Sicherheitslücken: Anbieter untersagt Video-Ident-Verfahren 

Mit sogenannten Video-Ident-Verfahren können Personen online ihre Identität per Video nachweisen, in dem sie ihren Ausweis in die Kamera halten und von einem entsprechenden Anbieter verifizieren lassen. Genutzt wird das beispielsweise, um online Mobilfunkverträge abzuschließen, für rechtsverbindliche Unterschriften in der EU und zum Online-Beantragen von Krediten oder Eröffnen von Bankkonten. 

So nützlich diese Systeme zur Identifizierung auch erschienen, sie weisen erhebliche Sicherheitsmängel auf, warnt der Chaos Computer Club (CCC). Anlässlich der potenziellen Manipulationsgefahr hat Video-Ident-Anbieter Gematik jetzt die Nutzung seines Verfahrens vorläufig verboten.

Gematik: Krankenkassen müssen Video-Ident-Verfahren ab sofort aussetzen

Der IT-Dienstleister Gematik hatte infolge der CCC-Warnung, die inzwischen öffentlich gemacht wurde, die weitere Nutzung dieser Identifizierungsmethode gestoppt und zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zulässig erklärt. Auch habe das Unternehmen laut Pressemitteilung am 9. August verfügt, dass die Krankenkassen das Video-Ident-Verfahren „ab sofort aussetzen“.

Der Schritt sei wegen der „zugänglich gemachten sicherheitstechnischen Schwachstelle in diesem Verfahren aus Sicht der Gematik unumgänglich“, man handele im Rahmen der eigenen rechtlichen und verwaltungsgemäßen Befugnisse „vor dem Hintergrund des hohen Schutzbedarfs bei der Digitalisierung des Gesundheitswesens“.

Zugriff auf Patientenakte möglich

CCC-Mitglied und Sicherheitsforscher Martin Tschirsich sei es mit Open-Source-Software, etwas roter Aquarellfarbe und „videotechnischer Neukombination mehrerer Quell-Dokumente“ gelungen, die gängigen Schutzmechanismen solcher Lösungen in sechs Fällen zu überlisten und sowohl der Software als auch den Angestellten, die die ID prüfen sollten, eine falsche Identität vorzugaukeln. Im Zuge der Sicherheitsprüfung war es auch möglich, sich Zugang zu einer elektronischen Patientenakte (ePA) einer eingeweihten Testperson zu verschaffen – im Ernstfall ließen sich auf diese Weise also beispielsweise Rezepte, Diagnosen oder Behandlungen einsehen. Entsprechend forderte der CCC, „diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht“, heißt es in einer Mitteilung der Organisation.

Dem Digitalverband Bitkom ging die Abschaltung des Verfahrens indes zu schnell. Statt die Technologie pauschal zu verbieten, hätte man besser Lösungen zur verbesserten Absicherung der Methode anbringen sollen. „Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen“, monierte laut Spiegel Bitkom-Hauptgeschäftsführer Bernhard Rohleder.