Video-Ident-Verfahren unsicher (Update:
CCC hat Verfahren gehackt)

Krankenkassen hatten bisher die Möglichkeit, ihren Mitgliedern Dienste nach der Authentifizierung mit einem Video-Ident-Verfahren freizugeben. Diese Option wird aufgrund einer entdeckten Schwachstelle gestoppt, Krankenkassen müssen auf andere Verfahren zurückgreifen.
Smartphone, Smartphones, Apple iPhone, Gesichtserkennung, Face ID, Maske, Getty Images, iStock
iStock / Getty Images
Das meldet das Online-Magazin Apotheke Adhoc. Der Branchendienst weist dabei auf eine von der nationalen Gesundheitsagentur "Gematik" herausgegebene Warnung vor einer Sicherheitslücke. Konkrete Details - auch zu womöglichen Datenschutzverletzungen - liegen derzeit aber nicht vor.

Nachtrag 10. August 21.05 Uhr: Jetzt kommt Licht in den plötzlichen Stopp durch Gematik. Einen Tag nach der Pressemitteilung durch Gematik hat der Chaos Computer Club (CCC) bekannt gegeben, dass ein Team erfolgreich die gängigen Lösungen für videobasierte Online-Identifizierung überwunden hat.

Martin Tschirsich, Sicherheitsforscher des CCC, demonstrierte mithilfe von - wie er betonte - "Uralt-Technik und einfachen Mitteln" die Umgehung der Sicherheitsprüfung. Er nutzte eine Open-Source-Software und rote Aquarellfarbe, um mit einer "videotechnischen Neukombination mehrerer Quell-Dokumente" sechs Video-Ident-Lösungen zu überlisten und den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln. Bis heute blieben diese Angriffe unerkannt.

Eine Reaktion auf diese Umgehung ist die Aussetzung des Verfahrens durch Gematik - nun müssen laut CCC aber noch weitere Konsequenzen folgen.

Gematik hat die Krankenkassen, die das Video-Ident-Verfahren aktuell nutzen, jetzt angewiesen, das Verfahren bis auf Weiteres auszusetzen. Diese Anweisung ist bindend. Gematik und Bundesgesundheitsministerium arbeiten derzeit gemeinsam an einer Lösung für die Zukunft. Zudem muss der Anbieter des Video-Ident-Verfahrens für eine Wiederzulassung darlegen, dass die Sicherheitslücken gestopft wurden. Infografik digitale Gesundheitsversorgung: E-Health ist auf dem VormarschDigitale Gesundheitsversorgung: E-Health ist auf dem Vormarsch

Vorläufig gestoppt

Es geht um die Nutzung von Video-Ident-Verfahren als Identifizierungsmittel zur Nutzung in der Telematikinfrastruktur (TI) der Krankenkassen. Diese Option ist von Gematik jetzt vorläufig als nicht sicher und damit mehr zulässig erklärt worden:

"Dies ist aufgrund einer der Gematik zugänglich gemachten sicherheitstechnischen Schwachstelle in diesem Verfahren aus Sicht der Gematik unumgänglich", heißt es in der Erklärung. "Sie handelt hier im Rahmen ihrer rechtlichen und verwaltungsgemäßen Befugnisse und vor dem Hintergrund des hohen Schutzbedarfs bei der Digitalisierung des Gesundheitswesens." Andere Identifizierungsverfahren sind nicht betroffen.

Für Krankenkassen-Mitglieder, die sich für ein spezielles Angebot authentifizieren müssen, heißt das derzeit, dass das nur über eine persönliche Prüfung zum Beispiel vor Ort bei den Krankenkassen, mit dem Postident-Verfahren oder unter Nutzung der Online-Ausweisfunktion (Personalausweis) möglich ist.

Siehe auch: Gesundheitsportal: Gericht untersagt Kooperation von Google und Bund
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!