Die Europäische Union hat mit der EUid-Verordnung einen wichtigen Schritt zur Digitalisierung der Bürgeridentität unternommen. Bis Anfang 2027 müssen alle EU-Mitgliedstaaten ihren Bürgern digitale Brieftaschen bereitstellen, die als zentrale Plattform für Online-Ausweise, Führerscheine und Zeugnisse dienen sollen. Diese European Digital Identity Wallet (EUDI) verspricht eine vereinfachte und einheitliche Nutzung digitaler Identitätsnachweise bei verschiedenen Online-Diensten.

Der kritische Punkt liegt jedoch im sogenannten Onboarding-Prozess, bei dem die digitale Brieftasche mit den Identitätsmerkmalen des Nutzers verknüpft wird. Hierfür kommen häufig videobasierte Fernidentifikationsverfahren zum Einsatz, die bereits von der SIM-Aktivierung oder Kontoeröffnungen bekannt sind. Diese Methoden bieten zwar Flexibilität und Ortsunabhängigkeit, bringen aber erhebliche Sicherheitsrisiken mit sich.

Das Bundesamt für Sicherheit in der Informationstechnik und die französische Behörde ANSSI haben in einer gemeinsamen Handreichung eindringlich vor den Schwachstellen dieser Technologie gewarnt[1]BSI und ANSSI warnen vor VideoIdent bei der digitalen EU-Brieftasche. Besonders problematisch sind KI-generierte Identitäten, gefälschte Dokumente und die Möglichkeit, dass Angreifer die vollständige Kontrolle über übermittelte Informationen erlangen können. Die Verfahren sind grundsätzlich anfällig für wiederholbare und skalierbare Angriffe, die für die Behörden oft unsichtbar bleiben.

Die Brisanz des Problems wird durch einen spektakulären Hack des Chaos Computer Clubs von 2022 verdeutlicht: Den CCC-Mitgliedern gelang es, die VideoIdent-Verfahren von sechs Anbietern mit einfachen Mitteln zu überwinden. Trotz dieser offensichtlichen Sicherheitslücken genehmigten deutsche Behörden Ende 2023 eine weitere Evaluierungsphase für diese Technologie bei der Beantragung qualifizierter Zertifikate für digitale Signaturen.

BSI und ANSSI fordern daher einen umfassenden europäischen Ansatz für Prüfung, Zertifizierung und Standardisierung im Bereich der digitalen Identitätsprüfung. Nur durch einheitliche Standards und verbesserte Sicherheitsmaßnahmen kann das Vertrauen der Nutzer und Aufsichtsbehörden in die neue digitale Infrastruktur gewährleistet werden. Die beiden Sicherheitsämter arbeiten bereits an der Anpassung bestehender Standards und der Entwicklung neuer Normen in europäischen Gremien.