Bundesverwaltung testet Videoidentifikation
Wer auf interne Applikationen der Bundesverwaltung zugreifen will, muss sich vorgängig persönlich identifizieren. Dazu testet der Bund ein Video-basiertes Verfahren der Firma Intrum. Derweil kritisieren deutsche Sicherheitsforscher Videoidentifikationsverfahren als unsicher.
Wer sich bei einer internen Applikation der Bundesverwaltung anmelden will, muss seine Identität zuerst bestätigen lassen. Dies geschieht mittels einer Ausweiskontrolle, wie der Bund mitteilt. Neu soll diese Ausweiskontrolle auch per Video stattfinden können. Der Bund testet dazu ein Verfahren der Firma Intrum.
Keine Smartcard mehr
Bislang mussten Nutzerinnen und Nutzer für die Ausweiskontrolle jeweils an einem Standort der Bundesverwaltung oder einer Auslandsvertretung der Schweiz persönlich vorsprechen. Vor Ort wurde dann die Identität bestätigt und dem Mitarbeitenden eine Smartcard für künftige Logins ausgehändigt.
Mit der alternativen Identifikationsmöglichkeit per Video müssen die Personen nicht mehr extra zur Kontrolle anreisen, teilt der Bund weiter mit. Sie erhalten für den Zugang zu den Bundessystemen auch keine Smartcard mehr, sondern nutzen ihr eigenes Smartphone als zusätzliches Sicherheitselement. Dort erfolge die kryptografische Sicherung des Logins mit dem auf den Schweizer SIM und eSIM vorinstallierten Zertifikat (bekannt als Mobile ID).
Eine entscheidende Einschränkung macht der Bund beim Kreis der Nutzerinnen und Nutzer des neuen Verfahrens: Dieses stehe nur externen Mitarbeitenden und Dienstleistern zur Verfügung. Festangestellte Mitarbeitende seien davon nicht betroffen, ebenso wenig Bürgerinnen und Bürger. Entsprechende separate Abklärungen für den Ausstellungsprozess der staatlichen E-ID laufen unabhängig von diesem Test unter Federführung des Bundesamtes für Justiz.
Videoidentifikationsverfahren in der Kritik
Die Firma Intrum, mit der der Bund im Bereich der Videoidentifikation zusammenarbeitet, gab im März dieses Jahres bekannt, gemeinsam mit Swisscom und Skribble an einer Videoidentifikation für E-Signaturen zu arbeiten. Die dafür notwendigen Gesetzesgrundlagen waren kurz vor der Ankündigung in Kraft getreten, wie Sie hier lesen können.
In Deutschland stehen Verfahren zur Videoidentifikation in der Kritik. Hintergrund sind Forschungsergebnisse des deutschen Chaos Computer Clubs. Experten der Hackervereinigung gelang es, die Verfahren auszutricksen, sich als fremde Personen auszuweisen und auf deren sensible Daten zuzugreifen, wie "Der Spiegel" berichtet. Damit dies gelang, sei zwar "einiger Aufwand erforderlich" gewesen. Doch die eingesetzten Tools, darunter "ein Fernseher und etwas rote Farbe" sind leicht zu bekommen und die von den ethischen Hackern genutzten Techniken zur Videomanipulation seien bereits weitverbreitet, heisst es unter Berufung auf Sicherheitsforscher Martin Tschirsich. Als Reaktion auf die Testergebnisse stoppte Gematik, ein IT-Dienstleister der deutschen Gesundheitsbranche, sein Videoidentifizierungsverfahren für den Zugriff auf elektronische Krankenakten, berichtet der Spiegel weiter.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
ICT-Berufsbildung Schweiz gibt neuen Geschäftsführer bekannt
VBS geht mit Wisekey und SpaceX ins All
Logitech wächst wieder - aber noch nicht genug
Mit Awareness Trainings zu mehr IT-Sicherheitsbewusstsein
Ebertlang lanciert Cloud-Backup-Service
Gefahr durch GenAI-Inhalte steigt
Broadcom verärgert europäische VMware-Kunden - schon wieder
Dell erweitert seine Inspiron-Serie
Motorola lanciert Neuauflage seiner Edge-Smartphones
