ID-Dienst: Verimi soll die BaFin bei Bezahllösung getäuscht haben

Verimi hat laut geleakten Dokumenten Mitarbeiter angehalten, die für ein Zahlungsinstitut nötigen Transaktionen auszulösen. Dazu kommen Foto-Ident-Probleme.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 20 Beiträge

(Bild: SvetaZi/Shutterstock.com)

Von
  • Stefan Krempl

Für den Identitätsdienstleister Verimi läuft es derzeit nicht rund. Zu Kritik an einer nicht rechtzeitig eingestandenen Datenpanne und eines unsicheren digitalen Identifizierungsverfahrens kommt nun der Vorwurf, dass das als Login-Dienst gestartete Berliner Unternehmen bei der Einführung seines Bezahlprodukts "Verimi Pay" die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) getäuscht hat.

Verimi wird von Unternehmen wie der Allianz-Versicherungsgruppe, Axel Springer, Bundesdruckerei, Daimler, Deutsche Bank, Deutsche Telekom und Lufthansa getragen und ist seit 2017 auf der Suche nach einer zündenden Geschäftsidee. Ursprünglich wollte das Start-up mit einem universellen Login-Dienst ("Single Sign-on") US-Größen wie Google und Facebook Konkurrenz machen, was aber nicht wirklich funktionierte.

Seit 2019 konzentriert sich die Firma auf die elektronische Identität (eID), also einen umfassenderen Online-Ausweis. Sie tat sich dafür etwa mit dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) zusammen und entwarf das Konzept einer "Deutschland ID" (DeID) im Rahmen des staatlich geförderten Innovationswettbewerbs Schaufenster Sichere Digitale Identitäten.

Die Auflagen, um Personen mit dem Personalausweis identifizieren und dabei erhobene Identitätsdaten Dritten zur Verfügung stellen zu dürfen, sind hierzulande aber hoch. Dafür müssen Anbieter etwa Sorgfaltspflichten wie Identifizierungsauflagen im Kampf gegen Geldwäsche erfüllen. Verimi beantragte daher bei der BaFin eine Lizenz für ein sogenanntes Zahlungsinstitut, das ähnliche Dienstleistungen wie etwa Paypal anbieten kann.

Im April 2019 erhielt der ID-Serviceanbieter das Plazet der Finanzaufsicht. Damit muss er seitdem aber auch nachweisen, die Anforderungen zu erfüllen und beispielsweise die Zahl der monatlich durchgeführten Transaktionen an die BaFin melden. Das Unternehmen entwickelte daher die Bezahllösung "Verimi Pay". Diese können Online-Shops einbinden. Nutzern ist es darüber dann möglich, per elektronischer Lastschrift zu zahlen.

Der Markt an Zahlungsanbietern ist aber bereits weitgehend gesättigt. Laut internen Dokumenten, die die IT-Sicherheitsforscherin Lilith Wittmann am Donnerstag in einem Blogbeitrag veröffentlicht hat, suchte Verimi daher händeringend Partner, die auf den neuen Bezahldienst setzen. Bei den erforderlichen Aktivitätsnachweisen an die BaFin hat die Firma demnach ferner zumindest gehörig getrickst.

Ende Juli 2019 erklärte der Verimi-Vorstand laut einem Ausriss aus einer Kopie eines internen wöchentlichen Newsletters allen Mitarbeitern, dass Verimi Pay bis Mitte September bei mindestens einer Handvoll Unternehmen integriert sein müsse. Im November folgte über den gleichen Kanal der Hinweis, dass inzwischen zumindest drei Partner gefunden seien, wie ein weiteres Dokumentenstück zeigt: der von Axel Springer betriebene "Bild Shop", die von der Photodruck PixArt GmbH betriebene Seite "photo-druck.de" sowie der auf "Kunstausdrucke" spezialisierte Store "Kwadrat.art".

Die zuletzt genannte Domain leitet aktuell auf die Webseite einer Unternehmensberatung weiter, die Holger Junghanns leitet. Der war bis September 2019 beim Beratungshaus PwC Partner und beriet mit seinem Team unter anderem Verimi. Jenseits dieses Geschmäckles belegt eine weitere E-Mail, dass Verimi-Chef Roland Adrian am 13. November 2019 alle 80 Mitarbeiter des Unternehmens aufforderte, möglichst sofort mindestens fünf Zahlungen in Online-Shops mit Verimi Pay durchzuführen, um die 2000 Transaktionen zu erzielen, die für den BaFin-Nachweis nötig seien.

Ende November konnte der Vorstand einem weiteren Ausriss zufolge Entwarnung geben: Der "Notfallstab", der sich um die Einhaltung der Vorgaben aus dem Zahlungsdiensteaufsichtsgesetz kümmerte, könne nun aufgelöst werden, heißt es darin. Inzwischen ist Verimi Pay nur noch bei Photo-Drucke.de integriert. Ob über das Nischenangebot weiterhin die erforderlichen Transaktionen generiert werden, um die Zahlungslizenz zu bewahren, ist fraglich.

"Wir nehmen die Kritik von Lilith Wittmann sehr ernst, prüfen sie und arbeiten ohnehin ständig daran, das Verimi System für unsere Nutzer noch sicherer zu machen", twitterte das Unternehmen bereits Ende Juli. "Wir sind immer offen für einen kritischen Dialog." Zu den seitdem publizierten Dokumenten wollte sich die Firma gegenüber der IT-Expertin aus "rechtlichen Gründen" nicht äußern. Die BaFin habe auf ihre "gesetzliche Verschwiegenheitspflicht" verwiesen, Junghanns auf Vertraulichkeitsgründe.

Ein Fall für die Aufsichtsbehörden dürfte zudem sein, dass Verimi für die eigene ID-Wallet zur Identifizierung und Verifikation der Nutzer auf das Verfahren "Foto-Ident" setzt. In der digitalen Brieftasche soll sich der Führerschein einfach im Smartphone ablegen lassen. Die zugehören Daten können dann von dort aus vorgezeigt oder an Partnerunternehmen weitergegeben werden.

Foto-Ident gilt etwa bei der BaFin aber als "kein sicheres Verfahren zur Identitätsfeststellung". Dabei muss der Kunde nur ein Foto von sich und dem Personalausweis über eine App an Dienstleister wie Verimi schicken. Die Kontrolle wichtiger Sicherheitsmerkmale des Ausweises dabei aber gar nicht möglich. Testern ist es etwa bei der Banking-App von N26 bereits im Ausland gelungen, mit eigentlich als Fälschung erkennbaren Aufnahmen von Personalausweisen Konten auf diesem Weg zu eröffnen.

Der IT-Sicherheitsforscher Martin Tschirsich zeigte nun auch bei der ID-Wallet von Verimi auf Twitter, wie einfach sich das Foto-Ident-Verfahren von Veriff austricksen lässt. "Ich fotografiere Vorder- und Rückseite meines Führerscheins, ändere digital den Namen und drucke die Bilder am Foto-Kiosk der nächstgelegenen Drogerie überlebensgroß aus", schreibt der Experte. Dann habe er die manipulierten Bilder mit der App sowie ein Selfie aufgenommen. Der "KI-gestützte Prozess" bestätigte die Echtheit der Bilder in Sekundenschnelle: "Gesamtdauer des 'Angriffs': 30 Minuten."

Ausweislich der Verimi ID-Wallet sei er inzwischen "stolzer Besitzer mehrerer digitaler Führerscheine sowie einer Schweizer Staatsbürgerschaft", erklärt Tschirsich. Foto-Ident dürfe aufgrund bekannter Sicherheitsmängel in Deutschland nur in Sektoren eingesetzt werden, "die keiner besonderen Regulierung unterliegen". Unklar bleibe, "warum Verimi das Verfahren beim zweiten Versuch eines digitalen Führerscheins für geeignet hielt". Zuvor war das vom Bundeskanzleramt vorangetriebene Programm ID Wallet mit ähnlichen Ausweiszielen wegen einer vorab bereits identifizierten Sicherheitslücke gescheitert.

Ärger hat Verimi zudem mit der Berliner Datenschutzbehörde: Diese prüft aktuell nach Eingang einer Meldung einer Datenpanne die Vorkehrungen des Unternehmens zum Schutz personenbezogener Informationen "tiefergehend, insbesondere technisch". Einschlägige Dokumente zum ursprünglichen Verstoß könnten daher derzeit nicht herausgegeben werden. Wittmann und frühere Beschäftigte werfen Verimi vor, Grundlagen des Datenschutzes zu missachten.

(tiw)