Verimi-Fiasko? Dem ID-Dienst droht wohl Ärger …

Dem Identifikationsdienst (ID-Dienst) Verimi, die im Bereich Foto-Ident-Verfahren unterwegs sind und auch als Zahlungsinstitut fungieren) droht wohl von verschiedenen Seiten Ärger. Es wird berichtet, dass der Dienst die Bundesfinanzaufsicht (BAFIN) beim Produkt "Verimi Pay" getäuscht haben soll. Dann gibt es Kritik an einer nicht rechtzeitig eingestandenen Datenpanne. Und die von Verimi angebotene Identifikation eines Nutzers samt Speicherung digitaler Identitäten in einer ID-Wallet scheint sich auch leicht austricksen zu lassen.

Wer ist Verimi?

Vorab vielleicht einige Informationen zu Verimi. Das Unternehmen ist im Bereich Identifikationsdienste unterwegs. Das reicht von der Bestätigung einer Identifikation per Video-Ident-Verfahren hin zu ID Wallets, in denen digitale Identitäten wie Führerscheine etc. gespeichert werden können. Auch eine Lizenz der Bafin als Zahlungsinstitut / Zahlungsdienstleister zu fungieren, ist wohl vorhanden.

Auf der Firmenwebseite heißt es beispielsweise zu den Vorteilen des Verimi-Wallet:

Einmal kostenlos angelegt, können Sie Ihre gespeicherten Daten immer wieder dann einsetzen, wenn Sie online nachweisen wollen, wer Sie sind. Mit Verimi haben Sie alle Ihre Identitätsdaten an einem Ort.

Es wird für weitere Leistungen wie das Foto-Ident-Verfahren von Veriff geworben, mit denen sich die (z.B. von Banken geforderte) Identität einer Person mittels Ausweis bestätigt werden können soll.

Foto-Ident-Verfahren von Veriff

Verimi bietet seinen Nutzern die Möglichkeit, ihren Ausweis oder Führerschein mittels eines Foto-Ident-Verfahrens in das Verimi ID-Wallet zu laden. Die Foto-Ident-Prüfungen führt die Firma Veriff in unserem Auftrag durch. Veriff ist ein europaweit führender Anbieter in diesem Segment und das Foto-Ident-Verfahren wird von großen Anbietern standardmäßig angewendet. Neben internationalen Banken, FinTechs und Mobilitätsanbietern nutzen auch große Verlage die Foto-Ident-Prüfungen von Veriff.

Man kann also die digitale Wallet zur Ablage von Ausweisdokumenten in elektronischer Form verwenden – eigentlich eine komfortable Geschichte. Eine weitere angepriesene Leistung ist die Möglichkeit zur digitalen Unterschrift, die rechtsgültig und digital bei Verimi Partnern funktionieren soll. Egal, ob Anträge, Verträge oder Kündigungen: Mit Verimi unterschreiben Sie PDF-Dokumente online mit nur einem Klick – heißt es auf der Webseite.

Dazu ist aber in allen Fällen eine einmalige Verifikation erforderlich. Zudem muss man sich bei Verimi registrieren und die Zugangsdaten (auch für Kommunikation mit Partnern) nutzen. Klingt gut, soll ja auch alles schnell gehen – ob es auch funktioniert und vor allem sicher ist?

Foto-Ident-Verfahren sicher?

Es ist legitim, für eine solche Leistung zur Identifikation zu werben. Banken und FinTechs sowie Mobilitätsanbieter greifen wohl auf so etwas zurück. Aber ist das Verfahren auch sicher? Interessant ist, was am 6. August 2022 auf der Verimi-Webseite dazu zu finden ist.

In einem Artikel auf Spiegel Online vom 5. August 2022 behauptet ein „IT-Sicherheitsforscher", dass es ihm gelungen sei, das Veriff Foto-Ident-Verfahren mittels gefälschter Dokumente auszutricksen und gefälschte Identitäten zu erzeugen. Wir haben von diesem Fall erst aus den Medien erfahren,  nehmen den Vorgang sehr ernst und haben mit Veriff umgehend eine Überprüfung der Abläufe eingeleitet.

Den Artikel von Spiegel Online kannte ich nicht – aber ich bin bereits am 4. August 2022 über eine Serie von Tweets von Martin Tschirsich (@mtschirs) gestolpert, die mich stutzen ließ.

Die Aussage von Tschirsich ist, dass das Identifikationsverfahren von Verimi nicht funktioniert und er sich beliebigen Unsinn, bestätigt vom Anbieter des ID-Verfahrens, als digitaler Identitätsnachweis in seiner Verimi ID-Wallet ablegen kann.

Die obigen Tweets und dieser Start-Tweet hier sind auch die Basis des Spiegel Online-Artikels, der eklatante Mängel im Konzept des Anbieters Verimi und dessen ID Wallet offen legt.

Über den Spiegel-Artikel und einen Beitrag von Lilith Wittmann wird offen gelegt, dass der ID-Dienstleister Verimi unter anderem der Allianz, dem Verlag Axel Springer, der Bundesdruckerei, der Deutschen Telekom, Mercedes-Benz, Samsung und Volkswagen gehört. Wenn ein Anbieter mit solchem Hintergrund derart eklatant patzt, ist in meinen Augen Hopfen und Malz verloren. Denn der Anbieter hätte gewarnt sein müssen – da 2021 bereits das Projekt "digitale Führerschein" von Ex-Verkehrsminister Andreas Scheuer (CSU) gefloppt ist – und die App von Digital Enabling nach einer Woche zurückgezogen werden musste (siehe diesen Golem-Artikel).

Im letzten Tweet mit dem Hinweis auf den Marketing-Gag und den Einsatz im Ausland verlinkt Tschirsich auf diesen heise-Beitrag aus 2018. Dort geht es um den Vorwurf, dass Schwächen beim Foto-Ident-Verfahren dazu geführt haben könnten, dass bei der Bank N26 mittels gefälschter Ausweisdokumente nicht regulär identifizierte Konten eröffnet wurden. Die Bafin hatte damals ein Prüfverfahren eingeleitet.

Bin ich im Zirkus, wo ein Illusionskünstler vor meinen Augen nicht nur eine zersägte Jungfrau, sondern auch meine (Digitale) Identität verschwinden lässt? Die Aussage zur Unsicherheit des Foto-Ident-Verfahrens und dessen Einsatz in Deutschland in Sektoren ohne besondere Regulierung korrespondiert auch mit meinem persönlichen Bauchgefühl.

Im Fall der Verimi Wallet-ID-App ist es so, dass der digitale Führerscheinnachweis höchstens gegenüber einer Mietwagenfirma als Nachweis geeignet ist – in einer Polizeikontrolle hat das keinen Bestand – da nicht rechtssicher. Wäre ja auch der Treppenwitz der Geschichte: Die alten, grauen und roten Führerscheine werden aktuell auf das EU-Führerscheinformat mit Plastikkarte umgestellt und mit Merkmalen ausgestattet, die Fälschungen unterbinden sollen. Da kann eine App, der ich beliebige Inhalte unterschieben kann, beliebig viel "digital" versprechen – das wird nix.

Vorwurf: Täuschung der Bafin

Auf diesen Sachverhalt bin ich einmal bei den Kollegen von heise gestoßen, wobei Sicherheitsforscherin Lilith Wittmann das Ganze hier in epischer Breite aufbereitet. Der Sachverhalt:

• Seit 2019 besitzt Verimi wohl die Lizenz, um die digitale Identität von Menschen anhand des Personalausweises zu bestätigen.
• Idee war, die Daten der bestätigten digitalen Identitäten zu speichern und dann anderen Unternehmen bereitzustellen.
• Rechtliche Hürde: Ausweisdaten dürfen nur  Stellen speichern, die unter das Geldwäschegesetz (GWG) fallen, also Banken.
• Eine Weitergabe der Daten an Dritte ist problematisch (DSGVO), es sei denn, es handelt sich um dauerhaft und rechtssicher gespeicherte Identitätsdaten zur Verhinderung von Geldwäsche.
• Daher entschied sich Verimi ein Zahlungsinstitut zu werden und gründete die Dienstleistung "Verimi Pay". Für die Tätigkeit als Zahlungsdienstleister benötigt man die Genehmigung (Lizenz) der Bafin.

Die Lizenz der Bafin kann ein Unternehmen schnell verlieren, wenn es Auflagen und Prüfungen nicht besteht. Unter anderem gibt es die Auflage, monatlich die Anzahl der durchgeführten Transaktionen an die Bafin zu melden. Das Unternehmen muss also nachweisen, dass es als Zahlungsinstitut tätig ist. Eine Marktsättigung macht es aber für Anbieter schwer, entsprechende Partner zu finden, die Transaktionen über "Verimi Pay" abwickeln.  Wittmann zeichnet in ihrem Artikel nach, dass bereits im Sommer 2019 der Entzug der Bafin-Lizenz wegen fehlender Aktivitäten drohte – es wurden mindestens fünf Kunden gebraucht, die "Verimi Pay" in ihren Online-Shops integrieren.

Im November 2019 waren drei Partner (aus dem Umfeld der Eigentümer) gefunden, die "Verimi Pay" in ihren Shops integrierten. Da fehlte noch was und es muss was passieren. Am 13.11.2019 rief Verimi CEO Roland Adrian die 80 Mitarbeiter auf, mindestens fünf Zahlungen über Shops mit "Verimi Pay" durchzuführen. Gehofft wurde auf 2.000 Transaktionen (die vermutete Schwelle, ab der die Bafin eine Tätigkeit als Zahlungsinstitut anerkennt), binnen einer Woche wurden 1,500 Transaktionen erreicht. Dabei bildete der von der Photodruck PixArt GmbH betriebene Onlineshop photo-druck.de einen Dreh- und Angelpunkt. So scheint es Mitteilungen zu geben, dass Team-Tassen und Urlaubskalender für die Belegschaft über den Onlineshop und Verimi Pay gekauft wurden, wobei Werksstudenten (möglicherweise auch Studentinnen) im Einsatz waren. Niederungen des Tagesgeschäfts halt eben.

Bei Interesse lassen sich die Verflechtungen bei Lillith Wittmann hier nachlesen – dort sind die betreffenden internen Mitteilungen auch als Screenshots dokumentiert. Öffentlich wurde das Ganze, weil ehemalige Verimi-Angestellte den Vorwurf erhoben, dass die Transaktionszahlen künstlich in die Höhe getrieben worden seien. Es könnte also auf eine Prüfung der Bafin hinauslaufen, und wenn sich das alles bewahrheitet, was da im Raum steht, könnte der Entzug der Lizenz drohen.

Datenschutzverstöße der Verimi GmbH

Im Sinne "aller guten Dinge sind drei" gibt es eine vermutete Datenpanne bei der Verimi GmbH (der Tagesspiegel berichtet hinter einer Paywall). Von Frag den Staat  gibt es eine Anfrage an die Berliner Beauftragte für Datenschutz und Informationsfreiheit die wohl auch erfolgreich war. Es ging um Unterlagen zu Datenschutzverstößen der Verimi GmbH. Kernpunkt der Antwort der Beauftragten:

Ihre o. g. E-Mail liegt mir vor und ist hier zum Geschäftszeichen 1391.215 veraktet. Hierzu teile ich Ihnen Folgendes mit: Es ist hier ein seit Ende Oktober 2021 abgeschlossener Vorgang vorhanden (Az. 535.3049), dem eine Datenpannenmeldung der o. g. GmbH von September 2021 zugrunde liegt.

Wenn ich nichts übersehen habe, geht aus den kostenpflichtig an Frag den Staat übermittelten Unterlagen hervor, dass es ein Prüfverfahren gegen die Verimi GmbH wegen möglicher Datenschutzverstöße gibt, dieses aber noch bis zum 4. November 2022 läuft. Aktuell ist wohl noch nichts öffentlich, was für ein Datenschutzverstoß vorliegen könnte.

Wenn ich mir aber den obigen Abriss ansehe, dürfte es, wenn sich die Vorwürfe bestätigen, eng für den Anbieter und bestimmte Geschäftsmodelle werden.