Video-Ident-Verfahren für EPA-Nutzung gestoppt |
 |  | Ev Tebroke |
 |
10.08.2022 15:00 Uhr |
Bislang konnten sich Versicherte etwa über die Smartphone-Kamera per Video identifizieren und so bei ihrer Krankenkasse für die Nutzung der Elektronischen Patientenakte (EPA) legitimieren. Das Verfahren wurde aufgrund von Sicherheitslücken von der Gematik gestoppt. / Foto: Adobe Stock/oatawa
Die Gematik hat den Krankenkassen das Video-Ident-Verfahren zur Legitimierung von Diensten innerhalb der Telematik-Infrastruktur (TI) untersagt. Mit dem Verfahren haben sich Versicherte bislang etwa für einen Zugang zur elektronischen Patientenakte (EPA) legitimieren können. Hintergrund für den Stopp ist ein Sicherheitsbericht des Chaos Computer Clubs (CCC). Demnach ist es einem Sicherheitsforscher mit einfachsten Mitteln gelungen, innerhalb der TI elektronische Patientenakten für Dritte anzulegen sowie Zugang zu anderen EPAs zu erhalten.
»Sicherheitsforscher des Chaos Computer Clubs (CCC) haben erfolgreich die gängigen Lösungen für videobasierte Online-Identifizierung (Video-Ident) überwunden«, heißt es auf der Internetseite des CCC. »Dabei haben sie sich unter anderem Zugriff auf die elektronische Patientenakte einer Testperson verschafft.« Der entsprechende Sicherheitsbericht, der die Schwächen demonstriert, ist nun veröffentlicht.
Da Video-Ident seit 2021 für den Zugriff auf die EPA und inzwischen auch E-Rezept im Einsatz sei, konnte der Sicherheitsforscher »im Prinzip für eine beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine elektronische Patientenakte (EPA) eröffnen und darüber deren in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern«, heißt es auf der Internetseite der Computerexperten. Der CCC hatte offenbar im Vorfeld die Gematik über die Sicherheitslücke informiert.
Die Gematik hatte am 9. August das sofortige Aussetzen des Video-Ident-Verfahrens angeordnet. »Externe Sicherheitsexperten hätten die Gematik »detailliert, glaubwürdig und nachvollziehbar über einen erfolgreichen Angriff auf das von den Krankenkassen genutzte Video-Ident-Verfahren hingewiesen«, teilte die Gematik mit. Das Ausmaß dieser Schwachstellen überschreite das akzeptierbare Risiko des Video-Ident-Verfahrens. Daher werde das Verfahren als »nicht mehr zulässig erklärt«. Die Gematik sucht aktuell zusammen mit dem Bundesgesundheitsministerium (BMG) nach alternativen Lösungen.
Als Identifizierungsverfahren bleiben den Versicherten zunächst nur noch die Prüfung des Ausweises vor Ort (Krankenkassen-Filiale oder Postident bei Zustellung) oder die Nutzung der Online-Ausweisfunktion. Über die Wiederzulassung von Video-Ident-Verfahren könne erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind, so die Gematik.
Das Papier-Rezept ist ein Auslaufmodell. Mit dem E-Rezept sollen alle Arzneimittel-Verordnungen über die Telematikinfrastruktur abgewickelt werden. Wir berichten über alle Entwicklungen bei der Einführung des E-Rezeptes. Eine Übersicht über unsere Berichterstattung finden Sie auf der Themenseite E-Rezept.
