Krankenkassen müssen Video-Ident-Verfahren abschalten
Den deutschen Krankenkassen ist die Identifikation ihrer Versicherten per Video-Ident-Verfahren durch die zuständige Gematik GmbH untersagt worden. Bei der Gesellschaft handelt es sich um einen Digitalisierungsdienstleister der deutschen Gesundheitsbranche. Nachdem der Chaos Computer Club (CCC) Sicherheitsmängel im Video-Ident-Verfahren festgestellt hatte, werden diese nun nicht mehr von deutschen Krankenkassen eingesetzt.
Angriff mit geringem Aufwand durchführbar
Mithilfe des Video-Ident-Verfahrens können sich Nutzer:innen ausweisen, indem sie ihre Ausweispapiere mit ihrer Smartphone- oder Computer-Kamera erfassen und zeitgleich ihr Gesicht zeigen. Bei einem Anruf in einem Video-Ident-Callcenter müssen die Anrufer:innen dann den Ausweis in der Hand halten, ihn bewegen und auf Anordnung auch bestimmte Stellen des Ausweises mit dem Finger abdecken. Anschließend werden die Daten von einer Software erfasst. Die Angaben werden dann durch die Support-Mitarbeiter:innen sowie von Algorithmen überprüft, sodass End-Kundinnen und Kunden ihre Identität beweisen können. Nach der Freigabe können sie sich dann beispielsweise auf einer Onlineplattform einloggen.
Der CCC stellte nun fest, dass genau dieses Vorgehen problematisch sei. Mit gefälschten Ausweispapieren und etwas Videobearbeitung ließen sich so Sicherheitsmerkmale fälschen. “Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen”, erläuterte der CCC. So könne man beispielsweise das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes digital ersetzen. Der CCC konnte das Ident-Verfahren so überlisten und eine elektronische Patientenakte (ePA) für eine fremde Person anlegen. Die betroffene Person war eingeweiht und einverstanden. Anschließen konnte auf Diagnosen, Rezepte und Bescheinigungen zugegriffen werden.
Insgesamt konnten die Verfahren von sechs nationalen und internationalen Anbietern überlistet werden. Wie genau der CCC dabei vorgegangen ist, ist ausführlich dokumentiert und lässt sich auf der Webseite des CCC nachlesen.
Risiko den Behörden bekannt
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte das Verfahren schon vor Jahren als heikel eingestuft. Durch die Corona-Pandemie wurde das Verfahren zuletzt immer häufiger genutzt. Laut einem Sprecher des BSI nehme man die Situation auch über die Anwendung bei den Krankenkassen hinaus sehr ernst. Das Verfahren werde “sehr sorgfältig” geprüft. Diese Prüfung beziehe sich auch auf die Fortsetzung der Nutzung dieser Technologie.
In der Pressemitteilung des CCC warnt Martin Tschirsich, ein Sicherheitsforscher des CCC, vor der Nutzung. “Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Videoident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten”.
Welche Video-Ident-Anbieter dabei überlistet wurden, hat der CCC nicht veröffentlich. Stattdessen forderte man in einer Pressemitteilung, die Verfahren generell nicht mehr dort einzusetzen, wo ein hohes Schadenspotential bestehe. Darunter fiele beispielsweise der Zugriff auf intimste Gesundheitsdaten, so der CCC.
Alternative seit 10 Jahren vorhanden
Es sei besonders bitter, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt werden, erklärt der CCC. Diese ließe sich schon seit über zehn Jahren zur digitalen Identifizierung verwenden.
