Sie suchen nach einer Geschäftsidee
Hinter Verimi stehen Unternehmen wie der Versicherungskonzern Allianz, Axel Springer, Bundesdruckerei, Daimler, Deutsche Bank, Deutsche Telekom und Lufthansa und sucht seit 2017 nach einer glänzenden Geschäftsidee. Zunächst wollte das Start-up mit amerikanischen Giganten konkurrieren wie Google und Facebook mit einem Single-Sign-On-Dienst, aber das hat nicht wirklich funktioniert. Seit 2019 konzentriert sich das Unternehmen auf die elektronische Identität (eID), also eine vollständigere elektronische Identität. So hat es beispielsweise mit dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) zusammengearbeitet und im Rahmen des Landesinnovationswettbewerbs Schaufenster Sichere Digitale Identitäten das Konzept der „Deutschland-ID“ (DeID) konzipiert. Allerdings sind hierzulande die Anforderungen hoch, Personen mit der Identität identifizieren zu können und die erhobenen Identitätsdaten Dritten zur Verfügung zu stellen. Dazu müssen Anbieter Sorgfaltspflichten erfüllen, wie z. B. Identifizierungsanforderungen zur Verhinderung von Geldwäsche. Daher beantragte Verimi bei der BaFin eine Konzession für ein sogenanntes Zahlungsinstitut, das PayPal-ähnliche Dienste anbieten kann. Im April 2019 erhielt der Identitätsdienstleister Plazet von der Finanzaufsichtsbehörde. Seitdem muss er aber auch nachweisen, dass er die Voraussetzungen erfüllt und beispielsweise die Anzahl der getätigten Geschäfte monatlich an die BaFin melden. Das Unternehmen hat deshalb die Bezahllösung „Verimi Pay“ entwickelt. Diese können Online-Shops integrieren. Nutzer können dann per elektronischem Lastschrifteinzug bezahlen. Allerdings ist der Markt der Zahlungsanbieter bereits weitgehend gesättigt. Laut internen Unterlagen, die die IT-Sicherheitsforscherin Lilith Wittmann am Donnerstag in einem Blogbeitrag veröffentlichte, suchte Verimi händeringend nach Partnern, die auf den neuen Bezahldienst setzen. Mit dem geforderten Tätigkeitsnachweis bei der BaFin hat das Unternehmen zumindest richtig gelegen. Ende Juli 2019 erklärte der Vorstand von Verimi laut einem Auszug aus einer Kopie eines internen wöchentlichen Newsletters allen Mitarbeitern, dass Verimi Pay bis Mitte September in mindestens eine Handvoll Unternehmen integriert werden müsse. Im November wurde über denselben Kanal mitgeteilt, dass nun mindestens drei Partner gefunden seien, wie ein weiteres Dokument zeigt: der von Axel Springer betreute „Bild-Shop“, die von der Photodruck PixArt GmbH betreute Website „photo-druck.de“ und das auf “Kunstdrucke” spezialisierte Geschäft “Kwadrat.art”.
Arbeiter sollten etwa 2000 Transaktionen bringen
Letztere Domain leitet derzeit auf die Website einer Unternehmensberatung von Holger Junghanns weiter. Bis September 2019 war er Partner beim Beratungsunternehmen PwC und beriet mit seinem Team unter anderem Verimi. Über diesen Geschmack hinaus zeigt eine weitere E-Mail, dass Verimis Chef Roland Adrian am 13. November 2019 die 80 Mitarbeiter des Unternehmens aufforderte, so schnell wie möglich mindestens fünf Zahlungen in Online-Shops mit Verimi Pay zu tätigen, um die erforderlichen 2000 Transaktionen zu erreichen . für die BaFin-Quittung. Laut einem anderen Zitat konnte der Vorstand Ende November Entwarnung geben: Der „Notfallstab“, der für die Einhaltung der Vorgaben des Zahlungsdiensteaufsichtsgesetzes zuständig war, könne nun aufgelöst werden, heißt es. Inzwischen ist Verimi Pay nur noch bei Photo-Drucke.de integriert. Es ist fraglich, ob die notwendigen Transaktionen weiterhin über das spezialisierte Angebot generiert werden, um die Zahlungsautorisierung aufrechtzuerhalten. „Wir nehmen die Bewertung von Lilith Wittmann sehr ernst, überprüfen sie und arbeiten kontinuierlich daran, das Verimi-System für unsere Nutzer noch sicherer zu machen“, twitterte das Unternehmen Ende Juli. “Wir sind immer offen für einen kritischen Dialog.” Zu den inzwischen veröffentlichten Dokumenten wollte sich das Unternehmen aus „rechtlichen Gründen“ nicht äußern. Die BaFin verwies auf ihre „gesetzliche Verschwiegenheitspflicht“, Junghanns aus Vertraulichkeitsgründen. Ein Argument für die Regulierungsbehörden dürfte auch sein, dass Verimi bei der eigenen Identitäts-Wallet auf das „Foto-Ident“-Verfahren setzt, um Nutzer zu lokalisieren und zu verifizieren. In der digitalen Geldbörse soll der Führerschein einfach auf dem Smartphone verwahrt werden. Von dort aus können dann die relevanten Daten präsentiert oder an Partnerunternehmen weitergeleitet werden.
Foto-Ident ist Betrugsversuchen ausgesetzt
Foto-Ident wird von der BaFin als „kein sicheres Identifizierungsverfahren“ eingestuft. Der Kunde muss lediglich ein Foto von sich und seinen Ausweis über eine App an Dienstleister wie Verimi senden. Eine Überprüfung wichtiger Sicherheitsmerkmale des Personalausweises ist jedoch überhaupt nicht möglich. Testern ist es beispielsweise im Ausland bereits gelungen, Konten mit der Banking-App N26 mit tatsächlich als Fälschung erkennbaren Lichtbildausweisen zu eröffnen. IT-Sicherheitsforscher Martin Tschirsich hat nun auf Twitter gezeigt, wie einfach es ist, mit der Verimi ID Wallet das Fotoerkennungsverfahren von Veriff auszutricksen. „Ich fotografiere Vorder- und Rückseite meines Führerscheins, ändere den Namen digital und drucke die überlebensgroßen Bilder am Fotoautomaten der nächsten Apotheke aus“, schreibt der Experte. Anschließend machte er die manipulierten Fotos mit der App und ein Selfie. Das „KI-gestützte Verfahren“ bestätigte die Echtheit der Bilder innerhalb von Sekunden: „Gesamtdauer des ‚Angriffs‘: 30 Minuten.“ Laut Verimi ID Wallet ist er nun „stolzer Besitzer mehrerer digitaler Führerscheine und der Schweizer Staatsbürgerschaft“, erklärt Tschirsich. Aufgrund bekannter Sicherheitsmängel in Deutschland kann Foto-Ident nur in „nicht regulierten“ Bereichen eingesetzt werden. Unklar bleibt, „warum Verimi das Verfahren für den zweiten Anlauf zum digitalen Führerschein für geeignet hielt“. Zuvor war das vom Bundeskanzleramt geförderte ID-Wallet-Programm mit ähnlichen Identifikationszielen an einer zuvor identifizierten Sicherheitslücke gescheitert. Ärger hat Verimi auch mit der Berliner Datenschutzbehörde: Nach einer Meldung über eine Datenschutzverletzung prüft sie derzeit die Vorkehrungen des Unternehmens zum Schutz personenbezogener Daten „eingehend, vor allem technisch“. Daher konnten die relevanten Dokumente im Zusammenhang mit dem ursprünglichen Verstoß zu diesem Zeitpunkt nicht veröffentlicht werden. Wittmann und ehemalige Mitarbeiter werfen Verimi vor, die Grundlagen des Datenschutzes zu ignorieren. (tw) Auf der Homepage