Im Video-Ident-Verfahren können Nutzeridentitäten im Internet nachgewiesen werden, um u. a. EU-weit rechtsverbindliche Unterschriften (QES) zu tätigen, Kredite zu beantragen – oder eine elektronische Patientenakte (ePA) anzufordern. Hierbei wird ein Video benötigt, indem Nutzer und Ausweisdokument ersichtlich sind. Nach erfolgreicher Übertragung an einem Video-Ident-Anbieter wird die Identität des Nutzers anhand von Software oder eines Mitarbeiters überprüft und validiert. Ein Versprechen, um Betrugsversuche sicher zu erkennen hieß es, welches jedoch durch den Einsatz von Uralt-Technik und einfachen Mitteln schlichtweg gebrochen wurde.
Einem Sicherheitsforscher des Chaos Computer Clubs (CCC) gelang es mithilfe einer Open-Source-Software und etwas Farbe sechs Video-Indent-Lösungen zu trügen und konnte somit die Identität einer Testperson mithilfe seines manipulierten Ausweises annehmen, die ihm unter anderem Zugriff auf hochsensible Daten wie Diagnosen, Behandlungen und Rezepte ermöglichten.
Nach § 341 SGB V haben gesetzlich Krankenversicherte in Deutschland einen rechtlichen Anspruch auf die Überführung ihrer gespeicherten Gesundheitsdaten in eine ePA. Diese Daten werden zentral, lebenslang fach- und einrichtungsübergreifend gespeichert. Der Zugang zur ePA ist nach § 336 Absatz 5 SGB V nur nach einer sicheren Identifikation des Versicherten möglich. Bei 29 der 30 größten Krankenkassen haben zum Zeitpunkt der Darlegung das Video-Ident-Verfahren als Identifikation des Versicherten akzeptiert. Nachdem das Verfahren überwunden wurde, war es möglich, eine Patientenquittung nach §305 SGB V anzufordern. Diese Aufforderung richtet sich an die Leistungserbringer, die daraufhin Behandlungsunterlagen in die ePA einstellen. Schlussfolgernd war der Zugriff auf diese Gesundheitsdaten nun gegeben und die sicherheitstechnischen Schwachstellen blieben bis zur Veröffentlichung unerkannt.
Der hohe Schutzbedarf bei der Digitalisierung des Gesundheitswesens sei damit wieder gefährdet, da durch Identitätsraub einem Täter offenstände für jeden – der 73 Millionen gesetzlich Versicherten – eine ePA zu beantragen und diese Informationen vielfältig zu missbrauchen.
Schon 2019 sei es den CCC-Sicherheitsforschern gelungen durch grobe Mängel in den Zugangsprozessen, den unbefugten Besitz gültiger Praxis- und Heilberufsausweise sowie Gesundheitskarten zu nutzen, um auf die TI und Gesundheitsdaten von Versicherten zuzugreifen. Die diagnostizierten Schwachstellen führen folglich zu einer kriminellen Bewegungsfreiheit im deutschen Gesundheitsnetzwerk, dessen Sicherheitshürden nicht nur für motivierte Angreifer, sondern auch für einfache Hobbyisten mit geringem Aufwand zu umgehen sind. Ohne sichere Zulassungsprozesse und belegtes Vertrauensniveau ist der weitere Betrieb von Video-Ident insbesondere im Gesundheitswesen nicht tragbar.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und diverse Datenschützer sprachen seit langem Warnungen über Schlupflöcher der Video-Identifikation aus, die in der Vergangenheit jedoch bei der Bundesregierung auf kein Beachtung stießen (Amtsblatt der Bundesnetzagentur – Elektronische Vertrauensdienste). Inzwischen hat die Gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH) reagiert und untersagt bis auf Weiteres die Nutzung videobasierter Online-Identifizierungen in der telematischen Infrastruktur. Folglich ist die Beantragung (und evtl. auch baldige Ablehnung) einer ePA über ein Video-Ident-Verfahren nun nicht mehr möglich. Ein Sprecher der AOK Bayern teilte mit, dass das Verbot völlig überraschend kam und auf die Frage wie es mit der Möglichkeit einer Online-Identifizierung weitergehen soll, reagierte der Sprecher mit großer Unwissenheit.
Sie nutzen selbst ein Video-Ident-Verfahren? Gerne prüfen wir mit Ihnen die Sicherheit Ihres Systems und beraten Sie bei Schwachstellen. Jetzt Kontakt aufnehmen!