Berlin (pag) – Der Hack des Video-Ident-Verfahrens durch den Chaos Computer Club (CCC) hat die Krankenkassen kalt erwischt. Durch diese Methode konnten Versicherte unter anderem ihre elektronische Patientenakte (ePA) bei ihrer GKV beantragen. Konnten. Denn nach Bekanntwerden des Vorfalls verbietet die gematik Video-Ident in der Telematikinfrastruktur (TI).
Erfolgreicher Hack mit einfacher Technik
Der CCC-Sicherheitsforscher Martin Tschirsich hat die Schwachstelle des Verfahrens anhand der ePA festgestellt. Er will sich Zugriff auf die Gesundheitsdaten einer eingeweihten Testperson verschafft haben, „darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen“, berichtet der CCC. Dabei habe er „Uralt-Technik“ und Open-Source-Software verwendet. „Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar“, schreibt der CCC. Das Missbrauchsrisiko sei hoch.
Die gematik verbietet daraufhin Video-Ident in der TI. Anbieter müssten nun konkrete Nachweise erbringen, dass ihre Verfahren sicher seien, heißt es. Erst dann könnten sie wieder zugelassen werden.
Aus für das Video-Ident-Verfahren?
Für Tschirsich wäre es nun „fahrlässig“, weiter auf Video-Ident zu setzen. Zudem müssten Verantwortliche abwägen, wie mit bereits durchgeführten Identitätsfeststellungen umzugehen sei.
Das wolle der AOK-Bundesverband leisten. Bisher gebe es aber keine Anzeichen, dass ihre Video-Ident-Verfahren durch die CCC-Methode überlistet werden könne, teilt der Verband mit. „Wir prüfen aber, ob es Auffälligkeiten bei durchgeführten Video-Ident-Vorgängen gibt, die eine Nachidentifizierung im Einzelfall notwendig machen.“ Mit der gematik stehe man dazu im Austausch. „Eine grundsätzliche Nachidentifikation halten wir nicht für notwendig.“ Ebenfalls in Prüfung sei die zeitnahe Umsetzung alternativer versichertenfreundlicher Identifikationsmöglichkeiten.
Der GKV-Spitzenverband erklärt auf Nachfrage, dass derzeit von allen Seiten untersucht werde, „ob und wie die Schwachstellen, die der CCC offengelegt hat, beseitigt werden können“. Bis dahin könne man nichts zur Zukunft des Video-Ident-Verfahrens sagen.
Einen ausführlichen Bericht über den Hack hat der Chaos Computer Club online veröffentlicht.
Der Beitrag ist im Original erschienen auf Univadis.de.
Credits:
Photographer: © Nastassia Samal
Lead Image: Dreamstime
Medscape Nachrichten © 2022 WebMD, LLC
Diesen Artikel so zitieren: Nach einem Hack: Ende des Video-Ident-Verfahrens für gesetzlich Versicherte in Sicht? - Medscape - 23. Aug 2022.
Kommentar