Digitaler Führerschein: IT-Sicherheitsexperte deckt eklatante Mängel auf – In modernen Zeiten wie den unseren, soll nun auch der gute alte Lappen digitalisiert werden. Ein Dienstleister namens Verimi bietet genau diesen Service an, doch wie sich nun herausstellte, weist dessen App derart eklatante Mängel auf, dass sich die Fotoidentifikation erstaunlich leicht austricksen lässt.

Es ist bereits der zweite Versuch, den digitalen Führerschein offiziell auf das Smartphone zu bringen.

Zuvor hatten Mitglieder des Chaos Computer Clubs eine sogenannte ID Wallet des von der Bundesregierung beauftragten Dienstleisters Digital Enabling GmbH wegen Sicherheitsmängeln kritisiert, was dazu führte, dass die App bereits eine Woche nach der Einführung wieder aus den App-Stores von Google und Apple entfernt werden musste.

Im zweiten Anlauf sollte es nun ID-Dienstleister Verimi richten, der unter anderem der Allianz, dem Verlag Axel Springer, der Bundesdruckerei, der Deutschen Telekom, Mercedes-Benz, Samsung und Volkswagen gehört.

Wie der deutsche IT-Sicherheitsforscher Martin Tschirsich kürzlich auf Twitter veranschaulichte, ist aber auch dieses Unternehmen offenbar daran gescheitert, eine sichere Lösung dafür zu finden, die Fahrerlaubnis zu digitalisieren.

Wie Tschirsich erläutert, habe er mehrere digitale Führerscheine unter verschiedenen Namen generiert. Außerdem auch noch eine ID-Karte, die ihm die Schweizer Staatsbürgerschaft zuspricht.

Dies gelang dem IT-Experten, weil Verimi ein Foto-Ident-Verfahren verwendet, bei dem Nutzer lediglich die Vorder- und die Rückseite ihres Führerscheins fotografieren müssen, um schließlich mit einem Selfie zu belegen, dass man auch tatsächlich die Person auf dem Dokument sei.

Verimi zufolge werde das Ganze dann von einen „KI-gestützten Prozess“ überprüft, bei dem es offenbar keinerlei menschlichen Zutuns bedarf. Und wie es scheint, findet auch kein Abgleich mit einem Führerscheinregister statt.

Also änderte Tschirsich einfach den Namen auf seinem echten fotografierten Führerschein mit einer Bildbearbeitungssoftware, druckte die manipulierten Dateien dann „am Fotokiosk der nächstgelegenen Drogerie“ im Großformat aus, fotografierte diesen Ausdruck mit der Verimi-App, und siehe da:

In Kombination mit dem Selfie akzeptierte die App die Fälschungen ohne Probleme und erzeugte daraufhin digitale Führerscheine mit den gewünschten Namen.

Gegenüber dem „Spiegel“ erklärte Tschirsich, dass die großformatigen Ausdrucke dazu dienten, feine optische Merkmale möglichst erkennbar zu erhalten. Außerdem habe er nicht den Eindruck erwecken wollen, er würde offizielle Dokumente fälschen.

Zudem habe Tschirsich sich einen Generator in Form einer Browseranwendung gebaut, der aus Blankovorlagen des gewünschten Dokuments, der jeweils richtigen Schriftart und einem Foto „eine digitale Collage“ in kürzester Zeit erstellt.

Auf Twitter schreibt der IT-Experte: „Die Unsicherheit des Foto-Ident ist allseits bekannt. Foto-Ident wird daher in Deutschland nur in Sektoren eingesetzt, die keiner besonderen Regulierung unterliegen. Unklar bleibt, warum Verimi das Verfahren beim zweiten Versuch eines digitalen Führerscheins für geeignet hielt.“

Von offizieller Seite ist auf lange Sicht geplant, dass das digitale Abbild des Führerscheins auf dem Smartphone analoge Ausweispapiere vollständig ersetzen soll.

In Ermangelung eines entsprechenden Gesetzes ist der in der ID Wallet aufbewahrte digitale Führerschein aktuell aber lediglich für die Anmietung von Mietwagen oder die Nutzung von Carsharing-Angeboten gültig. Im Alltag ist der physische Führerschein nach wie vor alternativlos.

Quelle: spiegel.de