Von Ralf Keuper
Der Branchenverband der deutschen Informations- und Telekommunikationsbranche (Bitkom) hat die Entscheidung der gematik, das Video-Ident-Verfahren für die Telematikinfrastruktur auszusetzen, scharf kritisiert. Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder dazu: “Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen. Statt Anbieter mit Verdacht auf Sicherheitslücken anzusprechen und Lösungen zu erarbeiten, wurden alle Dienste pauschal gesperrt. Wer jetzt digitale Gesundheitsangebote nutzen möchte, für die eine Authentifizierung notwendig ist, muss persönlich in einer Filiale der Krankenkasse oder der Post erscheinen, Damit wird eine unnötige Hürde auf dem Weg zu einer digitalen Gesundheitsversorgung aufgebaut“[1]Bitkom zum Stopp des Video-Ident-Verfahrens bei Krankenkassen.
Das sehen indes nicht alle so, wie Christian Kahlo:
Vorausgegangen war der Entscheidung der gematik das Hacking des Video-Ident-Verfahrens bei der Einrichtung einer elektronischen Patientenakte durch Martin Tschirisch vom Chaos Computer Club (CCC)[2]Praktischer Angriff auf Video-Ident Demonstration inhärenter Schwächen der videobasierten Echtheitsprüfung physischer ID-Dokumente[3]Vgl. dazu: Chaos Computer Club hackt Videoident-Verfahren. “In einem ersten Schritt wurde ein ID-Dokument eines gesetzlich Versicherten, der bisher keine ePA beantragt hatte, wie zuvor beschrieben abgefilmt[4]“Zunächst wird das Quell-Dokument auf einem ArUCo-Markerboard (S. Garrido-Jurado, 2014) fixiert und aus möglichst vielen Winkeln unter konstanten Beleuchtungsbedingungen von einer … Continue reading. Zudem lag dessen Krankenversichertennummer vor. In einem zweiten Schritt wurde für den Versicherten unter Angabe dieser Daten sowohl ein Zugang zur Online-Geschäftsstelle von dessen Krankenkasse als auch eine ePA beantragt und die dabei eingesetzte „Videoidentifizierung mit automatisiertem Verfahren“ mit der zuvor beschriebenen Vorgehensweise überwunden. In einem dritten Schritt wurden für den Versicherten über die Online-Geschäftsstelle eine Patientenquittung nach § 305 SGB V angefordert und die dort genannten Leistungserbringer gebeten, Behandlungsunterlagen in die ePA einzustellen, nachdem diesen Leistungserbringern zuvor die Berechtigung für den Zugriff auf die ePA des Versicherten erteilt wurde. Im Ergebnis konnte Zugriff auf weitreichende Gesundheitsdaten des Versicherten, darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original Behandlungsunterlagen genommen werden”.
References
| ↑1 | Bitkom zum Stopp des Video-Ident-Verfahrens bei Krankenkassen |
|---|---|
| ↑2 | Praktischer Angriff auf Video-Ident Demonstration inhärenter Schwächen der videobasierten Echtheitsprüfung physischer ID-Dokumente |
| ↑3 | Vgl. dazu: Chaos Computer Club hackt Videoident-Verfahren |
| ↑4 | “Zunächst wird das Quell-Dokument auf einem ArUCo-Markerboard (S. Garrido-Jurado, 2014) fixiert und aus möglichst vielen Winkeln unter konstanten Beleuchtungsbedingungen von einer feststehenden Kamera in einem Video aufgenommen, die auch später für den Angriff verwendet werden soll. Dabei wird der Mittelpunkt des ID-Dokuments mit der Kamera fokussiert und das Markerboard mit dem IDDokument gegenüber der Kamera um die Längs- und Querachse um bis zu 90° gekippt. Aus den Einzelbildern des Videos wird anschließend das ID-Dokument freigestellt und perspektivisch entzerrt. Im Ergebnis liegen nun rektifizierte Aufnahmen des Quell-Dokuments aus allen relevanten Kamerawinkeln vor. Die vom Quell-Dokument auf das Ziel-Dokument zu übertragenden Bildausschnitte, beispielsweise ein Ausschnitt des biometrischen Fotos, werden anschließend händisch durch einmaliges Zeichnen einer Bildmaske ausgewählt” |
[…] Vor einigen Wochen hatte der CCC Schwachstellen im Video-Identverfahren aufgedeckt[2]CCC offenbart Schwachstellen im “Video-Ident-Verfahren”, woraufhin die Gematik es für die TI aussetzte[3]Bitkom kritisiert Entscheidung der gematik zur Aussetzung von Video-Ident – und erntet Widerspruch. […]
[…] Die Video-Identifizierung gilt in Datenschützerkreisen als Auslaufmodell. In seinem Tätigkeitsbericht 2017-2018 stellte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kleber, fest: “Die Videoidentifizierung weist nicht das gleiche Sicherheitsniveau auf, wie die Identifizierung unter Anwesenden. Eine Dokumentenprüfung ist nach dem heutigen Stand der Technik in einem Videokanal nicht vollumfänglich möglich. Daher kann bei einer Videoidentifizierung noch schlechter als bei der Identifizierung vor Ort unterschieden werden, ob ein Ausweisdokument echt ist oder eine Fälschung vorliegt (vgl. hierzu auch unter Nr. 6.1.2). Da die Integrität der zur Identifizierung herangezogenen Daten maßgeblich für jedwede sichere Identifizierungsmethode ist, bei der Videoidentifizierung aber nicht erfüllt werden kann, lehne ich diese Identifizierungsmethode ab“[3]Video-Ident schon bald Geschichte?. Video-Ident sei “Broken by design”, so Christian Wölbert[4]Video-Ident: Broken by design[5]CCC offenbart Schwachstellen im “Video-Ident-Verfahren”[6]Bitkom kritisiert Entscheidung der gematik zur Aussetzung von Video-Ident – und erntet Widerspruch. […]