Digitaler Führerschein zeigt gravierende Sicherheitslücken auf

Der digitale Führerschein ist endlich da freilich gibt es bedauerlicherweise starke Sicherheitslücken, ebenso wie vom IT-Sicherheitsexperten Martin Tschirsich auf Twitter gezeigt wurde.



Erstellung des digitalen Führerscheins durch ID-Dienstleister Verimi


Verimi ist verantwortlich für die Erstellung des digitalen Führerscheins. Jedoch hat sich herausgestellt, dass das Foto-Ident-Verfahren des ID-Dienstleisters höchst unsicher und leicht manipulierbar ist.



ID Wallet wieder in Kritik


Die Fotoidentifikation der App die zur Verwendung den digitalen Führerschein verantwortlich ist, konnte durch einfache Mittel austricksen werden. Im letzten Herbst wurde der ID Wallet für den digitalen Führerschein vom Chaos Computer Club (CCC) scharf kritisiert was zu ihrer Entfernung aus den App-Stores von Google und Apple führte.



Zweiter Anlauf mit Verimi missglückt


Der zweite Anlauf der mit dem ID-Dienstleister Verimi durchgeführt wurde ist ebenfalls fehlgeschlagen. Verimi hat es nicht geschafft eine sichere Lösung zu ausarbeiten die es ermöglicht den Führerschein bedenkenlos zu digitalisieren.



Foto-Ident-Verfahren von Verimi


Verimi setzt auf ein Foto-Ident-Verfahren, bei dem der Benutzer nur die Vorder- und Rückseite seines Führerscheins fotografieren und zusätzlich ein Selfie hochladen muss. Mithilfe eines rein KI-gestützten Prozesses sollen die eingereichten Bilddaten automatisch überprüft werden. Dadurch will das Unternehmen sicherstellen – dass der Besitzer des Führerscheins selbst den Upload durchgeführt hat und es sich um eine echte Person handelt.



Manipulierbarkeit des digitalen Führerscheins


Jedoch war Tschirsich in der Lage mehrere digitale Führerscheine zu generieren auf denen er selbst unterschiedliche Namen zuordnen und sogar seine Staatsbürgerschaft ändern konnte. Um dies zu erreichen; musste er lediglich die persönlichen Daten auf einem Foto seines Führerscheins mit einer Bildbearbeitungssoftware verändern. Der Ausdruck des manipulierten Bildes konnte er anschließend mit der Verimi-App fotografieren und dadurch einen digitalen Führerschein mit den gewünschten Änderungen erzeugen.



Kein Abgleich der ermittelten Daten mit dem Führerscheinregister


Es findet scheinbar kein Abgleich der von der App ermittelten Daten mit einem Führerscheinregister statt. "Die Unsicherheit des Foto-Ident ist allseits bekannt", warnt Tschirsich via Twitter.



Gefälschte Fahrerlaubnis bereits nutzbar


Besonders brisant erscheint dies vor dem Hintergrund, dass der digitale Führerschein analoge Ausweispapiere langfristig vollständig ersetzen soll. Die dafür erforderlichen Gesetzesänderungen lassen jedoch noch auf sich warten. Dennoch kann der digitale Führerschein bereits für Carsharing-Angebote und die Anmietung von Mietwagen verwendet werden.



Verimi nimmt Sicherheit nicht ernst


Verimi scheint die eigenen veröffentlichten Werte bezüglich Sicherheit nicht allzu ernst zu nehmen. "Ihre Sicherheit ist uns wichtig", heißt es auf ihrer Website. "Mit Ihren verifizierten Daten können Sie online nachweisen, wer Sie sind". Offensichtlich funktioniert das nicht so gut.








Kommentare


Anzeige