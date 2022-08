René Resch

Krankenkassen verzichten aktuell auf den Verifizierung per Video-Ident-Verfahren. Hinter dem Stopp steckt ein Bericht des Chaos Computer Clubs.

Vergrößern Nach CCC-Angriff: Video-Ident-Verfahren wird ausgesetzt © Chaos Computer Club

Die nationale Agentur für digitale Medizin (Gematik) hat den Krankenkassen aus Sicherheitsgründen, die Nutzung des Video-Ident-Verfahrens untersagt. Zuvor hatte der Chaos Computer Club (CCC) demonstriert, wie er sich über das Identifizierungsverfahren per Video-Ident Zugang zu der Patientenakte einer Testperson verschafft hatte.

Der CCC forderte daher, "diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht". In einem 30-seitigen Bericht zeigte der CCC-Sicherheitsforscher Martin Tschirsich einen Angriff auf das Video-Ident-System mit einfachen Mitteln wie Open-Source-Software und "ein bisschen roter Aquarellfarbe". Damit sei dem Sicherheitsforscher gelungen, verschiedene Video-Ident-Lösungen zu überlisten und Mitarbeitern eine falsche Identität vorzugaukeln – die Angriffe blieben bis dahin unerkannt.

Mit einfachsten Mitteln kann Videoident umgangen werden

So sicherte sich Tschirsich Zugriff auf die persönlichen Gesundheitsdaten der eingeweihten Testperson. Wie aus dem Dokument hervorgeht, waren "darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen". Der CCC geht davon aus, dass der Angriff von Personen, die sich etwas mit der Thematik beschäftigen, in kürzester Zeit "mit geringem Aufwand" ausführbar sei. Das System weiterhin einzusetzen, sei durch das Risiko des Missbrauchs zu hoch. Und auch Prüfungen durch künstliche Intelligenz (KI) hält der Sicherheitsforscher als unzuverlässig: "Die Annahme, dass moderne Video-Ident-Verfahren die bekannten Schwächen 'durch den Einsatz von künstlicher Intelligenz' beheben können, hat sich in der Praxis als falsch herausgestellt", so Tschirsich.

Wie die Gematik in ihrer Mitteilung schreibt, seien weitere Identifizierungsverfahren nicht betroffen und können weiterhin genutzt werden. Dazu zählen Postident, Verfahren der Online-Ausweisfunktion oder die Prüfung vor Ort. Weiterhin arbeiten Gematik und das Bundesgesundheitsministerium daran, zusätzliche Verfahren bereitzustellen, die eine vor Vor-Ort-Begutachtung des Ausweises beinhalten.

Bitkom kritisiert Entscheidung

Kritik an der Entscheidung gab es vom IT-Branchenverband Bitkom: "Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen. Statt Anbieter mit Verdacht auf Sicherheitslücken anzusprechen und Lösungen zu erarbeiten, wurden alle Dienste pauschal gesperrt. Wer jetzt digitale Gesundheitsangebote nutzen möchte, für die eine Authentifizierung notwendig ist, muss persönlich in einer Filiale der Krankenkasse oder der Post erscheinen" erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder.

Laut der Bitkom sei die Onlinefunktion des Personalausweises "noch keine praktikable Alternative", da zu wenige Bürgerinnen und Bürger diese Funktion aktiviert hätten, oder nicht wissen, wie dieses System funktioniert. So wird eine weitere Einführung der elektronischen Patientenakte weiter "unnötig" erschwert.

Über die Wiederzulassung von Video-Ident-Verfahren möchte die Gematik und das Bundesgesundheitsministerium erst entscheiden, wenn die Anbieter konkrete Nachweise erbringen, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind.