Bei Krankenkassen ist die Identifizierung per Video (Videoident) momentan gestoppt. Hintergrund ist ein erfolgreicher Angriff des Chaos Computer Clubs (CCC), bei dem der Zugang zu einer elektronischen Patientenakte einer Testperson mit manipulierten Ausweispapieren möglich war. Aus Angst vor dem Missbrauch von den so erreichbaren sensiblen Patientendaten wurden von den Krankenkassen nun zunächst alle Videoident-Anbieter unabhängig von bekannten Sicherheitslücken gesperrt.

Sind Videoident-Verfahren weiterhin unbedenklich was die Datensicherheit angeht?

Wo wird Videoident eingesetzt?

Bisher wurden Videoident-Verfahren in vielen Bereichen genutzt, in denen online Zugang zu sensiblen Daten möglich ist. Bei der Anmeldung eines Bankkontos, bei Kreditprüfungen, Versicherungsverträgen, Prüfungen für Carsharing-Dienste und im Gesundheitsbereich ist das Videoident-Verfahren ein bedeutender Bestandteil digitaler Datensicherheit.

Seit 2021 ist über das Videoident-Verfahren der Zugriff auf die sogenannte ePatientenakte und inzwischen auch auf das eRezept möglich.

Wie kann Videoident überlistet werden?

Im Bericht des CCC erklären die Sicherheitsforscher, wie es „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe gelungen ist, mittels ‚videotechnischer Neukombination mehrerer Quell-Dokumente‘ sechs Videoident-Lösungen zu überlisten und den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln“. Die Angriffe blieben dabei unbemerkt.

Der CCC erlangte so Zugriff auf die Gesundheitsdaten der Testperson. Dies sei mit wenig Vorwissen in kurzer Zeit und mit wenig Aufwand möglich gewesen. Das Risiko und die Sensibilität dieser Daten seien auf der anderen Seite sehr hoch.

Auch der Einsatz einer KI im Verfahren behebe diese große Sicherheitslücke nicht. Die Sicherheitsforscher stellten fest: „Die Annahme, dass moderne Videoident-Verfahren die bekannten Schwächen ‚durch den Einsatz von künstlicher Intelligenz‘ beheben können, hat sich in der Praxis als falsch herausgestellt“.

Warum gleich alle Videoident-Verfahren stoppen?

Die Gematik untersagte aufgrund der Ergebnisse des CCC bereits vor Veröffentlichung des Berichtes aus Sicherheitsgründen den Krankenkassen die Nutzung jeglicher Videoident-Verfahren.

Der IT-Branchenverband Bitkom kritisierte diese pauschale Entscheidung. Personen, die sich jetzt gegenüber der Krankenkasse identifizieren müssen, seien gezwungen, analoge Wege zu wählen. Damit sei eine „unnötige Hürde auf dem Weg zu einer digitalen Gesundheitsversorgung aufgebaut“. Die Sofortidentifizierung über das Videoident-Verfahren sei „essenziell, um digitale Dienste schnell, sicher und einfach verfügbar zu machen“.  Es müsse bei Krankenkassen deshalb umgehend wieder zugelassen werden.

Der CCC fordert dagegen „diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht“.

Stellungnahme des Gesundheits- und Innenministeriums

Das Bundesgesundheitsministerium sprach sich wie die Gematik für eine Sperrung aus.

Das Bundesinnenministerium bezeichnete das Videoident-Verfahren als „eine Brückentechnologie, die aufgrund ihrer Marktdurchdringung und Verfügbarkeit derzeit zur Fernidentifizierung genutzt wird“. Ob und inwiefern es weiter genutzt werden könne, werde sorgfältig geprüft.

Sie benötigen Unterstützung im Bereich Datensicherheit oder auch Datenschutz? Unser Team an Experten hilft Ihnen gerne weiter!

DSB buchen
de_DEDeutsch