Wo Vertrauen Identität rafft – Über die Problematik von Online-Ident-Verfahren
2025.09.18 | Jonas Krüger | DenktMit Blog
„Ohne Pass kann man nicht existieren.“[1] Unser Name, unsere Augenfarbe, unser Geburtsort sind nur ein paar der einem ureigenen Merkmale. Und zumindest auf Dokumenten sind sie es, die aus Daten Individuen erschaffen. Daher sind sie auch essenziell, um am gesellschaftlichen Leben teilhaben zu können. Ohne diese verbrieften Merkmale können weder Konto noch Versicherung eröffnet werden. Im Extremfall – wie seit kurzem in Großbritannien – sogar keine Internetseite, kein Social Media mit (einer sehr schwammigen Definition von) „jugendgefährdenden“ Inhalten aufgerufen werden.
Im ‚real life‘ wäre die Sache schnell erledigt, man zöge bei der Behörde, an der Clubtür den Ausweis und ließe sich durch Beamten oder Türsteher in Echtzeit verifizieren, die Daten wären nur kurz und nur für eine Person einsehbar. Im Netz bedeutete die Verifizierung hingegen lange Zeit umständliche oder langwierige Gänge zum jeweiligen Amt oder das Warten auf einen Brief mit Aktivierungscode, um sich damit dann digital zu verifizieren. Mit Videoident-Verfahren schien ein bequemes System gefunden, welche es Menschen von überall auf der Welt ermöglichte, sich auszuweisen.
Funktionsweise und Schwachstellen von Videoident-Verfahren
Das System von Videoident-Verfahren ist dabei denkbar einfach: Man nehme eine App, harre einige Zeit in einer Warteschleife aus und halte nun ein Ausweisdokument in die Kamera und hoffe, dass diese nicht spiegelt. Ein Mitarbeiter des Verifizierers vergleicht nun unter anderem den Ausweis mit dem eigenen Gesicht, gleicht die Daten ab mit denen die er hat. Der Verifizierer gibt nun grünes oder rotes Licht für seinen Auftraggeber, also etwa die Bank, bei der man ein Konto eröffnen möchte.
Die Krux: Nicht nur befördert das System eine Monopolstellung einzelner Unternehmen aufgrund der vermeintlichen Alternativlosigkeit des Ident-Verfahrens. Obendrein ist oft unklar, wo genau das Callcenter des Verifizierers liegt, welche Reise die eigenen Daten vollziehen und zuletzt wie die Person ausgebildet ist, die nun sehr sensible Daten erhält. Zudem zeigte der Chaos Computer Club (CCC) bereits vor einigen Jahren, wie leicht sich, die Videoident-Verfahren austricksten lassen, da sie nur die wenigsten der Sicherheitsmerkmale, die ein Ausweisdokument besitzt, kontrollieren können.[2] So konnten etwa geraubte Ausweisdaten mittels Videomanipulation auf einen anderen Pass gemorpht werden, eine falsche Identität erfolgreich vorgegaukelt werden.
Unbekanntere, sicherere Alternativen zu Videoident-Verfahren
Für beide Seiten wird die Verifizierung also zu einem unsicheren und fehleranfälligem Prozess. Die Selbstermächtigung des Kunden weicht seiner Bevormundung, ein unsicheres, aber als alternativlos hingestelltes System verwenden zu müssen. Eine staatliche Alternative in Deutschland, die eID, fristet hingegen seit Jahren ein Schattendasein, obwohl sie die Sicherheitsmängel beheben könnte.[3] Die Videoidentifizierung entfällt hier zugunsten eines pseudonymen Datenchecks mit dem Amt (welches die Daten sowieso schon haben muss), Daten werden nicht bei dem Verifizierer gespeichert. Auch das bereits angesprochene Postident-Verfahren, ist dabei sicherer, sofern es sich um jene Variante handelt, die den Umweg über die Postfiliale miteinschließt. Denn auch Postident setzt mittlerweile vermehrt auf Videoident-Verfahren. Doch bietet nur der Umweg auf die Postfiliale mehr Sicherheit. Denn der Ausweis wird vor Ort, durch einen Mitarbeiter auf alle visuellen und haptischen Merkmale überprüft. Am Ende landen wie bei der eID nur die relevanten Daten beim Dienstleister. Das Risiko zum Betrug ist so, zum Preis eines Spazierganges, für beide Seiten deutlich geringer.
Denn mit der momentan prävalenten Nutzung von Videoident-Verfahren sind Ausweisdaten jedenfalls nicht sicher. Tür und Tor werden geöffnet für Datenlecks und Identitätsdiebstahl, da Fitzelchen der Ausweisdaten bereits genügen, um Zugriff auf Benutzerkonten zu bekommen, Kredite im eignen Namen aufzunehmen, oder etwa eine neue Sim-Karte unter dem eigenen Vertrag anzuschaffen.[4]
Der Umgang mit den eigenen Ausweisdaten, sollte jedoch nicht nur bei Videoident-Verfahren im Blick bleiben, sondern bei jedweder Plattform, bei der man ein eigenes Konto besitzt und persönliche Daten angibt. Denn auch bei Online-Shops wird oft, auch wenn nicht unbedingt benötigt, etwas wie das Geburtsdatum abgefragt. Die schöne Geburtstagsüberraschung kann dann allerdings ein böses Erwachen haben, wenn es zu Datendiebstahl bei der betreffenden Firma kommt.
[1] Der Vulkan. Roman unter Emigranten. Klaus Mann.
[2] Vgl. Hierzu Chaos Computer Club. Praktischer Angriff auf Video-Ident Demonstration inhärenter Schwächen der videobasierten Echtheitsprüfung physischer ID-Dokumente. Online verfügbar unter:
https://www.ccc.de/system/uploads/329/original/Angriff_auf_Video-Ident_v1.2.pdf S. 6f.[3] Das Hauptproblem der eID scheinen mangelnde Sichtbarkeit und schlechtes Marketing zu sein.
[4] Sog. Sim-Swapping.
Meet The Expert
Jonas Krüger ist Content-Creator und Multimedia-Redakteur. Er kümmert sich um das Bespielen und Organisieren des DenktMit-Blogs sowie des Social Media-Auftrittes.
