Endlich alle Umzugskisten in die neue Wohnung geschleppt und die Möbel halb aufgebaut, jetzt noch schnell den neuen Wohnsitz anmelden und das Leben in den neuen vier Wänden kann beginnen. Klassisch muss man dafür persönlich zur Behörde. Um sich dort zu identifizieren, legt man den Personalausweis vor, das physische Ausweisdokument.

In einigen Kommunen kann man sich diesen Gang zum Amt schon sparen und die Meldeadresse online ändern lassen, etwa in Kiel oder Hamburg. Auch in Wiesbaden lässt sich der Wohnsitz digital an- und ummelden. Die Stadt bietet dazu das Videoident-Verfahren an. Wollen Bürger:innen den Online-Dienst nutzen, müssen sie in einem Videotelefonat mit Mitarbeiter:innen des Unternehmens WebID ihre Identität prüfen lassen. Dazu halten sie ihren Ausweis vor die Kamera ihres Computers, Tablets oder Smartphones.

Videoident ist in anderen Bereichen schon länger im Einsatz. So können Kund:innen von Banken etwa mithilfe des Verfahrens online ein Konto eröffnen, Kund:innen von Handyanbietern können sich SIM-Karten freischalten lassen. In der öffentlichen Verwaltung jedoch ist das Verfahren eher neu.

Kein Verbot in Sicht

Dabei steht Videoident spätestens seit 2022 stark in der Kritik, nachdem IT-Sicherheitsexperte Martin Tschirsich zusammen mit dem Chaos Computer Club demonstrierte, wie leicht sich die Sicherheitshürden des Systems überwinden lassen. Ihnen gelang es, auf die elektronische Patientenakte (ePA) einer Testperson zuzugreifen. Die Gematik reagierte unmittelbar mit einem Verbot des Verfahrens. Sie ist verantwortlich für die ePA sowie die gesamte Infrastruktur des deutschen Gesundheitswesens. Nach wie vor untersagt sie es den Krankenkassen, das Verfahren zu nutzen.

Der CCC forderte ein generelles Verbot von Videoident für Anwendungsfälle, bei denen Nutzer:innen einwandfrei identifiziert werden müssen. Ein solches Verbot könnte etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) anstoßen. Auf Anfrage von netzpolitik.org erklärt es: Videoident-Verfahren seien „prinzipiell angreifbar und daher nicht für Identifikationsverfahren geeignet“, wenn die Daten besonders schutzbedürftig sind, also ein Vertrauensniveau „substantiell“ oder höher erfordern. Beim Ändern der Meldeadresse ist das Vertrauensniveau „hoch“.

So klar die Sachlage auch scheint, das BSI zögert, einen Schritt Richtung Verbot zu unternehmen. Im Fall Wiesbaden erklärt es, dass es als Bundesbehörde der Kommune keine Vorschriften machen könne.

Lücken in der staatlichen Infrastruktur

Das Zögern dürfte nicht ganz unbeteiligt daran sein, dass Videoident für viele noch immer eine Alternative zur eID des elektronischen Personalausweises ist, so auch für Patrick Burghardt, hessischer CIO (Chief Information Officer) und Vorsitzender des IT-Planungsrates. Er hält die Entscheidung Wiesbadens für fortschrittlich, heißt es in einer Pressemitteilung. Dadurch baue die Stadt den Online-Zugang zu Verwaltungsleistungen aus und komme ihrer Verpflichtung nach, das Onlinezugangsgesetz (OZG) umzusetzen.

Offenbar überzeugt Wiesbadens Entscheidung auch andere Kommunen. Der Kölner Digitalisierungsausschuss hat im April einstimmig beschlossen, die Verwaltung damit zu beauftragen, „eine Möglichkeit der Authentifizierung mittels ‚Videoident‘ zu implementieren.“

Tschirsich sieht die Gefahr, dass mehr Behörden Videoident als Brückentechnologie heranziehen. „Es ist ein großes Problem, wenn staatliche Infrastruktur fehlt. Die Lücke kann die Kommune nicht schließen, schon gar nicht durch Bastelei. Hier geht es schief“, lautet sein Urteil zu Wiesbaden.

Gefahren schon lange bekannt

Gegenüber netzpolitik.org betont die Presseabteilung der Stadt Köln, die Verwaltung prüfe derzeit noch, „ob die Maßnahme rechtssicher und wie sie technisch oder organisatorisch umsetzbar ist“. Wiesbaden erklärt gegenüber netzpolitik.org, beim gewählten Videoident handele es sich nicht um das vom CCC untersuchte. Das habe sich automatisierte Verfahren angeschaut und nicht solche, bei denen die Überprüfung durch eine Person stattfindet.

Laut Tschirsich macht das bezüglich der Sicherheit allerdings keinen Unterschied. In einer Richtlinie von 2021 weist auch das BSI klar auf die Angriffspotentiale hin und unterscheidet nach den Faktoren Zeit, Expertise, Insiderwissen, Zugangs- und Zugriffsgelegenheiten sowie Ausrüstung der Angreifer.

Wie leicht sich Sicherheitsmerkmale auf dem Ausweis per Videoübertragung manipulieren lassen, hat ein Team aus Forscher:innen bereits 2018 vorgeführt. Unter der Leitung von Reiner Herpers, Professor an der Hochschule Bonn-Rhein-Sieg, überlistete das Team das Videoident-Verfahren, indem es in der Kameraaufnahme etwa Hologramme auf einen schlichten falschen Papierausweis projizierte.

Hologramme gehören zu den Merkmalen, anhand derer beispielsweise öffentliche Stellen prüfen können, ob ein Ausweisdokument echt ist. Gelingt es Angreifern solche Sicherheitsmerkmale auszutricksen, gelingt ihnen zweierlei: Sie können einen falschen Ausweis als echten ausgeben, und sie können die Identität einer anderen Person vortäuschen. Ob die Person real ist oder erfunden, spielt dabei keine Rolle.

Für reale Personen könne die Entscheidung Wiesbadens allerdings gravierende und weitreichende Folgen haben, so Martin Tschirsich gegenüber netzpolitik.org. Denn es gebe viele öffentliche Stellen, die sich darauf verlassen, dass die Daten aus dem Melderegister authentisch sind. Überlistet ein Angreifer das Videoident-Verfahren zum An- und Ummelden des Wohnsitzes, kann er die Meldeadresse der Person ändern, die er überwacht. An diese kann er sich beispielsweise eine neue Krankenkassenkarte schicken lassen. Damit hat er Zugriff auf Rezepte und gelangt an vertrauliche Daten. Das Problem verschärfe sich, wenn künftig mit der Gesundheitskarte auch die komplette elektronische Patientenakte verknüpft ist und damit die gesamte medizinische Historie, so Tschirsich.

Prüfmerkmale außen vor

Mit dem Videoident-Verfahren verzichten Behörden außerdem darauf, weitere, beispielsweise haptische Prüfmerkmale des Ausweises beim Identifizieren einer Person einzubeziehen. Das sei auch rechtlich fragwürdig, sagt André Zilch. Er ist IT-Sicherheitsexperte und beschäftigt sich als IT-Sicherheitsberater seit 2014 mit den Schwachstellen von Videoident.

So ahme das Verfahren den Kontakt von Angesicht zu Angesicht nach, bei dem ein Antragsteller einem Menschen in der Behörde den Ausweis physisch vorlegt. Während die Person im Amt den Ausweis über den Schreibtisch hinweg entgegennehmen und anhand mehrerer Prüfmerkmale auf Echtheit untersuchen kann, bleibe diese Möglichkeit per Video verwehrt.

Gerade jedoch beim Ändern der Meldeadresse verlange das Gesetz, so Zilch, dass Mitarbeiter:innen in der Behörde zumindest die Möglichkeit haben müssen, alle Prüfmerkmale unter die Lupe zu nehmen. Das gelte unabhängig davon, ob es notwendig ist, alle Merkmale zu prüfen.

Kopie ist kein Original

Zilch verweist darauf, dass das Ausweisdokument eine öffentliche Urkunde ist; sie belegt die Identität der Person, die sich damit ausweist. Um sich ausweisen zu können, muss die Person immer das Original vorzeigen. So regelt es das Gesetz, beim Ändern der Meldeadresse schreibt es das Bundesmeldegesetz vor. Mitarbeiter:innen in Behörden müssen den Ausweis anfassen können, nur so können sie die Urkunde als „verkörperte Gedankenerklärung“ und die Beweisfunktion des Ausweises annehmen.

Bei Video-Calls allerdings legen Antragsteller:innen gerade nicht die öffentliche Urkunde vor, denn Mitarbeiter:innen können sie hier nicht anfassen. Per Videoübertragung werden lediglich Daten übermittelt, nicht aber die Urkundeneigenschaft des Ausweises. Die gesetzliche Regelung – den „Personalausweis vorzulegen“ – werde damit nicht erfüllt. Videotelefonate könnten also nicht ersetzen, dass ein Antragsteller vor Ort einer Mitarbeiterin seine Urkunde vorlegt, so Zilch.

Bei der Video-Identifikation läge immer nur ein Foto oder Video und damit eine Kopie der Urkunde vor, sagt auch der Notar Otfried Krumpholz gegenüber dem Bankmagazin und bezieht sich damit auf die Verordnung zu Videoident, die das Bundesfinanzministerium plant.

Die Kopie einer Urkunde sei aber nie selbst eine Urkunde. Damit habe sie keine Beweisfunktion im Sinne des Gesetzes, so Krumpholz weiter. „Auch das Finanzministerium oder die Bafin kann aus einer Kopie keine Urkunde machen und den Begriff, was eine Urkunde ist, mal eben erweitern.“