Warnung des Chaos Computer Clubs 

Sicherheitslücken: Anbieter untersagt Video-Ident-Verfahren 

Veröffentlicht: 11.08.2022 | Geschrieben von: Hanna Behn | Letzte Aktualisierung: 11.08.2022
Frau identfiziert sich per Video am Laptop

Mit sogenannten Video-Ident-Verfahren können Personen online ihre Identität per Video nachweisen, in dem sie ihren Ausweis in die Kamera halten und von einem entsprechenden Anbieter verifizieren lassen. Genutzt wird das beispielsweise, um online Mobilfunkverträge abzuschließen, für rechtsverbindliche Unterschriften in der EU und zum Online-Beantragen von Krediten oder Eröffnen von Bankkonten. 

So nützlich diese Systeme zur Identifizierung auch erschienen, sie weisen erhebliche Sicherheitsmängel auf, warnt der Chaos Computer Club (CCC). Anlässlich der potenziellen Manipulationsgefahr hat Video-Ident-Anbieter Gematik jetzt die Nutzung seines Verfahrens vorläufig verboten.

Gematik: Krankenkassen müssen Video-Ident-Verfahren ab sofort aussetzen

Der IT-Dienstleister Gematik hatte infolge der CCC-Warnung, die inzwischen öffentlich gemacht wurde, die weitere Nutzung dieser Identifizierungsmethode gestoppt und zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zulässig erklärt. Auch habe das Unternehmen laut Pressemitteilung am 9. August verfügt, dass die Krankenkassen das Video-Ident-Verfahren „ab sofort aussetzen“.

Der Schritt sei wegen der „zugänglich gemachten sicherheitstechnischen Schwachstelle in diesem Verfahren aus Sicht der Gematik unumgänglich“, man handele im Rahmen der eigenen rechtlichen und verwaltungsgemäßen Befugnisse „vor dem Hintergrund des hohen Schutzbedarfs bei der Digitalisierung des Gesundheitswesens“.

Zugriff auf Patientenakte möglich

CCC-Mitglied und Sicherheitsforscher Martin Tschirsich sei es mit Open-Source-Software, etwas roter Aquarellfarbe und „videotechnischer Neukombination mehrerer Quell-Dokumente“ gelungen, die gängigen Schutzmechanismen solcher Lösungen in sechs Fällen zu überlisten und sowohl der Software als auch den Angestellten, die die ID prüfen sollten, eine falsche Identität vorzugaukeln. Im Zuge der Sicherheitsprüfung war es auch möglich, sich Zugang zu einer elektronischen Patientenakte (ePA) einer eingeweihten Testperson zu verschaffen – im Ernstfall ließen sich auf diese Weise also beispielsweise Rezepte, Diagnosen oder Behandlungen einsehen. Entsprechend forderte der CCC, „diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht“, heißt es in einer Mitteilung der Organisation.

Dem Digitalverband Bitkom ging die Abschaltung des Verfahrens indes zu schnell. Statt die Technologie pauschal zu verbieten, hätte man besser Lösungen zur verbesserten Absicherung der Methode anbringen sollen. „Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen“, monierte laut Spiegel Bitkom-Hauptgeschäftsführer Bernhard Rohleder.

Sie wollen immer über die neuesten Entwicklungen im Online-Handel informiert sein? Mit unseren Newslettern erhalten Sie die wichtigsten Top-News und spannende Hintergründe direkt in Ihr E-Mail-Postfach – Jetzt abonnieren!

Über die Autorin

Hanna Behn
Hanna Behn Expertin für: Usability

Hanna fand Anfang 2019 ins Team der OnlinehändlerNews. Sie war mehrere Jahre journalistisch im Bereich Versicherungen unterwegs, dann entdeckte sie als Redakteurin für Ratgeber- und Produkttexte die E-Commerce-Branche für sich. Als Design-Liebhaberin und Germanistin hat sie nutzerfreundlich gestaltete Online-Shops mit gutem Content besonders gern.

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Hanna Behn

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.

Meistgelesene Artikel