Nach Chaos Computer Club-Hack

gematik verbietet Videoident-Verfahren

ck
Praxis
Die gematik untersagt ab sofort die Nutzung von Videoident-Verfahren für die Ausgabe von Identifizierungsmitteln in der Telematikinfrastruktur (TI). Der Chaos Computer Club (CCC) hatte die Technologie zuvor gehackt.

Die Krankenkassen müssen das Videoident-Verfahren daher ab sofort aussetzen, teilte die gematik gestern mit. Aufgrund einer der gematik zugänglich gemachten sicherheitstechnischen Schwachstelle in diesem Verfahren sei diese Verfügung "unumgänglich". Die gematik handele hier "im Rahmen ihrer rechtlichen und verwaltungsgemäßen Befugnisse und vor dem Hintergrund des hohen Schutzbedarfs bei der Digitalisierung des Gesundheitswesens".

das Videoident-Verfahren der Krankenkassen wurde geknackt

CCC-Sicherheitsforscher hatten zuvor die gängigen Lösungen für Videoident ausgehebelt und die gematik darüber informiert. Unter anderem hatten sie sich Zugriff auf die elektronische Patientenakte (ePA) einer Testperson verschafft.

Im Prinzip hätte er nach eigener Aussage für eine "beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine ePA eröffnen und darüber deren in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern" können.

Videoident ist seit 2021 für den Zugriff auf ePA und mittlerweile auch auf das E-Rezept im Einsatz. Der CCC fordert daher, diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotenzial besteht.

Weitere Identifizierungsverfahren seien laut gematik aber nicht betroffen und könnten weiterhin genutzt werden: Darunter fallen alle Verfahren, die eine Prüfung des Ausweises vor Ort beinhalten (etwa in der Filiale der Krankenkasse oder Postident bei der Zustellung), sowie alle Verfahren unter Nutzung der Online-Ausweisfunktion. Parallel dazu arbeiteten gematik und Bundesgesundheitsministerium daran, zusätzliche Verfahren bereitzustellen, die eine vor Ort-Begutachtung des Ausweises beinhalten.

Über die Wiederzulassung von Videoident-Verfahren könne erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind.

"Mit Open Source und ein bisschen roter Aquarellfarbe"

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.