Bundesnetzagentur will automatisiertes VideoIdent-Verfahren nicht mehr anerkennen

    • Bundesnetzagentur will automatisiertes VideoIdent-Verfahren nicht mehr anerkennen

      Die Bundesnetzagentur will das automatisierte VideoIdent-Verfahrens zur Beantragung eines qualifizierten Zertifikates für elektronische Signaturen nicht länger anerkennen. Das teilte die Regulierungsbehörde laut Tagesspiegel Background am Freitag in einem Rundschreiben mit.

      Die "innovative Identifizierungsmethode" nach Paragraf 11 Vertrauensdienstegesetz darf demnach nur noch bis zum 21. Dezember genutzt werden, um qualifizierte digitale Signaturen nach europäischer eIDAS-Verordnung von 2014 auszustellen. Diese Verschlüsselung ermöglicht es, Dokumente wie Verträge, Bestellungen, Personalunterlagen oder behördliche Anträge online rechtssicher zu unterschreiben.

      Verfahren ausgehebelt

      Aktuell bieten diverse Vertrauensdienstleister eine Videoidentifizierung unter Bezeichnungen wie Auto-, KI- oder Selfie-Ident an. Damit soll automatisiert geprüft werden können, ob ein Ausweisdokument echt ist und zu der Person gehört, die sich ausweisen will. Mitgliedern des Chaos Computer Clubs (CCC) gelang es aber schon Mitte 2022, die VideoIdent-Verfahren von sechs nicht genannten Anbietern mit einfachen Mitteln auszuhebeln.

      In ihrer bisherigen, am 22. Dezember 2021 noch einmal verlängerten Anerkennung der Identifizierungsmethode forderte die Bundesnetzagentur, die audiovisuelle Kommunikation zwischen dem genutzten IT-System und der zu identifizierenden Person "ist in Bezug auf Integrität und Vertraulichkeit ausreichend abzusichern". Daher seien "nur Ende-zu-Ende verschlüsselte Videochats zulässig". Die Echtheit des Identitätsdokuments und die Zugehörigkeit zu der zu identifizierenden Person müssten "zuverlässig überprüft werden", hieß es weiter.

      "Geeignete Maßnahmen" nötig

      Der Anbieter habe "geeignete Maßnahmen" zu ergreifen, um eine Manipulation des Videobildes beziehungsweise des Identitätsdokumentes oder der Person zu erkennen. Gegenüber dem Tagesspiegel erläuterte die Regulierungsbehörde, dass für eine erneute Verlängerung das Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nötig gewesen wäre. Das BSI habe nun aber massive Sicherheitsbedenken vorgebracht.

      Die Bundesanstalt für Finanzdienstleistungen (BaFin) verlängerte im Einklang mit dem BSI dagegen voriges Jahr die Zulassung der Technik für Banken erneut. Weiter erhalten bleibt zudem die Option zur menschlich begleiteten Videodentifizierung einer Person bei der Beantragung eines Zertifikats, bei der ein Mitarbeiter eines Callcenters involviert ist.

      Vertrauensdienstleister wie Sign8 oder der Bank-Verlag protestierengegen die plötzliche Entscheidung der Netzagentur. Sie sehen es dem
      Bericht zufolge als besonders kritisch an, dass Anbieter aus anderen EU-Staaten das automatisierte Prüfverfahren auch in Deutschland weiter anbieten könnten.

      Quelle: heise / Krempl

      Sollte die BNetzA bei dieser Entscheidung bleiben und die BaFin möglicherweise nachziehen, wäre das ein erster Schritt zu ein wenig mehr Sicherheit im Netz. Insbesondere die BaFin hätte in diesem Fall die Möglichkeit, auch für Unternehmen, die eine Lizenz einer anderen Aufsichtsbehörde haben, zumindest für Deutschland eine Gewerbeuntersagung auszusprechen.
      Wenn Dir ein ebay-Mitarbeiter die Hand gibt und "Guten Tag" sagt, sind folgende drei
      Wahrheiten als self-evident zu erachten und als sicher gegeben anzusehen:

      1.) Zähle nicht nur deine Finger nach, sondern auch deine Hände. So Du welche hast auch die Füße.
      2.) Draussen ist es mitten in der Nacht und dunkel wie im Bärenarsch.
      3.) Der einzige Lichtschein dringt aus den Pforten der Hölle, die sich geöffnet haben weil die Welt untergeht.
    • Wow! Das ist ja interessant. Viel Banken bluten jetzt wegen Signa und dann auch noch DAS! So viel Rettungsschirme kann es gar nicht geben, das wird spannend. Aber ich gehe nicht davon aus, dass man sich hier nicht nur auf den kleinsten Nenner einigen wird.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Reducal ()

    • ja, ich fand das auch interessant. Im Moment ist es zwar "nur" die BNetzA, die sich davon verabschiedet hat, allerdings wird die BaFin auf lange Sicht wohl auch kaum um die Sicherheitsbedenken des BSI herumkommen.

      Das könnte für die ganzen Zahlungsdienste / Banken eng werden, die ein Kostenproblem mit der Bereitstellung von ausreichend Callcenter-Mitarbeitern haben. Wobei ich ehrlich gesagt nicht weiss, was so einer dagegen ausrichten können soll, wenn man ihm eine hübsche KI-Generierung andreht. Notfalls sogar ganz ohne reale Person auf der anderen Seite.

      Nur weil das noch niemand ausprobiert hat, heisst es ja nicht, dass man das Verfahren nicht ebenso knacken kann. Mit Porsche-Holgis Worten zum Getriebe: "Da muss ich nochmal bei..."
      :lach:
      Wenn Dir ein ebay-Mitarbeiter die Hand gibt und "Guten Tag" sagt, sind folgende drei
      Wahrheiten als self-evident zu erachten und als sicher gegeben anzusehen:

      1.) Zähle nicht nur deine Finger nach, sondern auch deine Hände. So Du welche hast auch die Füße.
      2.) Draussen ist es mitten in der Nacht und dunkel wie im Bärenarsch.
      3.) Der einzige Lichtschein dringt aus den Pforten der Hölle, die sich geöffnet haben weil die Welt untergeht.