe eingefärbt. Anschließend wird das Videobild mittels Schwellenwertverfahren anhand des roten Farbtons (Hue) segmentiert. Es erfolgt eine automatisierte Nachbearbeitung des Randpolygons (Interpolation und Glättung). Die ursprüngliche Hautfarbe wird anschließend durch Verschiebung des Farbtons innerhalb des Segmentes wiederhergestellt (Abbildung 12). […]“

      Bitte schön!

      Für die Bebilderung solltest Du Dir vll doch mal die ganze PDF vom CCC reinziehen. Lästig, ich weiß…

    • Ganz stark vereinfacht:
      Es lassen sich nur sehr wenige Sicherheitsmerkmale des Ausweises überhaupt per Video versuchsweise überprüfen, z.B. die Hologramme. Ein praktikabler Angriff dagegen ist, mittels Videomanipulation an Stelle des Ausweises im Bild gefälschte Daten einzuspielen. Um das zu Erkennen soll die zu identifizierende Person bestimmte Bereiche des Ausweises mit den Fingern abdecken. Mit den rot angemalten Fingern kann die Manipulationssoftware die verdeckten Bereiche leichter maskieren und an den Stellen keine manipulierten Daten einspielen. Damit die Hand im übertragenen Video nicht rot erscheint, wird der Farbwert anschließend einfach verschoben.

    • Wenn ich das richtig verstanden habe, dann ist der Ausweis, der vorgezeigt wird, gefälscht, da wurden dann aber die Echtheitsmerkmale wie das Hologramm digital draufgelegt. Die Hand wurde dann wohl eingefärbt, damit die Technik diese besser vom Hintergrund unterscheiden kann, quasi ein umgedrehter Greenscreen.
      Am Ende hält also eine falsche Hand einen falschen Ausweis, beides wird aber zu einem echt wirkenden Bild zusammengefügt.

      Sollte ich das falsch verstanden haben, darf man das natürlich gerne (verständlich) korrigieren. Interessieren würde es mich nämlich letztendlich auch.

  6. Es ist mir völlig schleierhaft wieso Video-Ident überhaupt sich so weit verbreiten konnte.

    Hallo? Der Perso mit NFC drin existiert seit wie vielen Jahren?
    Hat noch irgend jemand ein Handy _ohne_ NFC? (Und wenn ja, dann kann der/die vermutlich auch kein Video-Ident und muss halt zur Post-Filliale laufen).

    Ich meine Video-Ident ist ein unfassbar komplizierter Prozess: die meisten Firmen nutzen einen externen Dienstleister (Post), es braucht echte Menschen auf der anderen Seite (teuer!) und es ist total nervig für den Kunden, weil man in Warteschlangen steckt, sich im Bild präsentieren muss usw.

    WAS IN ALLER WELT IST MIT DEM E-PERSO?!?!?!?

    1x aufs Handy legen, erledigt.
    Das geht 100x schneller als Video-ident.
    Und das geht seit vielen Jahren völlig problemlos.

    Wird aller höchste Zeit dass der Video-Blödsinn endlich stirbt.

    • „Hat noch irgend jemand ein Handy _ohne_ NFC? …“

      Mein Handy kann kein NFC. Trotzdem konnte ich damit schon VideoIdent machen. Aber eigentlich mach ich lieber PostID, weil die Postagentur gerade mal ein paar Schritte entfernt ist.

    • Grundsätzlich sind alle Ident-Verfahren bei allen Anbietern manipulierbar. Bei der zB. eID brauche ich nur „Omas“ Perso und den PIN-Brief (der liegt sich in der Nähe), schon bin ich in der digitalen Welt „Oma“ und kann viel schaden anrichten.
      Es soll ja auch Menschen geben, die nach D kommen und von deren „Arbeitgeber“ den Perso abgenommen bekommen. Da kann dann auch jeder mit betrügen.

      • Falsch, denn in deinen Beispielen wird nicht die Sicherheit des Ident-Verfahrens an sich umgangen. Das ist ungefähr so, als wenn Du die Sicherheit einer Wegfahrsperre als manipulierbar bezeichnest, weil Du deiner Oma den Autoschlüssel klauen kannst.
        Und zum zweiten Beispiel: Menschen die nach D kommen und vom „Arbeitgeber“ den Ausweis abgenommen bekommen, haben in der Regel keinen deutschen Personalausweis…

    • Das verstehe ich auch nicht. Wer wie Mr. T kein NFC am Telefon hat, der kann für seinen PC auch einen Kartenleser nutzen. Und wer d3n nicht hat oder das nicht kann oder will, der muss halt zum Post Ident in die Filiale. Aber so ist das im Neuland, der ePA ist schließlich böse und kommt in die Mikrowelle.
      Ich habe den ePA zweimal für ‚Spaßanwendungen“ genutzt um zu gucken ob es geht.
      Für Renteninformationen und fürs Punkteregister (auch da bin ich kein „Kunde“), das geht schnell und problemlos. Banken, Versicherungen, Mobilfunkanbieter setzen stattdessen auf VideoIdent. Ich finde das nicht nur umständlich, sondern auch rückständig.

    • Habe ich mich auch oft gefragt. Ich kann mich genau an eine Kontoeröffnung der letzten 5 Jahre erinnern wo ich den e-Perso nutzen konnte und das war Scalable. DKB, ING, TK Patientenakte, Barclays, diverse Mobilfunkprovider gingen alle nur via Video ident oder halt klassisch zur Post gehen.

      Ich kann nur hoffen, dass durch diese Aufklärung jetzt endlich der e-Perso Mal mehr Aufmerksamkeit bekommt. Ich stand dem Ding am Anfang auch skeptisch gegenüber, aber die Legitimation damit ist auf jeden Fall deutlich bequemer als Videoident oder persönliches Vorsprechen.

  7. Aber das würde dann doch generell für alle videoident Verfahren gelten, oder nicht? also nicht nur für epa, sondern auch für Kredite etc oder funktionieren die anders?

  8. Na, das wird ein Spaß, wenn jetzt alle bisherigen Video-Identifikationen für ungültig erklärt werden und man sich dann für sämtlich Konten, Handyverträge usw. neu identifizieren muss.

  9. Benötigen Sie ein Projektdarlehen oder ein Darlehen jeglicher Art? Wenn ja, senden Sie uns eine E-Mail für weitere Informationen: cenlarfsb1@gmail.com

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.