So einfach lässt sich der digitale Führerschein fälschen
Die App Verimi bringt in Deutschland den Führerschein aufs Handy. Allerdings hat sich das Verfahren, das der deutsche Anbieter für ID-Wallet-Lösungen nutzt, als unsicher herausgestellt. Der deutsche IT-Sicherheitsforscher Martin Tschirsich von der ZFT Company hat auf Twitter demonstriert, wie einfach der digitale Führerschein gefälscht werden kann.
Mit der App habe er mehrere digitale Führerscheine unter verschiedenen Namen erstellen können. Möglich macht das das sogenannte Foto-Ident-Verfahren, das Verimi zur Anwendung bringt. App-Nutzer*innen müssen dabei die Vorder- und Rückseite des Führerscheins abfotografieren und ein zusätzliches Selfie hochladen. Dies soll als Beweis gelten, dass es sich um die entsprechende Person auf dem Führerschein handelt.
Unsicherheit allseits bekannt
Die Unsicherheit des Verfahrens sei laut Tschirsich allseits bekannt. "Foto-Ident wird daher in Deutschland nur in Sektoren eingesetzt, die keiner besonderen Regulierung unterliegen", schreibt er auf Twitter.
Bei dem Verfahren überprüft eine künstliche Intelligenz (KI) die Identität des jeweiligen Nutzers oder der jeweiligen Nutzerin. Eine menschliche Prüfung im Sinne eines Abgleichs mit einem Führerscheinregister scheint also nicht vonstattenzugehen.
App akzeptiert falschen Ausweis
Um ein solches digitales Dokument mit einem beliebigen Namen zu erstellen, hat Tschirsich seinen eigenen Führerschein fotografiert. Mit einem Bildbearbeitungsprogramm hat er im Anschluss den Namen geändert.
Den neuen Schein druckte er in einem Drogeriemarkt im Großformat aus. So sollten optische Merkmale erkennbar bleiben, die auf der Plastikkarte sichtbar sind, auf Papier aber nicht, wenn der Ausweis in derselben Größe gedruckt wird.
Den Ausdruck fotografierte er dann mit der Verimi-App und legte das zusätzliche Selfie bei. Die App hatte den digitalen Führerschein mit dem gefälschten Namen umgehend akzeptiert. Auch eine Schweizer Staatsbürgerschaft konnte der Forscher erzeugen.
Laut ihm hätte dieser "Hackerangriff", um das System zu überlisten, lediglich 30 Minuten gedauert. Anhand seines eigens gebauten Generators mit Blankovorlagen eines Führerscheins und der richtigen Schrift ist eine solche Fälschung besonders schnell zu realisieren.
Möglich ist das alles, weil das System offensichtlich nicht an eine Datenbank angeknüpft ist, die die echten Führerscheindaten enthält. Die KI überprüft also lediglich ob die optischen Merkmale des abfotografierten Führerscheins vorhanden sind und ob das Selfie und das Foto auf dem Führerschein dieselbe Person zeigen.
Digitaler Führerschein in Österreich verzögert sich
Im Alltag ist derzeit nur der physische Ausweis gültig in Deutschland. Für die komplette digitale Akzeptanz brauche es laut dem Spiegel noch eine entsprechende Gesetzesänderung. Auch in Österreich verzögert sich die Digitalisierung des Führerscheins, die eine der ersten Anwendungen der neuen ID Austria wird - der digitale Identitätsnachweis, der die Handy-Signatur ablöst. Der Start wurde auf diesen Herbst verlegt. Die futurezone hat berichtet.