Von Ralf Keuper

Obwohl bei Verimi gerade die “Hütte brennt”, soll man sich bei der Deutschen Kreditwirtschaft angeblich mit dem Gedanken tragen, die beiden Identifizierungs- und Authentifizierungsservices Verimi und YES zusammenzulegen[1]Deutsche Kreditwirtschaft sondiert eine Fusion von Verimi und Yes. Sollte das tatsächlich der Fall sein, wäre es ein Zusammenschluss von Not und Elend. Eher überrascht da der beiläufige Hinweis auf eine “Datenpanne” bei Verimi, welche Gegenstand der aktuellen Berichterstattung sei.

Mit der Datenpanne ist wohl der Umstand gemeint, dass bei Verimi über Jahre Zugangsdaten im Klartext in Logfiles abgespeichert wurden[2]Bei Verimi wurden Zugangsdaten (Nutzername und Passwort) über mehrere Jahre im Klartext in Logfiles abgespeichert. Allerdings kam es noch schlimmer: Wie ebenfalls bekannt wurde, hat Verimi, um die Zulassung als Zahlungsdienstleister zu bekommen, die eigenen Mitarbeiter aufgefordert, die dafür nötigen Transaktionen über einen Online-Photoshop anzustoßen, der zu dem Zeitpunkt einer der wenigen Kunden von Verimi Pay war[3]ID-Dienst: Verimi soll die BaFin bei Bezahllösung getäuscht haben. Doch auch damit ist die Geschichte noch nicht zu Ende. So hat der Sicherheitsforscher Martin Tschirisch bei einem Selbstversuch weitere gravierende Mängel beim Anmelde- bzw. Verifizierungsprozess der Verimi ID-Wallet festgestellt[4]Digitalisierung – Wie doof sind die eigentlich?. In nur dreißig Minuten gelangt es Tschirisch, seinen Digitalen Führerschein zu fälschen, ohne dass dies von den KI-gestützten Verfahren entdeckt worden wäre[5]Verimi: Es brennt[6]Sicherheitslücken und fragwürdige Zahlungen: Druck auf Berliner Identitätsplattform Verimi wächst[7]Eklatante Schwächen beim digitalen Führerschein aufgedeckt. Finden gefälschte Identitäten erst einmal Einlass in die IT-Systeme der Banken, kann das für die Opfer des Diebstahls höchst unangenehme Folgen haben[8]Wenn gefälschte Identitäten erst einmal in den IT-Systemen sind ….

Angesichts der Spekulationen[9]denn um mehr handelt es sich letztlich nicht, sodass man auch hier fragen muss: Cui bono? Wer hat ein Interesse daran, dass Meldungen dieser Art verbreitet werden? um Verimi und YES sind das nicht ganz unwichtige “Details”.