Geknackt: Gematik verbietet Videoident-Verfahren bei Krankenkassen
Patientinnen und Patienten können sich ab sofort nicht mehr per Videoident-Verfahren bei ihrer Krankenkasse identifizieren. Die deutsche Gesundheitsagentur gematik teilte am Dienstag mit, dass das Verfahren wegen Sicherheitslücken vorerst nicht mehr bei den Krankenkassen zum Einsatz kommen darf. Unter anderem nutzen es die Kassen für die Anmeldung bei Online-Diensten, aber auch bei Anträgen für elektronische Patientenakten (ePA).
Details zu dem Sicherheitsproblem nannte die gematik nicht. Allerdings hat der Chaos Computer Club (CCC) am Mittwoch veröffentlicht, dass der IT-Sicherheitsforscher Martin Tschirsich Videoident-Verfahren verschiedener Dienstleister austricksen und sich Zugang zu der ePA einer Testperson verschaffen konnte. Die gematik hat mit ihrer Verfügung auf die Erkenntnisse des CCC reagiert.
Bei Videoident-Verfahren muss sich die Person üblicherweise mit einer Smartphone-Kamera oder Webcam selbst filmen und gleichzeitig ein Ausweisdokument ins Bild halten. Ein Mitarbeiter oder eine Software überprüft dann die Übereinstimmung in Echtzeit. Für den Zugang zur ePA wird das Verfahren seit 2021 eingesetzt.
Andere Identifizierungsverfahren seien von dem Verbot nicht betroffen, schrieb die gematik. Krankenkassenmitglieder könnten sich weiterhin vor Ort per Ausweis identifizieren – beispielsweise in Filialen oder via Postident. Auch der elektronische Personalausweis werde online weiter akzeptiert.
Der CCC bezeichnete Videoident in seiner Meldung als “unsichere Technologie” und forderte, sie “nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht”.
Gesundheitsgeschichte offengelegt
Wie der CCC schreibt, sei es Sicherheitsforscher Tschirsich gelungen, “mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe” sechs Videoident-Lösungen verschiedener Anbieter zu überlisten und dort eine falsche Identität anzugeben. Wie der Sicherheitsexperte in seinem Bericht beschreibt, nutzte er ein Verfahren, bei dem Teile des in die Kamera gehaltenen Ausweisdokuments in Echtzeit mithilfe einer Software durch Einträge aus einem zweiten Ausweis ersetzt wurden.
Diese Methode habe selbst fortschrittliche KI-gestützte Prüfverfahren getäuscht. “Die Annahme, dass moderne Videoident-Verfahren die bekannten Schwächen ‘durch den Einsatz von künstlicher Intelligenz’ beheben können, hat sich in der Praxis als falsch herausgestellt”, schrieb der Sicherheitsforscher.
“Während sich alle Welt vor ausgefeilten Deep Fakes fürchtet, gelang hier der Angriff mit Uralt-Technik und einfachen Mitteln”, erklärt der CCC.
Bis zur Veröffentlichung sei diese Angriffsmöglichkeit unerkannt geblieben. Tschirsich habe unter anderem eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen und weitere Behandlungsunterlagen einsehen können. Prinzipiell hätte der Sicherheitsforscher aber elektronische Patientenakten für alle 73 Millionen gesetzlich Versicherten eröffnen und deren Gesundheitsdaten abfragen können.
Aktuell sind bereits rund 530.000 digitale Patientenakten in Deutschland angelegt. Ob in allen diesen Fällen die Identität der Patienten erneut überprüft werden muss, sei noch ungeklärt.
Dem Branchenverband Bitkom fehlt hingegen Verständnis für die Sicherheitswarnungen der Experten: Die Verfügung der gematik sieht die Organisation nur als “Hürde auf dem Weg zu einer digitalen Gesundheitsversorgung”. Kassenmitglieder, die digitale Gesundheitsangebote nutzen möchten, müssten nun für die Authentifizierung persönlich in eine Filiale gehen oder bei der Post erscheinen. “Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen”, schreibt der Verband. “Einzelne Sicherheitsvorfälle” ließen sich in der digitalen Welt nicht ausschließen.
Fälschungsschutz funktioniert nicht
Ein Sprecher des Bundesgesundheitsministerium begrüßte das Einschreiten von gematik, da es sich bei den Patientendaten um sensible Informationen handele.
“Dieser Totalausfall bestätigt nun, wovor Datenschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem warnen”, mahnt der CCC. Der Bundesdatenschutzbeauftragte hatte im März 2021 in seinem 29. Tätigkeitsbericht auf die Sicherheitsrisiken im Zusammenhang mit Videoident hingewiesen. Er stellte fest, dass sich das Verfahren nicht für den Schutz von besonders schutzbedürftigen Daten eignet – wie sie beispielsweise im Gesundheitsbereich oder bei Bankkonten vorkommen. “Diesen sehr hohen Schutzbedarf können Videoidentifizierungen nicht gewährleisten”, fasste der Datenschützer zusammen. “Hinsichtlich von Identifizierungen, für die die Schutzbedarfsstufe ‘sehr hoch’ erreicht werden muss, lehne ich Videoidentifizierungsverfahren ausnahmslos ab.”
Diese Einschätzung teilt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde hatte wiederholt darauf hingeweisen, dass die meisten Sicherheitsmerkmale des Personalausweises wie UV-Aufdrucke, Oberflächenprägungen oder Mikroschriften in einem Videochat nicht überprüfbar sind. Selbst im Rahmen moderater Angriffe könne Videoident laut BSI getäuscht werden.
Angesichts seiner Untersuchungsergebnisse fällt auch das Urteil von Tschirsich vernichtend aus: “Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Videoident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten.”
Des Weiteren hat der CCC Sicherheitsbedenken gegenüber dem Verfahren, weil bei den Dienstleistern für die Überprüfung beispielsweise biometrische Daten anfallen. Mit dem elektronischen Personalausweis würde sich hierfür zwar eine Alternative zum Videoident-Verfahren anbieten. Doch das Projekt habe sich als “Rohrkrepierer” erwiesen, weil selbst zehn Jahre nach Einführung kaum einer das System nutzt.
Das endgültige Ende von Videoident bei den Krankenkassen ist indes noch nicht besiegelt: Die gematik schrieb, über eine Wiederzulassung könne entschieden werden, wenn die Anbieter konkrete Nachweise erbracht hätten, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind. (hcz)