Die Tage hatte ich im Blog berichtet, dass das Video-Ident-Verfahren zur Identifikation von Nutzern ausgetrickst und so die eindeutige Identifikation einer Person umgangen werden kann. Das hat jetzt Konsequenzen, denn die gematik hat die weitere Nutzung von VideoIdent-Verfahren für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zulässig erklärt und am 09.08.2022 verfügt, dass die Krankenkassen das VideoIdent-Verfahren ab sofort aussetzen. Begründet wird das mit einer der gematik zugänglich gemachten sicherheitstechnischen Schwachstelle in diesem Verfahren.
Anzeige
Rückblick: Das Video-Ident-Problem
Ich hatte es im Blog-Beitrag Verimi-Fiasko? Dem ID-Dienst droht wohl Ärger … vor einigen Tagen aufgegriffen. Der Identifikationsdienst (ID-Dienst) Verimi bietet seinen Nutzern die Möglichkeit, ihren Ausweis oder Führerschein mittels eines Foto-Ident-Verfahrens in der Verimi ID-Wallet zu laden. Die Foto-Ident-Prüfungen führt die Firma Veriff im entsprechenden Auftrag durch. Neben internationalen Banken, FinTechs und Mobilitätsanbietern nutzen auch große Verlage die Foto-Ident-Prüfungen von Veriff, heißt es vom Hersteller.
Ein Sicherheitsforscher hatte dann aber nachgewiesen, dass er genau diese Foto-Ident-Prüfungen von Veriff mit einfachen Mitteln austricksen konnte. Es war ein leichtes, mittels manipulierter Dokumente gefälschte Identitäten zu erzeugen und dann in der Verimi ID-Wallet zu speichern.
ePA erfordert Identifikation
Bei der elektronischen Patientenakte (ePA) ist eine Identifikation der Benutzer durch die Krankenkassen ebenfalls erforderlich. Es war naheliegend, ebenfalls das Video-Ident-Verfahren für diesen Zweck zu verwenden. Die DAK wirbt beispielsweise hier mit dem diversen Ident-Verfahren für die elektronische Patientenakte. Zitat:
Die DAK-Gesundheit bietet ihren Versicherten, die die elektronische Patientenakte (ePA) nutzen möchten, mit PostIdent eine neue Möglichkeit der Identifikation an. Versicherte können nun wählen, sich per Videochat, per NFC-Funktion am Ausweis oder persönlich in einer Postfiliale oder einem DAK-Servicezentrum zu identifizieren. Aufgrund der hohen Datenschutzanforderungen ist eine zweifelsfreie Identifikation nötig, um die ePA nutzen zu können.
Wer diese (aktuell noch als Opt-In verfügbare) Möglichkeit nutzen und eine elektronische Patientenakte (ePA) anlegen lassen möchte, muss sich also einem der genannte bzw. von der Krankenkasse angebotenen Identifikationsverfahren unterziehen. Die Möglichkeit, dies per Videochat zu erledigen, ist vorerst aber gestorben. Gut, das ist jetzt ein Anbieter und ein Verfahren – aber das Ganze warf sofort Fragen auf. Daher war ich nicht überrascht von der weiteren Entwicklung.
Anzeige
(Quelle: Pexels/Pixabay CC0 Lizenz)
gematik untersagt Video-Ident-Verfahren
Ich bin von einem Leser heute Morgen über eine gravierende Änderung der gematik, die die Telematik-Infrastruktur für das Gesundheitswesen betreibt, informiert worden (danke dafür). Die gematik hat die weitere Nutzung von VideoIdent-Verfahren für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zulässig erklärt. Konkret wurde am 09.08.2022 verfügt, dass die Krankenkassen das VideoIdent-Verfahren ab sofort aussetzen.
Der Hintergrund, so die gematik, ist eine der Organisation zugänglich gemachte sicherheitstechnische Schwachstelle in diesem Verfahren. Daher ist die Untersagung der Verwendung des Video-Ident-Verfahrens aus Sicht der gematik unumgänglich. Sie handelt hier, so die Aussage, im Rahmen ihrer rechtlichen und verwaltungsgemäßen Befugnisse und vor dem Hintergrund des hohen Schutzbedarfs bei der Digitalisierung des Gesundheitswesens.
In der Mitteilung heißt es: Über die Wiederzulassung von Video-Ident-Verfahren kann erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind. Bleibt für mich die Frage, was mit den bereits per Video-Ident-Verfahren verifizierten (ca. 530.000) ePAs passiert – müssen die erneut überprüft werden? Und ist dort festgehalten, über welches Ident-Verfahren die Identifikation erfolgte.
Aktuell ist mir auch nicht klar, ob der oben von mir skizzierte Veriff-Vorfall der Aufhänger ist. heise schreibt hier, dass es (wohl von der gematik beauftragten) Sicherheitsforschern gelungen sein soll, bei sechs verschiedenen Anbietern einer elektronischen Patientenakte fremde Identitäten verifizieren zu lassen. Details bleiben aktuell im Dunkeln. Aber die Identifikation im Gesundheitswesen leidet ja schon länger unter dem Problem, dass dieser Vorgang nicht sicher ist. Ich erinnere an den Fall aus dem Jahr 2019, wo der CCC auf seinem Jahreskongress berichtete, dass sich Aktivisten einen Arztausweis für Dr. med. Cyber ausstellen ließen (siehe Sicherheitslücken im deutschen Gesundheitsdatennetz).
Ergänzung: Der Chaos Computer Club (CCC) hat den "Hack" hier dokumentiert. Es war wieder Martin Tschirsich, der auch den Eingangs beschriebenen Versuch unternahm, Verimi auszutricksen. Ich habe einige Informationen und Gedanken im Beitrag Video-Ident durch Chaos Computer Club "sturmreif geschossen" zusammen gefasst.
Andere Identifizierungsverfahren nicht betroffen
Weitere Identifizierungsverfahren sind laut gematik nicht betroffen und können weiterhin genutzt werden: alle Verfahren, die eine Prüfung des Ausweises vor Ort beinhalten (das betrifft z. B. die Identifikation in der Filiale der Krankenkasse oder per Postident bei der Zustellung). Zulässig sind auch alle Verfahren der Identifikation unter Nutzung der Online-Ausweisfunktion.
Parallel dazu arbeiten gematik und Bundesgesundheitsministerium daran, zusätzliche Verfahren bereitzustellen, die eine vor Ort-Begutachtung des Ausweises beinhalten.
Ähnliche Artikel:
Sicherheitslücken im deutschen Gesundheitsdatennetz
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
Elektronische Patientenakte: Bär will Datenschutz schleifen
Problem mit statischer Aufladung bei eGK 2.1-Lesegeräten
Datenleck: Old-School-'Hack' für Gesundheitskarte
Cyber-Angriff zieht IFAP-Arzneimitteldatenbank in Mitleidenschaft
Digitalisierung im Gesundheitswesen: Ärzteverbände fordern einjähriges Moratorium
Gesundheitswesen: Einrichtungen Hauptziel von Ransomware-Angriffen
Datenschutz-GAU: Finger weg von der Gesundheits-App Vivy
Nächstes Sicherheitsdesaster bei Vivy-Gesundheits-App
Anzeige
Und was machen sie mit den so bereits erteilten Identitäten?
(Bild: Aber die gute, alte Rolex am Arm…typisch Arzt!? :-))
wer es hat der hats ;-P
Aber toll das die so schnell reagieren.
Wie weit doch Meinungen auseinander liegen können. Der Branchenverband Bitkom kritisiert die Gematik für ihre Entscheidung, das Video-Ident-Verfahren vorerst zu sperren:
https://www.aerztezeitung.de/Wirtschaft/Unnoetige-Huerden-auf-dem-Weg-zur-digitalen-Gesundheitsversorgung-431436.html
Auch wenn ich die Interessen des Branchenverbandes Bitkom nachvollziehen kann, so halte ich dessen Argumentation für fragwürdig. Wenn ein Verfahren sich als unsicher erweist und im weiteren Verlauf missbraucht wird, gerät es in Verruf und Verbraucher bzw. Patienten misstrauen diesem. Dann ist das Kind in den Brunnen gefallen und der Flurschaden ist groß.
Besser wäre es, die Verfahren vor Markteinführung eingehend zu testen und ggf. zu verbessern.
Ich habe da noch einen Beitrag in Petto – danke für den Link.