Datum 04.07.2025

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit der französischen Behörde für IT-Sicherheit, Agence Nationale de la Sécurité des Systèmes d‘Information (ANSSI), eine gemeinsame Publikation zum Thema "Herausforderung Fernidentifikation für EUDI-Wallets" veröffentlicht.

Die Mitgliedsstaaten der Europäischen Union haben sich darauf verständigt, die Digitalisierung gemeinsam voranzutreiben und sich dazu verpflichtet, ab dem 01. Januar 2027 ihren Mitbürgerinnen und Mitbürgern eine Europäische Brieftasche für Digitale Identitäten, die EUDI-Wallet, zur Verfügung zu stellen. Damit können in Zukunft zum Beispiel Führerscheine oder Zeugnisse bei verschiedenen Online-Diensten digital eingesetzt werden. Bevor die EUDI-Wallet verwendet werden kann, muss diese mit Identitätsmerkmalen befüllt werden. Eine mögliche Technologie für das so genannte "Onboarding" ist das videobasierte Fernidentifikationsverfahren.

Dieses wird bereits bei Anwendungen wie der SIM-Aktivierung oder Kontoeröffnung genutzt. Nutzerinnen und Nutzer können sich bei einem Online-Dienstleister über eine Webcam oder die Kamera eines Smartphones identifizieren, indem sie Gesicht und Ausweisdokumente über den Videokanal präsentieren. Videobasierte Fernidentifikationsverfahren sind beliebt, da sie flexibel, ortsunabhängig und jederzeit genutzt werden können. Allerdings stellen die Prüfung der Echtheit und Authentizität von Identitätskokumenten sowie die biometrische Bindung an die zugehörige Person über den Videokanal eine Herausforderung dar. Die Identitäten könnten über Künstliche Intelligenz generiert, Dokumente gefälscht sein oder Angreifer die vollständige Kontrolle über übermittelte Informationen erhalten.

Diese gemeinsame Publikation des BSI und ANSSI beschreibt die Herausforderungen der Dokumentenprüfung und biometrischen Identifikation mittels Fernidentifikationsverfahren. Außerdem wird die erforderliche Resistenz gegen Fälschungsangriffe betont. Zudem thematisiert die Veröffentlichung, dass ektronische Daten aus Ausweisdokumenten derzeit in vielen Staaten gesetzlich nicht von den Diensteanbietern ausgelesen werden dürfen. Könnten gespeicherte Lichtbilder als Referenz für den biometrischen Vergleich - sowie weitere verifizierbare Daten, wie Name, Gültigkeitdatum und Geburtsdatum - genutzt werden, würde dies erhebliche Vorteile für die Sicherheit des Fernidentifikationsverfahren bieten.

Aktuell werden bestehende Standards für videobasierte Fernidentifikationsverfahren angepasst und neue in europäischen Gremien, wie ETSI und CEN entwickelt, um den Sicherheitsanforderungen nach eIDAS im Kontext der EUDI-Wallet zu entsprechen. 

Die zentrale Herausforderung für die beteiligten Staaten wird zukünftig die Evaluation von Schwachstellen dieser Verfahren im Rahmen von Zertifizierungen sein. Insbesondere die Dokumentenprüfung mit ihrer Vielfalt an Dokumenten, Sicherheitsmerkmalen sowie der biometrische Vergleich stehen im Fokus und müssen über Prüfspezifikationen und Leitfäden abgesichert werden.

Gemeinsam treiben ANSSI und BSI mit ihrer Expertise die Entwicklung von europäisch einheitlichen Prüfverfahren voran, um die Sicherheit und Integrität von EUDI-Wallets in Europa zu schützen.