Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit der französischen Behörde für IT-Sicherheit, Agence Nationale de la Sécurité des Systèmes d‘Information (ANSSI), eine Publikation zum Thema “Herausforderung Fernidentifikation für EUDI-Wallets” veröffentlicht.
Die Mitgliedsstaaten der Europäischen Union haben sich dazu verpflichtet, ab dem 1. Januar 2027 ihren Bürgern eine Europäische Brieftasche für Digitale Identitäten, die EUDI-Wallet, zur Verfügung zu stellen. Damit können dann etwa Führerscheine oder Zeugnisse bei verschiedenen Online-Diensten digital eingesetzt werden. Bevor Bürger die EUDI-Wallet verwendet können, muss diese mit Identitätsmerkmalen befüllt werden. Eine mögliche Technologie für das so genannte “Onboarding” ist das videobasierte Fernidentifikationsverfahren.
Anwender kennen dieses Verfahren vielleicht schon von der SIM-Aktivierung oder Kontoeröffnung. Nutzer identifizieren sich so bei einem Online-Dienstleister über eine Webcam oder die Kamera eines Smartphones, indem sie Gesicht und Ausweisdokumente über den Videokanal präsentieren. Allerdings stellen die Prüfung der Echtheit und Authentizität von Identitätsdokumenten sowie die biometrische Bindung an die zugehörige Person über den Videokanal eine Herausforderung dar. Die Identitäten könnten über Künstliche Intelligenz generiert, Dokumente gefälscht sein oder Angreifer die vollständige Kontrolle über übermittelte Informationen erhalten, warnt das BSI.
In der gemeinsamen Publikation des BSI und ANSSI wird die erforderliche Resistenz gegen Fälschungsangriffe betont. Zudem thematisiert die Veröffentlichung, dass elektronische Daten aus Ausweisdokumenten derzeit in vielen Staaten gesetzlich nicht von den Diensteanbietern ausgelesen werden dürfen. Könnten gespeicherte Lichtbilder als Referenz für den biometrischen Vergleich – sowie weitere verifizierbare Daten, wie Name, Gültigkeitsdatum und Geburtsdatum – genutzt werden, würde dies erhebliche Vorteile für die Sicherheit des Fernidentifikationsverfahren bieten.
Aktuell werden bestehende Standards für videobasierte Fernidentifikationsverfahren angepasst und neue in europäischen Gremien, wie ETSI und CEN entwickelt, um den Sicherheitsanforderungen nach eIDAS im Kontext der EUDI-Wallet zu entsprechen.
Die zentrale Herausforderung für die beteiligten Staaten wird zukünftig die Evaluation von Schwachstellen dieser Verfahren im Rahmen von Zertifizierungen sein, schreibt das BSI. Insbesondere die Dokumentenprüfung mit ihrer Vielfalt an Dokumenten, Sicherheitsmerkmalen sowie der biometrische Vergleich stehen im Fokus und müssen über Prüfspezifikationen und Leitfäden abgesichert werden.
