Gematik stoppt VideoIdent-Verfahren

Das sogenannte VideoIdent-Verfahren dient der Identifizierung natürlicher Personen durch eine persönliche Authentifizierung im Wege der Online-Videokonferenz. Dies kann sowohl mit als auch ohne einen „menschlichen Vermittler“ beziehungsweise „Operator“ geschehen. Krankenkassen boten das Verfahren bislang Ver­sicherten an, damit sich diese für die Nutzung von TI-Anwendungen – allen voran die elektronische Patientenakte (ePA) – authentifizieren konnten. Damit ist zumindest vorerst Schluss.

Wie die Gematik am vergangenen Dienstag mitteilte, wurde ihr eine sicherheitstechnische Schwachstelle zugetragen. Sicherheits­experten hätten detailliert, glaubwürdig und nachvollziehbar einen erfolgreichen Angriff auf das VideoIdent-Verfahren berichtet, hieß es. Solche Hinweise sind für die Gematik wichtig – sie ist geradezu darauf angewiesen, dass Schwachstellen von Experten aufgedeckt werden, die daraus keinen betrügerischen Nutzen ziehen wollen. Ihre Schlussfolgerung aus dem aktuellen Fall: „Die Ausnutzbarkeit der grundsätzlichen Schwachstellen des VideoIdent-Verfahrens überschreitet nach Einschätzung der Gematik in dieser neuen Qualität das akzeptierbare Risiko des VideoIdent-Verfahrens. Aufgrund dessen ist eine sofortige Beseitigung dieser Sicherheitslücke notwendig und somit ein Stopp des VideoIdent-Verfahrens im Kontext der TI und ihren Anwendungen.“ Die Gematik handelte also und erließ am 9. August eine Ver­fügung, wonach die Kranken­kassen dieses Verfahren sofort aussetzen müssen.

BSI kannte Sicherheitslücke

Brisant an dem Fall ist, dass das Bundesinstitut für Sicherheit in der Informationstechnik (BSI) 2017 bereits auf diese Verfahrensschwächen aufmerksam gemacht haben soll. Das jedenfalls berichtet Martin Tschirsich vom CCC „Handelsblatt Inside“. Damals sei es in einer Studie gelungen, Ausweisdokumente im VideoIdent-Verfahren zu fälschen. Das BSI habe das Risiko hoch und den Angriffsaufwand als moderat eingestuft. 2019 sei dann auf einem Kongress des CCC dargelegt worden, dass ein Identifikationsverfahren für die ePA noch fehlte. Dennoch habe man sich unter Gesundheitsminister Spahn für das VideoIdent-Verfahren entschieden. „Ich bin gesetzlich versichert und somit von dem Sicherheits­risiko betroffen. Daraus ergab sich mein Interesse, das VideoIdent-Verfahren zu testen“, so Tschirsich.

Andere Identifizierungs­verfahren nicht betroffen

Wie die Gematik weiter mitteilt, sind andere Identifizierungsverfahren nicht betroffen und können weiterhin genutzt werden. Damit sind alle Verfahren gemeint, die eine Prüfung des Ausweises vor Ort beinhalten (z. B. Filiale der Krankenkasse oder PostIdent bei der Zustellung), sowie alle Verfahren unter Nutzung der Online-Ausweis­funk­tion. Parallel dazu arbeiteten Gematik und Bundesgesundheitsministerium daran, zusätzliche Verfahren mit einer Vor-Ort-Begutachtung des Ausweises bereitzustellen.

Über die Wiederzulassung von VideoIdent-Verfahren kann laut Gematik erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind. |