gematik verbietet Videoident-Verfahren

Die Krankenkassen müssen das Videoident-Verfahren daher ab sofort aussetzen, teilte die gematik gestern mit. Aufgrund einer der gematik zugänglich gemachten sicherheitstechnischen Schwachstelle in diesem Verfahren sei diese Verfügung "unumgänglich". Die gematik handele hier "im Rahmen ihrer rechtlichen und verwaltungsgemäßen Befugnisse und vor dem Hintergrund des hohen Schutzbedarfs bei der Digitalisierung des Gesundheitswesens".

CCC-Sicherheitsforscher hatten zuvor die gängigen Lösungen für Videoident ausgehebelt und die gematik darüber informiert. Unter anderem hatten sie sich Zugriff auf die elektronische Patientenakte (ePA) einer Testperson verschafft.

Im Prinzip hätte er nach eigener Aussage für eine "beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine ePA eröffnen und darüber deren in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern" können.

Videoident ist seit 2021 für den Zugriff auf ePA und mittlerweile auch auf das E-Rezept im Einsatz. Der CCC fordert daher, diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotenzial besteht.

Weitere Identifizierungsverfahren seien laut gematik aber nicht betroffen und könnten weiterhin genutzt werden: Darunter fallen alle Verfahren, die eine Prüfung des Ausweises vor Ort beinhalten (etwa in der Filiale der Krankenkasse oder Postident bei der Zustellung), sowie alle Verfahren unter Nutzung der Online-Ausweisfunktion. Parallel dazu arbeiteten gematik und Bundesgesundheitsministerium daran, zusätzliche Verfahren bereitzustellen, die eine vor Ort-Begutachtung des Ausweises beinhalten.

Über die Wiederzulassung von Videoident-Verfahren könne erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind.