E-Signatur: Automatisiertes VideoIdent-Verfahren geht in die Verlängerung
Trotz Sicherheitsbedenken hat das BSI gemeinsam mit dem Digitalministerium und der Bundesnetzagentur einer weiteren mehrmonatigen Evaluierungsphase zugestimmt.
(Bild: fizkes/Shutterstock.com)
Das umstrittene automatisierte VideoIdent-Verfahren zur Beantragung eines qualifizierten Zertifikates für elektronische Signaturen läuft vorerst doch weiter. Die Bundesnetzagentur wollte ihre zuletzt im Dezember 2021 erteilte Anerkennung dieser Online-Identifizierungsmethode eigentlich nicht mehr erneuern und diese kurz vor Weihnachten auslaufen lassen. Nachdem Vertrauensdienstleister und der IT-Verband Bitkom gegen diese kurzfristig angekündigte Entscheidung Sturm gelaufen waren, gibt es nun doch noch einmal eine sechsmonatige "Evaluierungsphase", erklärte ein Sprecher des Bundesministeriums für Digitales gegenüber heise online. Der gefundene Kompromiss berücksichtige "sowohl die Interessen des Marktes als auch die erforderlichen Sicherheitserwägungen".
Die Verständigung sei in "konstruktiven Gesprächen" zwischen dem Ministerium, der Regulierungsbehörde und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgt, hieß es weiter. Letzteres hatte im bisherigen Abstimmungsprozess mit der Netzagentur massive Bedenken vorgebracht und auf "systematische Schwächen" des Verfahrens sowie die Zunahme von Videomanipulationsverfahren wie Deepfakes verwiesen. Vereinbart haben die Beteiligten daher jetzt "eine enge Kooperation der Anbieter mit den zuständigen Behörden bei begleitenden Überwachungsmaßnahmen und Eignungstests", berichtete der Sprecher. Die erweiterten Maßnahmen würden den Anbietern in der kommenden Woche in einem Informationstermin durch die Regulierungsbehörde vorgestellt.
Über eine mögliche weitere mehrjährige Verlängerung der Anerkennung soll im Anschluss an den erneuten halbjährigen Probebetrieb entschieden werden. Die "innovative Identifizierungsmethode" gemäß Paragraf 11 Vertrauensdienstegesetz kann aktuell so vorläufig weiter genutzt werden, um qualifizierte digitale Signaturen im Einklang mit der europäischen eIDAS-Verordnung von 2014 auszustellen. Die Verschlüsselungslösung ermöglicht es, Dokumente wie Verträge, Bestellungen, Personalunterlagen oder behördliche Anträge online rechtssicher zu unterschreiben.
CCC: VideoIdent-Verfahren mehrerer Anbieter leicht auszuhebeln
Vertrauensdienstleister bieten derzeit Lösungen wie Auto-, KI- oder Selfie-Ident an. Damit soll sich automatisiert prüfen lassen, ob ein Ausweisdokument echt ist und zu der Person gehört, die sich ausweisen will. Mitgliedern des Chaos Computer Clubs (CCC) gelang es aber schon Mitte 2022, die VideoIdent-Verfahren von sechs Anbietern mit einfachen Mitteln auszuhebeln. Demnach können Daten, Bilder und Hologramme auf einem Ausweis selbst von Laien so gefälscht werden, dass die Manipulationen bei der automatisierten Prüfung nicht auffallen. Dies gilt den Experten zufolge auch für Verfahren, die auf Künstliche Intelligenz (KI) setzen.
Die Bundesanstalt für Finanzdienstleistungen (BaFin) verlängerte im Einvernehmen mit dem BSI voriges Jahr erneut die Zulassung der Technik für Banken trotz Bauchschmerzen. Damals lautete die Begründung unter anderem, es gebe keine Hinweise darauf vor, dass auch jene Verfahren, die im Finanzsektor eingesetzt werden, erfolgreich angegriffen worden seien. Auf jeden Fall weiter erhalten bleibt zudem die Option zur menschlich begleiteten Videodentifizierung einer Person bei der Beantragung eines Zertifikates, bei der ein Mitarbeiter eines Callcenters involviert ist.
(mki)
