 |  | Ev Tebroke |
 |
10.08.2022 15:00 Uhr |
Bislang konnten sich Versicherte etwa über die Smartphone-Kamera per Video identifizieren und so bei ihrer Krankenkasse für die Nutzung der Elektronischen Patientenakte (EPA) legitimieren. Das Verfahren wurde aufgrund von Sicherheitslücken von der Gematik gestoppt. / Foto: Adobe Stock/oatawa
Die Gematik hat den Krankenkassen das Video-Ident-Verfahren zur Legitimierung von Diensten innerhalb der Telematik-Infrastruktur (TI) untersagt. Mit dem Verfahren haben sich Versicherte bislang etwa für einen Zugang zur elektronischen Patientenakte (EPA) legitimieren können. Hintergrund für den Stopp ist ein Sicherheitsbericht des Chaos Computer Clubs (CCC). Demnach ist es einem Sicherheitsforscher mit einfachsten Mitteln gelungen, innerhalb der TI elektronische Patientenakten für Dritte anzulegen sowie Zugang zu anderen EPAs zu erhalten.
»Sicherheitsforscher des Chaos Computer Clubs (CCC) haben erfolgreich die gängigen Lösungen für videobasierte Online-Identifizierung (Video-Ident) überwunden«, heißt es auf der Internetseite des CCC. »Dabei haben sie sich unter anderem Zugriff auf die elektronische Patientenakte einer Testperson verschafft.« Der entsprechende Sicherheitsbericht, der die Schwächen demonstriert, ist nun veröffentlicht.
Da Video-Ident seit 2021 für den Zugriff auf die EPA und inzwischen auch E-Rezept im Einsatz sei, konnte der Sicherheitsforscher »im Prinzip für eine beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine elektronische Patientenakte (EPA) eröffnen und darüber deren in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern«, heißt es auf der Internetseite der Computerexperten. Der CCC hatte offenbar im Vorfeld die Gematik über die Sicherheitslücke informiert.
Die Gematik hatte am 9. August das sofortige Aussetzen des Video-Ident-Verfahrens angeordnet. »Externe Sicherheitsexperten hätten die Gematik »detailliert, glaubwürdig und nachvollziehbar über einen erfolgreichen Angriff auf das von den Krankenkassen genutzte Video-Ident-Verfahren hingewiesen«, teilte die Gematik mit. Das Ausmaß dieser Schwachstellen überschreite das akzeptierbare Risiko des Video-Ident-Verfahrens. Daher werde das Verfahren als »nicht mehr zulässig erklärt«. Die Gematik sucht aktuell zusammen mit dem Bundesgesundheitsministerium (BMG) nach alternativen Lösungen.
Als Identifizierungsverfahren bleiben den Versicherten zunächst nur noch die Prüfung des Ausweises vor Ort (Krankenkassen-Filiale oder Postident bei Zustellung) oder die Nutzung der Online-Ausweisfunktion. Über die Wiederzulassung von Video-Ident-Verfahren könne erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind, so die Gematik.
Bislang konnten sich Versicherte bei ihrer Krankenkasse per Video mithilfe des Personalausweises etwa zur EPA-Nutzung und zur Verwaltung des E-Rezepts legitimieren. So bot etwa die TK über diesen Weg den Zugang zur TI-Applikation TK-Safe. Auch die Barmer nutzte diesen Legitimationsweg für den EPA-Zugang. Das Verfahren, das sofort bis auf Weiteres ausgesetzt sei, sei monatlich im Schnitt rund 75.000 mal genutzt worden, so die Barmer auf Anfrage.
Das Verfahren basiert auf folgenden rechtlichen Vorgaben: Nach § 336 Absatz 1 SGB V ist jeder Versicherte berechtigt, barrierefrei etwa über das Smartphone auf die EPA, den Medikationsplan, das E-Rezept und die elektronische Patientenkurzakte mittels seiner elektronischen Gesundheitskarte oder seiner digitalen Identität zuzugreifen, wenn er sich für diesen Zugriff jeweils durch ein geeignetes technisches Verfahren authentifiziert hat.
Die Video-Identifizierung wird auch in anderen sensiblen Bereich zur Authentifizierung genutzt, etwa von Banken, um Kunden für das Online-Banking zu legitimieren. Nutzer müssen dazu ihre Ausweisdokumente in die Video- oder Smartphone-Kamera halten und parallel ihr Gesicht zeigen. Der CCC fordert nun grundsätzlich, »diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht«.
Und was bedeutet die Situation nun für die Versicherten, die bereits über das Video-Ident-Verfahren in der TI angemeldet sind? Müssen diese den Missbrauch ihrer Daten fürchten? Auf Nachfrage bei der Gematik heißt es dazu: »Die Gematik hält es derzeit für nicht erforderlich, pauschal alle bereits zurückliegenden Identifizierungsvorgänge zu hinterfragen. Dies sollte nur geschehen, wenn die betreffende Krankenkasse konkrete Verdachtsmomente bei einer bereits durchgeführten Identifizierung hat.«
Das Papier-Rezept ist ein Auslaufmodell. Mit dem E-Rezept sollen alle Arzneimittel-Verordnungen über die Telematikinfrastruktur abgewickelt werden. Wir berichten über alle Entwicklungen bei der Einführung des E-Rezeptes. Eine Übersicht über unsere Berichterstattung finden Sie auf der Themenseite E-Rezept.
