Videoident

Videoident sind in der Finanztechnologie Methoden der Telekommunikation zur persönlichen Authentifizierung mittels Online-Videokonferenz.

Allgemeines

Die Authentifizierung ist die Verifizierung von personenbezogenen Daten durch natürliche Personen, die dabei ihre Authentisierung[1] durchführen. Videoident dient der Legitimationsprüfung ohne persönlichen Kontakt zwischen Kunden und Prüfer. Durch Videoident hat der Prüfer zu verifizieren, dass es sich um ein echtes Ausweisdokument und um den legitimen Inhaber dieses Dokuments handelt.[2]

Das Videoident-Verfahren kommt bei der Identifizierung von Kunden durch Unternehmen aus dem gesamten Finanzdienstleistungssektor zum Einsatz, insbesondere bei Kreditinstituten, Versicherungen und Finanzdienstleistungsinstituten.[3]

Rechtsfragen

Bei der Fernidentifizierung müssen die Normadressaten des Geldwäschegesetzes (GwG) nach § 6 Abs. 5 GwG besondere Sorgfaltspflichten wahren. Die Identifizierung richtet sich daher nach den allgemeinen Identifizierungspflichten in Bezug auf natürliche Personen in § 3 Abs. 1 Nr. 1 in Verbindung mit § 4 Abs. 1, Abs. 3 Nr. 1 und Abs. 4 Nr. 1 GwG.

Für Unternehmen, die Normadressaten des GwG sind (insbesondere Kreditinstitute), gilt das Rundschreiben 3/2017 (GW) der Bankenaufsicht BaFin,[4] das juristische Personen oder Personengesellschaften vom Videoident-Verfahren ausschließt. Die Privatperson muss ihr Einverständnis zum gesamten Identifizierungsprozess erklären sowie Fotos oder Screenshots ihrer Person und ihres Ausweisdokuments zulassen. Nach ununterbrochener Session muss die zu identifizierende Person während der Videoübertragung eine eigens für diesen Zweck gültige, zentral generierte und von dem Mitarbeiter an sie (per E-Mail oder SMS) übermittelte TAN unmittelbar online eingeben und an den Mitarbeiter elektronisch zurücksenden. Mit Eingabe dieser TAN durch die zu identifizierende Person ist das Identifizierungsverfahren, einen erfolgreichen systemseitigen Abgleich der TAN vorausgesetzt, abgeschlossen.

Anwendung

Um sich zu identifizieren, wird der Kunde von Videoident nutzenden Webseiten (etwa Online Banking) aufgefordert, seinen gültigen Personalausweis oder Reisepass per Videoübertragung zu übermitteln.[5] Dazu sind beim Kunden ein Internetzugang und eine Webcam erforderlich. Die Identifizierung erfolgt durch Präsentation der Vorder- und Rückseite des Ausweises vor der Webcam. Abgeschlossen wird der Vorgang dadurch, dass die Webseite bei gelungener Identifikation eine TAN per SMS oder E-Mail versendet, die zur Bestätigung vom Kunden einzugeben ist.

Videoident dient bei Mobiltelefonen oder Smartphones zum Abschluss eines Handy- oder Mobilfunkvertrags und zur Produktaktivierung von SIM-Karten oder zur Eröffnung von Girokonten bei Kreditinstituten. Erstmals wurde es im Oktober 2014 durch Direktbanken eingeführt.[6]

Vergleich der Identifizierungsverfahren

Verglichen werden neben Videoident auch Postident und eID als elektronischer Identitätsnachweis, Portierung des Konzeptes Reisepass/Personalausweis in die Informationstechnik (eID):[7]

MerkmalPersonalausweis/
Reisepass
VideoidentPostidentelektronischer
Identitätsnachweis (eID)
Medienbruchfreiheitneinjaneinja
Verfügbarkeitneinteilweiseneinja
Gebührenneinjajaja
Nutzerkreisgroßgroßgroßgering

Frei von Medienbrüchen sind lediglich Videoident und eID. Maximale Verfügbarkeit ist gegeben, wenn ein Verfahren 24 Stunden nutzbar ist. Das ist nur bei eID der Fall. Bei Videoident ist die Verfügbarkeit häufig auf 8 Uhr bis 22 Uhr beschränkt. Teilweise werden Gebühren vom Nutzer erhoben. Der Nutzerkreis ist bei Postident und Videoident praktisch nicht eingeschränkt, sofern Internetzugang und Webcam vorhanden sind.[8]

Betrugsgefahr

Videoident ist missbrauchsgefährdeter als etwa Postident, bei dem sich der Kunde persönlich in der Postfiliale identifizieren muss. Betrüger veranlassen ihre Tatopfer, als „Testkunde“ per Videoident ein neues Konto zu eröffnen (auch bei Wohnungssuche, Jobsuche oder allgemein), was nach Abschluss des Tests sofort wieder geschlossen würde. Die Täter lassen sich die Zugangsdaten des „Testkontos“ übermitteln und nutzen dieses für Barauszahlungen und Zahlungsverkehr, sie betreiben Kontoplünderung. Die bisherigen Betrugsfälle, die mit dem Videoident-Verfahren in Zusammenhang gebracht wurden, sind jedoch nicht auf technischen Missbrauch zurückzuführen. Sie sind vielmehr dadurch zustande gekommen, dass Verbraucher über den Anlass und Zweck der Identifizierung getäuscht wurden, während das Videoident-Verfahren technisch ordnungsgemäß ausgeführt wurde.[9]

Weiteres Angriffspotential bietet die Tatsache, dass der zum Identifizieren genutzte Videostream vollständig der Kontrolle des Angreifers unterliegt und somit die Abbildung des identifizierenden Dokuments beliebig manipuliert werden kann. Dies hat der CCC in einem Angriffsszenario praktisch umgesetzt,[10] indem in das Videobild der zu identifizierenden Person und des Dokuments sowohl Foto, Adresse als auch beides mit Overlaytechnik durch gefälschte Daten ersetzt wurde, und damit Zugriff auf die elektronische Patientenakte der elektronischen Gesundheitskarte erlangt wurde. Als Reaktion darauf hat die Gematik die vorläufige Gestattung des Videoident-Verfahrens für alle Krankenkassen zurückgezogen.[11] Schon auf dem 35C3 wurde in einem Vortrag die theoretische Machbarkeit[12] einer derartigen Videomanipulation vorgestellt. Der aktuelle Angriff hat, mit Kenntnis und Einverständnis der betroffenen Personen, die Video-Ident-Verfahren von sechs europäischen und außereuropäischen Anbietern praktisch überwunden.

Einzelnachweise

  1. authentisieren. Duden, abgerufen am 3. Januar 2018.
  2. Norbert Pohlmann, Cyber-Sicherheit, 2019, S. 156
  3. BT-Drs. 19/11443 vom 9. Juli 2019, Antwort der Bundesregierung auf eine Kleine Anfrage, S. 1
  4. BaFin, Rundschreiben vom 10. April 2017, Geschäftszeichen: GW 1-GW 2002-2009/0002, Videoidentifizierungsverfahren, abgerufen am 16. November 2020
  5. Volker Brühl/Joachim Dorschel, Praxishandbuch Digital Banking, 2018, S. 23
  6. Rainer Hellstern, Das Handbuch zur Rente im Ausland, 2015, S. 21 f.
  7. Norbert Pohlmann, Cyber-Sicherheit, 2019, S. 163
  8. Norbert Pohlmann, Cyber-Sicherheit, 2019, S. 164
  9. BT-Drs. 19/11443 vom 9. Juli 2019, Antwort der Bundesregierung auf eine Kleine Anfrage, S. 2
  10. CCC | Chaos Computer Club hackt Video-Ident. Abgerufen am 13. August 2022.
  11. Pressemitteilung | gematik untersagt bis auf Weiteres Nutzung von VideoIdent-Verfahren in der Telematikinfrastruktur | Gematik. Abgerufen am 13. August 2022.
  12. Jan Garcia: Circumventing video identification using augmented reality. 30. Dezember 2018, abgerufen am 13. August 2022 (englisch).