Verimi: Digitaler Führerschein lässt sich leicht fälschen

Verimi
Vor nicht einmal einem Jahr war bereits der erste Versuch eines digitalen Führerscheins an Sicherheitsproblemen gescheitert. Nun sollte es Verimi besser machen. (Quelle: Verimi – Screenshot Posteo)

Mithilfe der App Verimi lassen sich Führerscheine digital auf dem Smartphone speichern. Doch die öffentlich finanzierte Lösung weist signifikante Sicherheitslücken auf, wie der IT-Sicherheitsforscher Martin Tschirsich nun belegt hat. Er erstellte sich eigenen Angaben zufolge mehrere digitale Führerscheine unter falschem Namen – und eine ID-Karte mit falscher Staatsbürgerschaft.

Um die digitalen Dokumente zu erhalten, nutzte er das Foto-Ident-Verfahren der App. Darüber können sich Nutzerinnen oder Nutzer identifizieren, indem sie die Vorder- und Rückseite ihres Führerscheins fotografieren und zusätzlich ein Selbstportrait hochladen.

Tschirsich fotografierte seinen echten Führerschein ab und änderte seinen Namen im Anschluss mithilfe eines Bildbearbeitungsprogramms. Das Ergebnis druckte er aus und lud ein Foto davon in die App. Zusammen mit einem Selfie akzeptierte Verimi die mit einfachsten Mitteln hergestellte Fälschung – und stellte einen verifizierten digitalen Führerschein aus.

Halbe Stunde Arbeit

Um hochgeladene Selfies und das Foto des Führerscheins abzugleichen, kommt Verimi zufolge künstliche Intelligenz zum Einsatz – Menschen scheinen die Ergebnisse nicht zu überprüfen. Offenbar werden die hochgeladenen Daten auch nicht mit dem Führerscheinregister abgeglichen – der Manipulationsversuch wäre sonst aufgeflogen.

Die Führerscheinfälschung hatte der Sicherheitsforscher einfach “am Foto-Kiosk der nächstgelegenen Drogerie” ausgedruckt. Insgesamt habe es 30 Minuten gedauert, den verifizierten Führerschein unter falschem Namen zu erhalten. Tschirsich hat eine Generator-Software entwickelt, mit der sich Fälschungen der Dokumente besonders schnell anfertigen lassen; sie hält Blankovorlagen der Dokumente bereit und kann Namen und andere Daten automatisch in der richtigen Schriftart einsetzen.

Den Ausdruck hatte der Experte im Großformat angefertigt, damit alle Details des Dokuments erkennbar blieben. Zudem gab er gegenüber Spiegel Online an, nicht den Eindruck erwecken zu wollen, Dokumente zu fälschen.

“Die Unsicherheit des Foto-Ident ist allseits bekannt,” schrieb Tschirsich am Donnerstag auf Twitter. Deswegen werde das Verfahren sonst auch nur “in Sektoren eingesetzt, die keiner besonderen Regulierung unterliegen”.

Wiederholtes Scheitern

Seit dem 24. Juni lässt sich der deutsche Führerschein in der Identifikations-App Verimi hinterlegen. Aktuell ersetzt der digitale Führerschein sein analoges Gegenstück aber noch nicht. Er kann hauptsächlich für die Anmietung von Fahrzeugen genutzt werden – beispielsweise in Carsharing-Apps.

Im Alltag, wie beispielsweise bei Polizeikontrollen, wird die digitale Version nicht akzeptiert. Langfristig soll der digitale Führerschein ein vollständiger Ersatz werden; hierfür sind aber noch Gesetzesänderungen nötig.

Bei der aktuellen Version des digitalen Führerscheins handelt es sich bereits um den zweiten Versuch in Deutschland, das Dokument aufs Smartphone zu bringen: Im September 2021 war der digitale Führerschein bereits in Kombination mit der App “ID Wallet” eines anderen Anbieters an den Start gegangen. Doch der von der Bundesregierung beauftragte Dienstleister Digital Enabling GmbH musste die Anwendung bereits eine Woche später wieder offline nehmen. Grund waren unter anderem grundlegende Versäumnisse bei der Sicherheit.

Die Anwendung hatte Identitätsdiebstahl ermöglicht und wurde veröffentlicht, obwohl Expertinnen und Experten des Chaos Computer Clubs im Vorhinein auf Sicherheitsprobleme hingewiesen hatten. Zudem war der Dienstleister nicht auf den vielfachen Zugriff der Nutzer auf die Server vorbereitet gewesen.

Verimi in der Kritik

Doch auch Verimi stand schon mehrfach in der Kritik: Der Berliner Beauftragte für Datenschutz und Informationsfreiheit protokollierte im September 2021 ein Datenleck bei der Firma, von dem geschätzt 450.000 Nutzerinnen und Nutzer betroffen waren. Informiert wurden die Betroffenen nicht.

Die IT-Sicherheitsexpertin Lilith Wittmann hatte erst vor kurzem via Blog die angegebenen Transaktionszahlen von Verimis Zahlungsdienst Verimi Pay angezweifelt – ebenso wie ehemalige Mitarbeiter des Unternehmens. Es steht der Vorwurf im Raum, dass Verimi die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) getäuscht haben könnte. Manipulierte Aufträge sollten demnach dafür sorgen, dass dem Dienst seine Lizenz als Zahlungsdienstleister nicht entzogen wird.

Zu den Inhabern von Verimi zählen unter anderem Allianz, Axel Springer, die Bundesdruckerei, Daimler, Deutsche Bahn, Deutsche Bank, Deutsche Telekom, Giesecke & Devrient, Lufthansa, Samsung und Volkswagen. (hcz)