Identitätsdienst: Verimi soll BaFin mit Bezahllösung betrogen haben

Aktuell läuft es für Verimi nicht rund. Der Vorwurf, das als Login-Dienst gestartete Berliner Unternehmen habe nun die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bei der Einführung seines Bezahlprodukts „Verimi Pay“ wegen einer nicht akzeptierten Datenpanne bei einer zeitnahen und unsicheren digitalen Identifizierung getäuscht Prozess.

Hinter Verimi stehen Unternehmen wie die Allianz Versicherungsgruppe, Axel Springer, Bundesdruckerei, Daimler, Deutsche Bank, Deutsche Telekom und Lufthansa und sucht seit 2017 nach einer großartigen Geschäftsidee. Ursprünglich wollte das Startup mit amerikanischen Giganten wie Google konkurrieren und Facebook über einen globalen Anmeldedienst (“Single Login”), aber das hat nicht wirklich funktioniert.

Seit 2019 konzentriert sich das Unternehmen auf die elektronische Identität (eID), also eine umfassendere Online-Identifikation. So hat es beispielsweise mit dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) zusammengearbeitet und im Rahmen dessen das Konzept der Deutschlandkennung (DeID) entwickelt Innovationswettbewerb zeigt sichere digitale Identitäten.

Allerdings sind hierzulande die Anforderungen hoch, um Personen mit einem Personalausweis identifizieren zu können und erhobene Identitätsdaten Dritten zugänglich zu machen. Dazu müssen Dienstleister Sorgfaltspflichten erfüllen, wie z. B. Identifizierungsanforderungen zur Verhinderung von Geldwäsche. Deshalb hat Verimi bei der BaFin eine Lizenz für ein sogenanntes Zahlungsinstitut beantragt, das ähnlich wie PayPal Dienstleistungen erbringen kann.

Im April 2019 erhielt der Identitätsdienstleister den Blizzt der FSA. Seitdem muss er aber auch nachweisen, dass er die Voraussetzungen erfüllt und der BaFin beispielsweise die Anzahl der getätigten Transaktionen pro Monat melden. Also entwickelte das Unternehmen die Bezahllösung „Verimi Pay“. Diese Online-Shops können integriert werden. Anschließend können Nutzer per elektronischem Lastschriftverfahren bezahlen.

Allerdings ist der Markt für Zahlungsanbieter bereits ziemlich gesättigt. Interne Dokumente weisen darauf hin, dass die IT-Sicherheitsforscherin Lilith Whitman am Donnerstag Gepostet in einem BlogbeitragVerimi hat aktiv nach Partnern gesucht, die auf den neuen Bezahldienst setzen. Mit dem von der BaFin verlangten Tätigkeitsnachweis hat das Unternehmen zudem zumindest ordentlich geprellt.

Ende Juli 2019 hat der Vorstand von Verimi laut einem Auszug aus einem Exemplar eines internen wöchentlichen Newsletters allen Mitarbeitern deutlich gemacht, dass Verimi Pay bis Mitte September in zumindest einigen Unternehmen integriert werden soll. Im November wurde über denselben Kanal mitgeteilt, dass nun mindestens drei Partner gefunden seien, wie ein weiteres Dokument zeigt: „Bild Shop“ betrieben von Axel Springer, „photo-druck.de“ Seite betrieben von Photodruck PixArt GmbH, die “Kwadrat.art”-Geschäft, spezialisiert auf “Kunstdrucke”.

Letztere Domain leitet derzeit auf die von Holger Junghanns betriebene Website der Unternehmensberatung weiter. Er war bis September 2019 Partner beim Beratungsunternehmen PwC und hat mit seinem Team unter anderem Verimi beraten. Neben diesem Vorgeschmack zeigt eine weitere E-Mail, dass Verimi-Präsident Roland Adrian am 13. November 2019 alle 80 Mitarbeiter des Unternehmens aufgefordert hat, schnellstmöglich mindestens fünf Zahlungen in Online-Shops mit Verimi Pay zu tätigen, um die nötigen 2.000 zu erreichen Transaktionen BaFin nachzuweisen.

Laut einem weiteren Auszug konnte der Vorstand Ende November für alle Klarheit sorgen: Die „Einsatzmannschaft“, die für die Einhaltung der Vorgaben des Zahlungsdiensteaufsichtsgesetzes zuständig war, könne nun aufgelöst werden, sagt er. Inzwischen ist Verimi Pay nur noch in Photo-Drucke.de integriert. Fraglich ist, ob die notwendigen Transaktionen weiterhin über das spezialisierte Angebot erscheinen werden, um die Zahlungslizenz zu behalten.

„Wir nehmen die Kritik von Lilith Whitman sehr ernst, gehen ihr nach und arbeiten kontinuierlich daran, das Verimi-System für unsere Nutzer sicherer zu machen.“ Das Unternehmen twitterte Ende Juli. “Wir sind immer offen für einen kritischen Dialog.” Zu den seither veröffentlichten Dokumenten wollte sich das Unternehmen aus „rechtlichen Gründen“ nicht äußern. Die BaFin verwies auf die “gesetzliche Verschwiegenheitspflicht”, Junghanns auf die Gründe für die Verschwiegenheit.

Problematisch für die Aufsichtsbehörden dürfte sein, dass Verimi auf das „Foto-Ident“-Verfahren seiner Identity Wallet setzt, um Nutzer zu identifizieren und zu verifizieren. In der digitalen Geldbörse soll der Führerschein einfach im Smartphone verwahrt werden können. Die dazugehörigen Daten können dann von dort übermittelt oder an Partnerunternehmen übermittelt werden.

BaFin Foto-Ident gilt als „unsichere Methode der Identifizierung“. Der Kunde muss lediglich sein Foto und seinen Ausweis über eine App an Dienstleister wie Verimi senden. Eine Überprüfung der wichtigen Sicherheitsmerkmale eines Ausweises ist jedoch überhaupt nicht möglich. So haben Tester aus Übersee bereits erfolgreich Konten mit der Banking-App N26 mit Fotos von bereits als Fälschung identifizierbaren Ausweisen eröffnet.

Jetzt auch gezeigt von IT-Sicherheitsforscher Martin Church Im Verimi ID-Wallet auf TwitterWie einfach ist es, den Bilderkennungsprozess von Veriff zu betrügen? „Ich fotografiere Vorder- und Rückseite meines Führerscheins, ändere den Namen digital und drucke die überlebensgroßen Fotos am Fotoautomaten der nächsten Drogerie“, schreibt der Experte. Dann nehmen Sie die manipulierten Fotos mit der App als Selfie auf. Die KI-gestützte Operation bestätigte die Echtheit der Bilder innerhalb von Sekunden: „Gesamtdauer des ‚Angriffs‘: 30 Minuten.“

Laut Verimi ID Portfolio ist er nun „stolzer Besitzer mehrerer digitaler Führerscheine und der Schweizer Staatsbürgerschaft“, erklärt Tschirsich. Aufgrund bekannter Sicherheitsmängel Deutschlands darf Foto-Ident nur in Bereichen eingesetzt werden, die „keinen Sonderregelungen unterliegen“. Unklar bleibt, „warum Verimi das Verfahren für einen zweiten Versuch zur Erlangung eines digitalen Führerscheins für angemessen hält“. Zuvor scheiterte das vom Bundeskanzleramt geförderte ID-Wallet-Programm mit ähnlichen Identifikationszielen an einer zuvor identifizierten Sicherheitslücke.

Auch Verimi hat ein Problem mit der Datenschutzbehörde in Berlin: diese Es wird derzeit nach einem Bericht über Datenschutzverletzungen gesucht Die Vorkehrungen des Unternehmens zum Schutz personenbezogener Daten seien „tiefer, vor allem technisch“. Daher können Dokumente im Zusammenhang mit der ursprünglichen Verletzung derzeit nicht freigegeben werden. Whitman und ehemalige Mitarbeiter werfen Fermi vor, Datenschutzgrundsätze zu vernachlässigen.


(tw)

zur Homepage

Leave a Comment

%d bloggers like this: