{"id":271418,"date":"2022-08-10T10:09:00","date_gmt":"2022-08-10T08:09:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271418"},"modified":"2022-08-11T00:39:41","modified_gmt":"2022-08-10T22:39:41","slug":"gematik-untersagt-video-ident-verfahren-in-der-telematikinfrastruktur-9-august-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/10\/gematik-untersagt-video-ident-verfahren-in-der-telematikinfrastruktur-9-august-2022\/","title":{"rendered":"gematik untersagt Video-Ident-Verfahren in der Telematikinfrastruktur (9. August 2022)"},"content":{"rendered":"

\"GesundheitDie Tage hatte ich im Blog berichtet, dass das Video-Ident-Verfahren zur Identifikation von Nutzern ausgetrickst und so die eindeutige Identifikation einer Person umgangen werden kann. Das hat jetzt Konsequenzen, denn die gematik hat die weitere Nutzung von VideoIdent-Verfahren f\u00fcr die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zul\u00e4ssig erkl\u00e4rt und am 09.08.2022 verf\u00fcgt, dass die Krankenkassen das VideoIdent-Verfahren ab sofort aussetzen. Begr\u00fcndet wird das mit einer der gematik zug\u00e4nglich gemachten sicherheitstechnischen Schwachstelle in diesem Verfahren.<\/p>\n

<\/p>\n

R\u00fcckblick: Das Video-Ident-Problem<\/h2>\n

\"\"Ich hatte es im Blog-Beitrag Verimi-Fiasko? Dem ID-Dienst droht wohl \u00c4rger \u2026<\/a> vor einigen Tagen aufgegriffen. Der Identifikationsdienst (ID-Dienst) Verimi bietet seinen Nutzern die M\u00f6glichkeit, ihren Ausweis oder F\u00fchrerschein mittels eines Foto-Ident-Verfahrens in der Verimi ID-Wallet zu laden. Die Foto-Ident-Pr\u00fcfungen f\u00fchrt die Firma Veriff im entsprechenden Auftrag durch. Neben internationalen Banken, FinTechs und Mobilit\u00e4tsanbietern nutzen auch gro\u00dfe Verlage die Foto-Ident-Pr\u00fcfungen von Veriff, hei\u00dft es vom Hersteller.<\/p>\n

Ein Sicherheitsforscher hatte dann aber nachgewiesen, dass er genau diese Foto-Ident-Pr\u00fcfungen von Veriff mit einfachen Mitteln austricksen konnte. Es war ein leichtes, mittels manipulierter Dokumente gef\u00e4lschte Identit\u00e4ten zu erzeugen und dann in der Verimi ID-Wallet zu speichern.<\/p>\n

ePA erfordert Identifikation<\/h2>\n

Bei der elektronischen Patientenakte (ePA) ist eine Identifikation der Benutzer durch die Krankenkassen ebenfalls erforderlich. Es war naheliegend, ebenfalls das Video-Ident-Verfahren f\u00fcr diesen Zweck zu verwenden. Die DAK wirbt beispielsweise hier<\/a> mit dem diversen Ident-Verfahren f\u00fcr die elektronische Patientenakte. Zitat:<\/p>\n

Die DAK-Gesundheit bietet ihren Versicherten, die die elektronische Patientenakte (ePA) nutzen m\u00f6chten, mit PostIdent eine neue M\u00f6glichkeit der Identifikation an. Versicherte k\u00f6nnen nun w\u00e4hlen, sich per Videochat, per NFC-Funktion am Ausweis oder pers\u00f6nlich in einer Postfiliale oder einem DAK-Servicezentrum zu identifizieren. Aufgrund der hohen Datenschutzanforderungen ist eine zweifelsfreie Identifikation n\u00f6tig, um die ePA nutzen zu k\u00f6nnen.<\/p><\/blockquote>\n

Wer diese (aktuell noch als Opt-In verf\u00fcgbare) M\u00f6glichkeit nutzen und eine elektronische Patientenakte (ePA) anlegen lassen m\u00f6chte, muss sich also einem der genannte bzw. von der Krankenkasse angebotenen Identifikationsverfahren unterziehen. Die M\u00f6glichkeit, dies per Videochat zu erledigen, ist vorerst aber gestorben. Gut, das ist jetzt ein Anbieter und ein Verfahren – aber das Ganze warf sofort Fragen auf. Daher war ich nicht \u00fcberrascht von der weiteren Entwicklung.<\/p>\n

\"Arzt\"
\n(Quelle: Pexels\/Pixabay CC0 Lizenz)<\/p>\n

gematik untersagt Video-Ident-Verfahren<\/h2>\n

Ich bin von einem Leser heute Morgen \u00fcber eine gravierende \u00c4nderung der gematik, die die Telematik-Infrastruktur f\u00fcr das Gesundheitswesen betreibt,\u00a0 informiert worden (danke daf\u00fcr). Die gematik hat die weitere Nutzung von VideoIdent-Verfahren f\u00fcr die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zul\u00e4ssig erkl\u00e4rt. Konkret wurde am 09.08.2022 verf\u00fcgt, dass die Krankenkassen das VideoIdent-Verfahren ab sofort aussetzen.<\/p>\n

Der Hintergrund, so die gematik, ist eine der Organisation zug\u00e4nglich gemachte sicherheitstechnische Schwachstelle in diesem Verfahren. Daher ist die Untersagung der Verwendung des Video-Ident-Verfahrens aus Sicht der gematik unumg\u00e4nglich. Sie handelt hier, so die Aussage, im Rahmen ihrer rechtlichen und verwaltungsgem\u00e4\u00dfen Befugnisse und vor dem Hintergrund des hohen Schutzbedarfs bei der Digitalisierung des Gesundheitswesens.<\/p>\n

In der Mitteilung hei\u00dft es: \u00dcber die Wiederzulassung von Video-Ident-Verfahren kann erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr f\u00fcr die gezeigten Schwachstellen anf\u00e4llig sind. Bleibt f\u00fcr mich die Frage, was mit den bereits per Video-Ident-Verfahren verifizierten (ca. 530.000) ePAs passiert – m\u00fcssen die erneut \u00fcberpr\u00fcft werden? Und ist dort festgehalten, \u00fcber welches Ident-Verfahren die Identifikation erfolgte.<\/p>\n

Aktuell ist mir auch nicht klar, ob der oben von mir skizzierte Veriff-Vorfall der Aufh\u00e4nger ist. heise schreibt hier<\/a>, dass es (wohl von der gematik beauftragten) Sicherheitsforschern gelungen sein soll, bei sechs verschiedenen Anbietern einer elektronischen Patientenakte fremde Identit\u00e4ten verifizieren zu lassen. Details bleiben aktuell im Dunkeln. Aber die Identifikation im Gesundheitswesen leidet ja schon l\u00e4nger unter dem Problem, dass dieser Vorgang nicht sicher ist. Ich erinnere an den Fall aus dem Jahr 2019, wo der CCC auf seinem Jahreskongress berichtete, dass sich Aktivisten einen Arztausweis f\u00fcr Dr. med. Cyber ausstellen lie\u00dfen (siehe Sicherheitsl\u00fccken im deutschen Gesundheitsdatennetz<\/a>).<\/p>\n

Erg\u00e4nzung:<\/strong> Der Chaos Computer Club (CCC) hat den \"Hack\" hier dokumentiert<\/a>. Es war wieder Martin Tschirsich, der auch den Eingangs beschriebenen Versuch unternahm, Verimi<\/a> auszutricksen. Ich habe einige Informationen und Gedanken im Beitrag\u00a0Video-Ident durch Chaos Computer Club \"sturmreif geschossen\"<\/a> zusammen gefasst.<\/p><\/blockquote>\n

Andere Identifizierungsverfahren nicht betroffen<\/h2>\n

Weitere Identifizierungsverfahren sind laut gematik nicht betroffen und k\u00f6nnen weiterhin genutzt werden: alle Verfahren, die eine Pr\u00fcfung des Ausweises vor Ort beinhalten (das betrifft z. B. die Identifikation in der Filiale der Krankenkasse oder per Postident bei der Zustellung). Zul\u00e4ssig sind auch alle Verfahren der Identifikation unter Nutzung der Online-Ausweisfunktion.<\/p>\n

Parallel dazu arbeiten gematik und Bundesgesundheitsministerium daran, zus\u00e4tzliche Verfahren bereitzustellen, die eine vor Ort-Begutachtung des Ausweises beinhalten.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSicherheitsl\u00fccken im deutschen Gesundheitsdatennetz<\/a>
\nElektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?<\/a>
\nElektronische Patientenakte: B\u00e4r will Datenschutz schleifen<\/a>
\nProblem mit statischer Aufladung bei eGK 2.1-Leseger\u00e4ten<\/a>
\nDatenleck: Old-School-'Hack' f\u00fcr Gesundheitskarte<\/a>
\nCyber-Angriff zieht IFAP-Arzneimitteldatenbank in Mitleidenschaft<\/a>
\nDigitalisierung im Gesundheitswesen: \u00c4rzteverb\u00e4nde fordern einj\u00e4hriges Moratorium<\/a>
\nGesundheitswesen: Einrichtungen Hauptziel von Ransomware-Angriffen<\/a>
\nDatenschutz-GAU: Finger weg von der Gesundheits-App Vivy<\/a>
\nN\u00e4chstes Sicherheitsdesaster bei Vivy-Gesundheits-App<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Die Tage hatte ich im Blog berichtet, dass das Video-Ident-Verfahren zur Identifikation von Nutzern ausgetrickst und so die eindeutige Identifikation einer Person umgangen werden kann. Das hat jetzt Konsequenzen, denn die gematik hat die weitere Nutzung von VideoIdent-Verfahren f\u00fcr die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-271418","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271418","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271418"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271418\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271418"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271418"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271418"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}