Gematik setzt VideoIdent-Verfahren zur TI-Authentifizierung aus

Externe Sicherheitsexperten haben es geschafft, das von Krankenkassen genutzte VideoIdent-Verfahren anzugreifen. Die aufgedeckten Schwachstellen haben die Gematik nun zu einer Verfügung veranlasst: Für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur ist dieses Verfahren nicht mehr zulässig und von den Krankenkassen sofort auszusetzen.

Die Gematik hat die weitere Nutzung von VideoIdent-Verfahren für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zulässig erklärt. Sie hat am heutigen 9. August 2022 verfügt, dass die Krankenkassen dieses Verfahren sofort aussetzen müssen.

Das sogenannte VideoIdent-Verfahren dient der Identifizierung natürlicher Personen durch eine persönliche Authentifizierung im Wege der Online-Videokonferenz. Dies kann sowohl mit als auch ohne einen „menschlichen Vermittler“ beziehungsweise „Operator“ geschehen. Krankenkassen boten das Verfahren Versicherten an, damit sich diese für die Nutzung von TI-Anwendungen – allen voran die elektronische Patientenakte – authentifizieren konnten.

Rechtlicher Hintergrund:

Nach § 336 Abs. 2 SGB V ist jeder Versicherte berechtigt, auf Daten in der elektronischen Patientenakte, dem elektronischen Medikationsplan oder der Patientenkurzakte auch mittels einer Benutzeroberfläche eines geeigneten Endgeräts zuzugreifen – und zwar ohne seine elektronische Gesundheitskarte einzusetzen. Voraussetzung ist unter anderem, dass sich der Versicherte für diesen Zugriff „jeweils durch ein geeignetes technisches Verfahren, das einen hohen Sicherheitsstandard gewährleistet, authentifiziert hat“.

Aber nun wurde der Gematik eine sicherheitstechnische Schwachstelle zugetragen. Sicherheitsexperten hätten detailliert, glaubwürdig und nachvollziehbar einen erfolgreichen Angriff auf das VideoIdent-Verfahren berichtet, heißt es in einem FAQ-Papier der Gematik. Solche Hinweise sind für die Gematik wichtig – sie ist geradezu darauf angewiesen, dass Schwachstellen von Experten aufgedeckt werden, die daraus keinen betrügerischen Nutzen ziehen wollen. Ihre Schlussfolgerung aus dem aktuellen Fall: „Die Ausnutzbarkeit der grundsätzlichen Schwachstellen des VideoIdent-Verfahrens überschreitet nach Einschätzung der Gematik in dieser neuen Qualität das akzeptierbare Risiko des VideoIdent-Verfahrens. Aufgrund dessen ist eine sofortige Beseitigung dieser Sicherheitslücke notwendig und somit ein Stopp des VideoIdent-Verfahrens im Kontext der TI und ihren Anwendungen.“

Mehr zum Thema

E-Rezept-App der Gematik

Was steckt hinter der Open-Source-Strategie?

Wie die Gematik weiter mitteilt, sind andere Identifizierungsverfahren nicht betroffen und können weiterhin genutzt werden. Damit sind alle Verfahren gemeint, die eine Prüfung des Ausweises vor Ort beinhalten (z. B. Filiale der Krankenkasse oder PostIdent bei der Zustellung), sowie alle Verfahren unter Nutzung der Online-Ausweisfunktion. Parallel dazu arbeiteten Gematik und Bundesgesundheitsministerium daran, zusätzliche Verfahren bereitzustellen, die eine Vor-Ort-Begutachtung des Ausweises beinhalten.

Über die Wiederzulassung von VideoIdent-Verfahren kann erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind.

Quelle: Den ganzen Artikel lesen