Für den Identitätsdienstleister Verimi sieht es derzeit nicht gut aus. Der Vorwurf, das als Login-Dienst gestartete Berliner Unternehmen habe die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bei der Einführung seines Bezahlprodukts „Verimi Pay“ in die Irre geführt, ist nun durch eine nicht rechtzeitig eingestandene Datenpanne in die Kritik geraten Unsicherheit. digitaler Identifikationsprozess.
Auf der Suche nach einer Geschäftsidee
Hinter Verimi stehen Unternehmen wie die Allianz Versicherungsgruppe, Axel Springer, Bundesdruckerei, Daimler, Deutsche Bank, Deutsche Telekom und Lufthansa und sucht seit 2017 nach einer glänzenden Geschäftsidee. Ursprünglich wollte das Start-up mit amerikanischen Giganten konkurrieren wie Google und Facebook mit einem universellen Anmeldedienst (“Single Sign-On”), aber es hat nicht wirklich funktioniert.
Seit 2019 konzentriert sich das Unternehmen auf die elektronische Identität (eID), also eine umfassendere Online-Identifikation. So hat sie beispielsweise gemeinsam mit dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) im Rahmen des staatlich geförderten Innovationswettbewerbs Schaufenster Sichere Digitale Identitäten das Konzept der „Deutschland-ID“ (DeID) konzipiert.
Allerdings sind hierzulande die Anforderungen hoch, um Personen mit dem DNI identifizieren und die gesammelten Identitätsdaten Dritten zur Verfügung stellen zu können. Dafür müssen Lieferanten Sorgfaltspflichten wie Identifizierungspflichten im Kampf gegen Geldwäsche erfüllen. Daher beantragte Verimi bei der BaFin eine Konzession für ein sogenanntes Zahlungsinstitut, das PayPal-ähnliche Dienste anbieten kann.
Im April 2019 erhielt der Identifikationsdienstleister Plazet von der Finanzaufsichtsbehörde. Seither muss sie aber auch bescheinigen, dass sie die Anforderungen erfüllt, und beispielsweise der BaFin monatlich die Anzahl der durchgeführten Geschäfte melden. Daher hat das Unternehmen die Bezahllösung „Verimi Pay“ entwickelt. Diese können Online-Shops integrieren. Den Nutzern steht dann die Zahlung per elektronischem Lastschriftverfahren zur Verfügung.
Allerdings ist der Markt für Zahlungsanbieter bereits weitgehend gesättigt. Laut internen Dokumenten, die die Cybersicherheitsforscherin Lilith Wittmann am Donnerstag in einem Blogbeitrag veröffentlichte, suchte Verimi händeringend nach Partnern, die dem neuen Bezahldienst vertrauen würden. Mit dem von der BaFin geforderten Tätigkeitsnachweis hat das Unternehmen zumindest auch richtig getäuscht.
Ende Juli 2019 erklärte der Vorstand von Verimi laut einem Auszug aus einer Kopie eines internen wöchentlichen Newsletters allen Mitarbeitern, dass Verimi Pay Mitte September in mindestens eine Handvoll Unternehmen integriert werden soll. Im November wurde über denselben Kanal mitgeteilt, dass nun mindestens drei Partner gefunden seien, wie ein weiteres Dokument belegt: der „Bild-Shop“ von Axel Springer, die Seite „photo-druck.de“ von Photodruck PixArt. GmbH und den auf “Kunstdrucke” spezialisierten Shop “Kwadrat.art”.
Mitarbeiter sollten etwa 2000 Transaktionen tätigen
Letztere Domain leitet derzeit auf die Website einer Unternehmensberatung von Holger Junghanns weiter. Er war bis September 2019 Partner beim Beratungsunternehmen PwC und beriet unter anderem Verimi mit seinem Team. Neben diesem Vorgeschmack zeigt eine weitere E-Mail, dass der Chef von Verimi, Roland Adrian, am 13. November 2019 die 80 Mitarbeiter des Unternehmens aufforderte, so schnell wie möglich mindestens fünf Zahlungen in Online-Shops mit Verimi Pay zu tätigen, um die erforderlichen 2000 Transaktionen zu erreichen . für den BaFin-Test.
Laut einem weiteren Auszug konnte der Vorstand Ende November Entwarnung geben: Der „Notstab“, der für die Einhaltung der Vorgaben des Zahlungsdiensteaufsichtsgesetzes zuständig war, könne nun aufgelöst werden, heißt es. Inzwischen ist Verimi Pay nur noch in Photo-Drucke.de integriert. Fraglich ist, ob die notwendigen Transaktionen weiterhin über das Nischenangebot generiert werden, um die Bezahllizenz zu behalten.
„Wir nehmen die Bewertungen von Lilith Wittmann sehr ernst, prüfen sie und arbeiten kontinuierlich daran, das Verimi-System für unsere Nutzer noch sicherer zu machen“, twitterte das Unternehmen Ende Juli. “Wir sind immer offen für einen kritischen Dialog.” Das Unternehmen wollte sich zu den seitdem veröffentlichten Dokumenten aus “rechtlichen Gründen” nicht äußern. Die BaFin verwies auf ihre „gesetzliche Verschwiegenheitspflicht“, Junghanns auf Vertraulichkeitsgründe.
Ein Fall für die Aufsichtsbehörden dürfte auch sein, dass Verimi bei der eigenen ID-Wallet auf das „Photo-Ident“-Verfahren setzt, um Nutzer zu identifizieren und zu verifizieren. In der digitalen Geldbörse soll der Führerschein einfach auf dem Smartphone verwahrt werden können. Die zugehörigen Daten können von dort übermittelt oder an die verbundenen Unternehmen übermittelt werden.
Foto-Ident ist Betrugsversuchen ausgesetzt
Foto-Ident wird von der BaFin als „kein sicheres Verfahren zur Identitätsfeststellung“ eingestuft. Der Kunde muss lediglich ein Foto von sich und seinen Ausweis über eine App an Dienstleister wie Verimi senden. Eine Überprüfung der wichtigen Sicherheitsmerkmale des Personalausweises ist jedoch nicht möglich. Testern ist es beispielsweise im Ausland bereits gelungen, Konten mit der Banking-App N26 mit Fotos von Ausweisen zu eröffnen, die tatsächlich als Fälschung erkennbar sind.
Der Computersicherheitsforscher Martin Tschirsich hat nun auf Twitter demonstriert, wie einfach es ist, mit der Verimi ID Wallet das Lichtbildausweisverfahren von Veriff zu betrügen. „Ich fotografiere Vorder- und Rückseite meines Führerscheins, ändere den Namen digital und drucke die überlebensgroßen Bilder am nächsten Drogerie-Fotokiosk“, schreibt der Experte. Dann machte er die manipulierten Fotos mit der App und ein Selfie. Das „KI-gestützte Verfahren“ bestätigte die Echtheit der Bilder innerhalb von Sekunden: „Gesamtdauer des ‚Angriffs‘: 30 Minuten.“
Laut Verimi ID Wallet ist er nun „stolzer Besitzer mehrerer digitaler Führerscheine und der Schweizer Staatsbürgerschaft“, erklärt Tschirsich. Aufgrund bekannter Sicherheitsmängel in Deutschland dürfe Foto-Ident nur in Bereichen eingesetzt werden, „die keinen besonderen Vorschriften unterliegen“. Unklar bleibt, „warum Verimi das Verfahren für den zweiten digitalen Führerscheinversuch für angemessen hielt“. Zuvor war das vom Bundeskanzleramt geförderte ID-Wallet-Programm mit ähnlichen Identifizierungszielen an einer zuvor festgestellten Sicherheitslücke gescheitert.
Ärger hat Verimi auch mit der Berliner Datenschutzbehörde: Nach einem Hinweis auf eine Datenschutzverletzung prüfe sie derzeit die Vorkehrungen des Unternehmens zum Schutz personenbezogener Daten „eingehend, vor allem technisch“. Daher konnten Dokumente, die für den ursprünglichen Verstoß relevant waren, zu diesem Zeitpunkt nicht freigegeben werden. Wittmann und ehemalige Mitarbeiter werfen Verimi vor, Grundsätze des Datenschutzes zu missachten.
(tw)
Auf der Homepage