Schlagwort: Chaos Computer Club

Krankenkassen müssen Video-Ident-Verfahren abschalten

12. August 2022

Den deutschen Krankenkassen ist die Identifikation ihrer Versicherten per Video-Ident-Verfahren durch die zuständige Gematik GmbH untersagt worden. Bei der Gesellschaft handelt es sich um einen Digitalisierungsdienstleister der deutschen Gesundheitsbranche. Nachdem der Chaos Computer Club (CCC) Sicherheitsmängel im Video-Ident-Verfahren festgestellt hatte, werden diese nun nicht mehr von deutschen Krankenkassen eingesetzt.

Angriff mit geringem Aufwand durchführbar

Mithilfe des Video-Ident-Verfahrens können sich Nutzer:innen ausweisen, indem sie ihre Ausweispapiere mit ihrer Smartphone- oder Computer-Kamera erfassen und zeitgleich ihr Gesicht zeigen. Bei einem Anruf in einem Video-Ident-Callcenter müssen die Anrufer:innen dann den Ausweis in der Hand halten, ihn bewegen und auf Anordnung auch bestimmte Stellen des Ausweises mit dem Finger abdecken. Anschließend werden die Daten von einer Software erfasst. Die Angaben werden dann durch die Support-Mitarbeiter:innen sowie von Algorithmen überprüft, sodass End-Kundinnen und Kunden ihre Identität beweisen können. Nach der Freigabe können sie sich dann beispielsweise auf einer Onlineplattform einloggen.

Der CCC stellte nun fest, dass genau dieses Vorgehen problematisch sei. Mit gefälschten Ausweispapieren und etwas Videobearbeitung ließen sich so Sicherheitsmerkmale fälschen. „Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen“, erläuterte der CCC. So könne man beispielsweise das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes digital ersetzen.  Der CCC konnte das Ident-Verfahren so überlisten und eine elektronische Patientenakte (ePA) für eine fremde Person anlegen. Die betroffene Person war eingeweiht und einverstanden. Anschließen konnte auf Diagnosen, Rezepte und Bescheinigungen zugegriffen werden.

Insgesamt konnten die Verfahren von sechs nationalen und internationalen Anbietern überlistet werden. Wie genau der CCC dabei vorgegangen ist, ist ausführlich dokumentiert und lässt sich auf der Webseite des CCC nachlesen.

Risiko den Behörden bekannt

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte das Verfahren schon vor Jahren als heikel eingestuft. Durch die Corona-Pandemie wurde das Verfahren zuletzt immer häufiger genutzt. Laut einem Sprecher des BSI nehme man die Situation auch über die Anwendung bei den Krankenkassen hinaus sehr ernst. Das Verfahren werde „sehr sorgfältig“ geprüft. Diese Prüfung beziehe sich auch auf die Fortsetzung der Nutzung dieser Technologie.

In der Pressemitteilung des CCC warnt Martin Tschirsich, ein Sicherheitsforscher des CCC, vor der Nutzung. „Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Videoident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten“.

Welche Video-Ident-Anbieter dabei überlistet wurden, hat der CCC nicht veröffentlich. Stattdessen forderte man in einer Pressemitteilung, die Verfahren generell nicht mehr dort einzusetzen, wo ein hohes Schadenspotential bestehe. Darunter fiele beispielsweise der Zugriff auf intimste Gesundheitsdaten, so der CCC.

Alternative seit 10 Jahren vorhanden

Es sei besonders bitter, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt werden, erklärt der CCC. Diese ließe sich schon seit über zehn Jahren zur digitalen Identifizierung verwenden.

Digitaler Führerschein wegen Sicherheitslücken gestoppt

1. Oktober 2021

Die erst kürzlich vorgestellte App „ID Wallet“ muss noch einmal auf den Prüfstand und ist nicht mehr verfügbar. Eine Woche nach dem Startschuss für den digitalen Führerschein in Deutschland ist die dazugehörige Smartphone-App ID Wallet wieder zurückgezogen worden.

Der von der Bundesregierung beauftragte Dienstleister Digital Enabling GmbH erklärte, der Start der App habe viel Aufmerksamkeit von Nutzerinnen und Nutzern erhalten, die sich intensiv mit Sicherheits- und Vertrauensfragen befassen. Das Unternehmen räumte jedoch nicht direkt ein, dass Sicherheitslücken tatsächlich vorhanden seien, sondern verwies auf Probleme durch die Überlastung der Server. „Um das System auf höhere Nutzlasten auszulegen und den Sicherheitshinweisen nachzugehen, werden wir in den nächsten Wochen umfangreiche weitere Tests durchführen. In dieser Zeit werden wir die App aus den Stores nehmen.“

Der digitale Führerschein, der in der ID-Wallet aufbewahrt wird, soll beispielsweise die Nutzung von Mietwagen oder Carsharing-Angeboten erleichtern. Langfristig sollte das digitale Abbild des Führerscheins auf dem Smartphone das analoge Papier vollständig ersetzen können, etwa bei einer Ausweiskontrolle. Laut Digital Enabling werden dabei die personenbezogenen Daten auf dem Smartphone gespeichert. Aussteller und Anfragende verarbeiten die personenbezogenen Daten in ihren internen Systemen unter eigenverantwortlicher Erfüllung der Anforderungen der Datenschutzgrundverordnung. Das Projekt wurde vor einer Woche von Bundesverkehrsminister Andreas Scheuer vorgestellt.

Nach der Vorstellung des Projekts „Digitaler Führerschein“ traten zunächst technische Schwierigkeiten auf, weil die Server überlastet waren. Außerdem kritisierten Sicherheitsexperten aus dem Umfeld des Chaos Computer Clubs (CCC) die Anwendung. Man habe „Grund zur Annahme“, dass die Infrastruktur hinter der App und die zugrundeliegende Blockchain-Technik angreifbar sein könnten.

Sicherheitslücken bei der Wahl-Software

8. September 2017

Die bei der bevorstehenden Bundestagswahl zum Einsatz kommende Software zur Auswertung der Wahlergebnisse benutzt wird, weist gravierende Sicherheitslücken auf.

Bei der Bundestagswahl werden die abgegebenen Stimmen grundsätzlich von Hand gezählt, allerdings wird das ausgezählte Ergebnis mit Hilfe einer Software übermittelt und gerade diese ist nach einer Untersuchung des Chaos Computer Clubs (CCC) leicht zu manipulieren. Es besteht die Möglichkeit, dass die Wahlergebnisse zum Beispiel auf dem Weg vom Wahllokal zu dem Kreiswahlleiter abgefangen und manipuliert werden.

In Zusammenarbeit mit Zeit Online hat der CCC diese Sicherheitslücken aufgedeckt. Sowohl in den Verschlüsselungsverfahren als auch auf den Web-Servern des Herstellers wurden Lücken festgestellt.

In der Zwischenzeit wurde von dem Hersteller ein Update bereitgestellt, allerdings vermutet der CCC, dass auch weiterhin Sicherheitslücken vorhanden sind.

Besonders kritisiert wird vom CCC das mangelnde Sicherheitsverständnis des Herstellers.

Laut einem Sprecher des Bundeswahlleiters sind die Probleme bereits einige Zeit bekannt. Die Landeswahlleiter sind aufgefordert, die Übermittlung der Wahldaten abzusichern. Außerdem sind die vorläufigen Wahlergebnisse nicht betroffen, weil für diese andere Übertragungswege gewählt werden.

CCC: Fingerabdruck-Biometrie ist ein Sicherheitsplacebo!

29. Dezember 2014

Beim jüngst abgehaltenen Jahrestreffen des Chaos Computer Clubs (CCC) in Hamburg wurden Methoden vorgestellt, sich fremder biometrischer Merkmale zu bemächtigen. Sehr anschaulich wurde durch Jan Krissler alias starbug demonstriert, wie einfach sich mittlerweile Fingerabdrucksysteme austricksen lassen.

Ein direkter Kontakt mit physikalischen Objekten zum Abnehmen von Fingerabdrücken ist danach gar nicht mehr erforderlich. Man benötige schlicht die Aufnahme eines Fotos mit einer handelsüblichen Digitalkamera. Belegt wurde dies mit einem sich deutlich abzeichnenden Fingerabdruck von Bundesverteidigungsminister Ursula von der Leyen. Als Basis sei ein Pressefoto verwendet worden, dass mit einem Standardobjektiv mit zweihundert Millimetern Brennweite gefertigt wurde. Das Foto habe Krissler noch mit der Software VeriFinger bearbeitet, aber man hätte auch ein weiteres gängiges Bildbearbeitungsprogramm verwenden können. Den so hergestellten Fingerabdruck könnte man auf eine Atrappe drucken und damit handelsüblichen Fingerabdruckscannern vorgaukeln, er stamme von der die Ministerin – sei es am iPhone oder an einer automatisierten Grenzkontrolle. Oder er könnte ihren Abdruck an einem Tatort hinterlassen und sie so zu einer Verdächtigen machen.

„Mit der Sicherheit von Fingerabdrucksystemen ist es damit endgültig vorbei“, so Krissler. „Man kann nahezu unbemerkt an Fingerabdrücke jeder Person kommen, um daraus Attrappen zu bauen.“ Für eine solche Attrappe braucht es lediglich Folie, einen Drucker und Holzleim. Schon lässt sich ein falscher Fingerabdruck herstellen, den man auf den eigenen Finger kleben kann. Diese Attrappen genügen, um gebräuchliche Fingerscanner zu überlisten. „Nach diesem Vortrag werden wohl Politiker nur noch in Handschuhen zu öffentlichen Auftritten gehen“, so Krissler weiter. Er kündigte an, den Abdruck von der Leyens auch bald offiziell zu veröffentlichen, er wolle ihn nur noch „etwas schön machen“.

iPhone 5s: Fingerabdruck-Scanner umgehbar

23. September 2013

Nur kurz nach Erscheinen des neuen iPhone 5s ist es einem unter dem Pseudonym „Starbug“ handelnden Biotmetrie-Spezialisten des Chaos Computer Club Medienberichten zufolge gelungen, dessen Fingerabdruck-Scanner mit nachgemachten Fingerabdrücken freizuschalten. Um zu testen, ob Apples neues iPhone die Fingerabdruckerkennung mit Touch ID durch grundsätzlich neue Verbesserungen sicherer machen konnte, habe heise Security und Mac & i kurzfristig ein Testgerät für den Biometrie-Spezialisten organisiert. Dieser habe innerhalb weniger Tage den Scanner mit herkömmlichen Methoden auszutricksen können.

„Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mußten nur die Ganularität unseres Kunstfingers ein wenig erhöhen“, so Starbug. „Seit Jahren warnen wir immer wieder vor der Verwendung von Fingerabdrücken zur Zugriffssicherung. Fingerabdrücke hinterlassen wir überall, und es ist ein Kinderspiel, gefälschte Finger daraus zu erstellen.“