Von Ralf Keuper

Der Branchenverband der deutschen Informations- und Telekommunikationsbranche (Bitkom) hat die Entscheidung der gematik, das Video-Ident-Verfahren für die Telematikinfrastruktur auszusetzen, scharf kritisiert. Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder dazu: “Mit dem pauschalen und unangekündigten Verbot von Video-Ident-Verfahren bei Krankenkassen hat die Gematik den Patientinnen und Patienten in Deutschland einen Bärendienst erwiesen. Statt Anbieter mit Verdacht auf Sicherheitslücken anzusprechen und Lösungen zu erarbeiten, wurden alle Dienste pauschal gesperrt. Wer jetzt digitale Gesundheitsangebote nutzen möchte, für die eine Authentifizierung notwendig ist, muss persönlich in einer Filiale der Krankenkasse oder der Post erscheinen, Damit wird eine unnötige Hürde auf dem Weg zu einer digitalen Gesundheitsversorgung aufgebaut[1]Bitkom zum Stopp des Video-Ident-Verfahrens bei Krankenkassen.

Das sehen indes nicht alle so, wie Christian Kahlo:

Vorausgegangen war der Entscheidung der gematik das Hacking des Video-Ident-Verfahrens bei der Einrichtung einer elektronischen Patientenakte durch Martin Tschirisch vom Chaos Computer Club (CCC)[2]Praktischer Angriff auf Video-Ident Demonstration inhärenter Schwächen der videobasierten Echtheitsprüfung physischer ID-Dokumente[3]Vgl. dazu: Chaos Computer Club hackt Videoident-Verfahren. “In einem ersten Schritt wurde ein ID-Dokument eines gesetzlich Versicherten, der bisher keine ePA beantragt hatte, wie zuvor beschrieben abgefilmt[4]“Zunächst wird das Quell-Dokument auf einem ArUCo-Markerboard (S. Garrido-Jurado, 2014) fixiert und aus möglichst vielen Winkeln unter konstanten Beleuchtungsbedingungen von einer … Continue reading. Zudem lag dessen Krankenversichertennummer vor. In einem zweiten Schritt wurde für den Versicherten unter Angabe dieser Daten sowohl ein Zugang zur Online-Geschäftsstelle von dessen Krankenkasse als auch eine ePA beantragt und die dabei eingesetzte „Videoidentifizierung mit automatisiertem Verfahren“ mit der zuvor beschriebenen Vorgehensweise überwunden. In einem dritten Schritt wurden für den Versicherten über die Online-Geschäftsstelle eine Patientenquittung nach § 305 SGB V angefordert und die dort genannten Leistungserbringer gebeten, Behandlungsunterlagen in die ePA einzustellen, nachdem diesen Leistungserbringern zuvor die Berechtigung für den Zugriff auf die ePA des Versicherten erteilt wurde. Im Ergebnis konnte Zugriff auf weitreichende Gesundheitsdaten des Versicherten, darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original Behandlungsunterlagen genommen werden”.

References

References
1 Bitkom zum Stopp des Video-Ident-Verfahrens bei Krankenkassen
2 Praktischer Angriff auf Video-Ident Demonstration inhärenter Schwächen der videobasierten Echtheitsprüfung physischer ID-Dokumente
3 Vgl. dazu: Chaos Computer Club hackt Videoident-Verfahren
4 “Zunächst wird das Quell-Dokument auf einem ArUCo-Markerboard (S. Garrido-Jurado, 2014) fixiert und aus möglichst vielen Winkeln unter konstanten Beleuchtungsbedingungen von einer feststehenden Kamera in einem Video aufgenommen, die auch später für den Angriff verwendet werden soll. Dabei wird der Mittelpunkt des ID-Dokuments mit der Kamera fokussiert und das Markerboard mit dem IDDokument gegenüber der Kamera um die Längs- und Querachse um bis zu 90° gekippt. Aus den Einzelbildern des Videos wird anschließend das ID-Dokument freigestellt und perspektivisch entzerrt. Im Ergebnis liegen nun rektifizierte Aufnahmen des Quell-Dokuments aus allen relevanten Kamerawinkeln vor. Die vom Quell-Dokument auf das Ziel-Dokument zu übertragenden Bildausschnitte, beispielsweise ein Ausschnitt des biometrischen Fotos, werden anschließend händisch durch einmaliges Zeichnen einer Bildmaske ausgewählt”