Gefahr Nr. 1: Zentrale Speicherung von Gesichts-Videos beim Bund
Mit dem E-ID-Gesetz befindet der Stimmbürger über die Frage, ob der Staat während bis zu 15 Jahren (10 Jahre maximale Gültigkeitsdauer der E-ID plus 5 zusätzliche Jahre nach Ablauf- oder Widerrufdatum zwecks Untersuchung der Erschleichung der E-ID) ein Video des eigenen Gesichts speichern darf. Ein – oder im Falle eines weiteren Aktivierungsprozesses der E-ID – mehrere Gesichts-Videos werden beim Bund also so lange zentral gespeichert, wie eine aktive E-ID besteht. Für Kriminelleund Schurkenstaaten bietet diese zentrale Speicherung von Millionen von hochqualitativen Videos von echten Gesichtsbildern aus mehreren Winkeln ein enormes Sicherheitsrisiko.
«Es ist kaum abschätzbar, welcher Schaden entstehen kann, wenn die beim Bund zentral gespeicherten Gesichtsvideos unserer Bürgerinnen und Bürger im Darknet landen.», sagt Nils Fiechter, Präsident der Jungen SVP Schweiz. Mit den gestohlenen Gesichts-Videos könnten diverse Video-Identifikationssysteme, auch ausserhalb der E-ID-App «Swiyu», umgangen und damit Millionen von Identitäten gefälscht und gestohlen werden.
Gefahr Nr. 2: Kein Video-Ident-System bietet absolute Sicherheit.
Der Bund muss diese Softwarekomponente noch vor dem Abstimmungstermin für Sicherheitstests zur Verfügung stellen
In Art. 17 des E-ID-Gesetzes ist geregelt, wonach die Person, für welche die E-ID beantragt wird, ihre Identität online durch das fedpol prüfen lassen muss. Hierfür wird das Gesicht der Person mit dem Gesichtsbild verglichen, welches beim Bund zwecks Ausstellung des physischen Passes oder der physischen ID gespeichert ist. Dieses Verfahren wird im Fachjargon als «Video-Ident» bezeichnet. Namhafte Hacker des Deutschen Chaos Computer Club warnen bereits seit Jahren vor der Anwendung dieses unsicheren Verfahrens. So umschreibt Martin Tschirsich, Berater für Informationssicherheit, in einer vielbeachteten Arbeit von 2022 einen praktischen Angriff auf das System von «Video-Ident». Die inhärenten Schwächen videobasierter Identitätsprüfungen werden hierbei schonungslos aufgezeigt. Der Bericht warnt deshalb in aller Deutlichkeit generell vor dem weiteren Einsatz von Video-Ident. Mit entsprechendem Aufwand könne jede ID-Prüfung überwunden werden. Hier gehts zur Dokumentation des Hacking Angriffs.
Der Bund hat sein Video-Ident-System bisher bewusst nicht veröffentlicht, die aktuelle Beta-Version der «Swiyu»-Applikation klammert den Aktivierungsprozess deshalb auch vollständig aus. Der allgemeine Stand der aktuellen Forschungen im Bereich Cybersicherheit geht derzeit davon aus, dass kein System der videobasierten Echtheitsüberprüfung von Identitäten absolute Sicherheit bietet. Solange der Bund sein Video-Ident-System der E-ID für professionelle «Friendly Hacker» und die breite Öffentlichkeit nicht zu Testzwecken zugänglich macht, kann er folglich auch nicht das Gegenteil behaupten.
«Jedes Video-Ident-System kann umgangen werden. Die Frage ist einzig, wie viel Aufwand Kriminelle und Schurkenstaaten in die Umgehung investieren müssen. Wir fordern den Bundesrat auf, auch dasjenige Softwaremodul, welches den Online-Identitätsprüfungsprozess für die E-ID durchführt, sofort zu veröffentlichen, damit wir dessen Schwächen aufzeigen können.», sagt Nils Fiechter, Präsident der Jungen SVP Schweiz.
