Verimi App Eklatante Schwächen beim digitalen Führerschein aufgedeckt
Digitaler Führerschein von Verimi: Beispielfälschung von Martin Tschirsich
Foto: Martin TschirsichSchon einmal, im Herbst 2021, ist eine sogenannte ID Wallet für den digitalen Führerschein unter die Räder gekommen: Mitglieder des Chaos Computer Clubs (CCC) hatten Sicherheitsbedenken geäußert , sodass es der von der damaligen Bundesregierung beauftragte Dienstleister Digital Enabling GmbH für nötig hielt, die ID Wallet nur eine Woche nach der offiziellen Vorstellung wieder aus den App-Stores von Google und Apple zu entfernen.
Nun gibt es einen zweiten Versuch mit einem neuen Betreiber, dem ID-Dienstleister Verimi, der unter anderem der Allianz, dem Verlag Axel Springer, der Bundesdruckerei, der Deutschen Telekom, Mercedes-Benz, Samsung und Volkswagen gehört. Aber auch Verimi hat es nicht geschafft, eine sichere Lösung für die Digitalisierung der Fahrerlaubnis zu entwickeln, wie der deutsche IT-Sicherheitsforscher Martin Tschirsich auf Twitter demonstrierte .
Tschirsich hat sich nach eigenen Angaben mehrere digitale Führerscheine unter verschiedenen Namen generiert, dazu noch eine ID-Karte, laut der er die Schweizer Staatsbürgerschaft besitzt. Problemlos möglich war das, weil Verimi auf ein Foto-Ident-Verfahren setzt. Nutzerinnen und Nutzer müssen nur die Vorder- und die Rückseite ihres Führerscheins fotografieren und dazu ein Selfie machen, um zu belegen, dass sie selbst die Person auf dem Dokument sind. Überprüft wird das nach Angaben von Verimi in einem »KI-gestützten Prozess«, also offenbar ohne menschliche Prüfer. Ein Abgleich mit einem Führerscheinregister findet offensichtlich auch nicht statt.
Um einen digitalen Führerschein mit einem beliebigen Namen zu erzeugen, fotografierte Tschirsich seinen echten Führerschein, änderte den Namen mit einer Bildbearbeitungssoftware, druckte die manipulierten Dateien »am Fotokiosk der nächstgelegenen Drogerie« im Großformat aus – und fotografierte die Ausdrucke wiederum mit der Verimi-App. Zusammen mit einem wie verlangt aufgenommenen Selfie akzeptierte die App die Fälschung umgehend und erzeugte die digitalen Führerscheine mit den gewünschten Namen.
Der Ausdruck im Großformat dient zum einen dazu, feine optische Merkmale möglichst erkennbar zu erhalten. Zum anderen will Tschirsich nicht den Eindruck erwecken, er würde offizielle Dokumente fälschen, wie er dem SPIEGEL sagte.
Besonders schnell geht das alles, weil Tschirsich einen Generator in Form einer Browseranwendung gebaut hat, mit Blankovorlagen des gewünschten Dokuments und der jeweils richtigen Schriftart. Daraus erzeuge der Generator zusammen mit einem Foto »eine digitale Collage«, beschreibt er die Software.
Der in der ID Wallet aufbewahrte digitale Führerschein kann fürs Erste allenfalls für die Anmietung von Mietwagen oder die Nutzung von Carsharing-Angeboten genutzt werden. Langfristig aber soll das digitale Abbild des Führerscheins auf dem Smartphone analoge Ausweispapiere vollständig ersetzen können. Dafür braucht es allerdings erst entsprechende Gesetzesänderungen. Bisher ist nur der physische Führerschein im Alltag gültig.
