Am 09.08.2022 untersagte die gematik bis auf weiteres den Einsatz von Video-Ident Verfahren für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematik-Infrastruktur (TI).
Grund hierfür war der Verdacht auf Sicherheitslücken, der durch einen Bericht des CCC ausgelöst worden war. Dieser hatte die erfolgreiche Umgehung von Video-Ident Verfahren durch die Kombination verschiedener Angriffs-Techniken beschrieben. Laut Bericht wurden Video-Ident Verfahren von über sechs Anbietern ausgetrickst, die Angriffe jedoch von diesen nicht erkannt. Genauere Informationen zu den konkreten Sicherheitslücken bei den jeweiligen Anbietern wurden nicht veröffentlicht.
Video-Ident Verfahren kommen im Gesundheitswesen insbesondere im Rahmen der Authentifizierung für den Zugriff auf die elektronischen Patientenakte (ePA) zum Einsatz (vgl. § 336 Abs.2 Nr.2 SGB V), werden aber beispielsweise auch bei der Beantragung eines elektronischen Heilberufsausweises (eHBA) für die Identifizierung von Approbierten genutzt.
Sicherheit der Video-Ident Verfahren
Dass das Video-Ident Verfahren nicht den gleichen Sicherheitsstandard erreicht wie ein Ausweisverfahren vor Ort oder das Online-Ausweisverfahren mit dem Personalausweis, war bereits vor dem Vorfall bekannt. Bei einem Video-Ident Verfahren kommuniziert die zu identifizierende Person mit einem Mitarbeiter via Videokonferenz und hält ihren Ausweis gut sichtbar vor die Kamera. Der Mitarbeiter überprüft die Echtheit des Ausweisdokuments durch eine Prüfung der Sicherheitsmerkmale, gleicht die Ausweisdaten ab und bestätigt im Anschluss die Identität. Die Identitätsprüfung erfolgt damit ohne direkten Zugriff auf das Identitätsdokument, sodass eine Manipulation des Dokuments schwerer erkennbar ist.
Dieses Risiko realisierte sich auch bei Foto-Ident Verfahren, bei denen in mehreren Fällen gefälschte Personalausweise nicht erkannt wurden. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit wies schon länger auf die Schwachstellen des Video-Ident Verfahrens und dessen Ungeeignetheit für den Bereich des Gesundheitswesens aufgrund der Sensibilität der Gesundheitsdaten hin. Da bislang jedoch noch keine Angriffe bekannt waren, handelte es sich hierbei nur um ein abstraktes Risiko.
Nachdem sich das Risiko durch den Hackerangriff des CCC realisierte, wird das Verfahren von der gematik mit den bestehenden Schwachstellen nicht mehr akzeptiert.
Rechtliche Kompetenz der gematik
Die gematik ist staatlich mit der Aufgabe beliehen, die Telematikinfrastruktur (TI) zu betreiben und weiterzuentwickeln. Dafür trifft sie Zulassungsentscheidungen über die Komponenten und Dienste der TI einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste (vgl. § 311 Abs.1 Nr.4 SGB V). Zudem überwacht die gematik die in der TI genutzten Identifizierungs- und Authentifizierungsverfahren und gibt bei Sicherheitsmängeln verbindliche Maßnahmen vor (vgl. § 311 Abs.1 Nr.9 SGBV). Auf dieser Grundlage kann die gematik die Nutzung des Video-Ident Verfahrens untersagen.
Die gematik selbst hat keine Festlegungen zu Identifizierungsverfahren im Gesundheitswesen herausgegeben. Die Sicherheitsanforderungen an diese Verfahren werden somit nicht näher konkretisiert. Für den Zugriff auf die Gesundheitsdaten in der ePA ist die Authentifizierung durch ein “geeignetes technisches Verfahren” (§336 Abs.1 S.1 SGB V) notwendig, das einen “hohen Sicherheitsstandard” gewährleisten muss, wenn der Zugriff ohne die elektronische Gesundheitskarte erfolgt (vgl. §336 Abs.2 Nr.2 SGB V). Es gibt jedoch im deutschen Gesundheitswesen keine genaueren Bestimmungen dazu, welche Authentifizierungsverfahren einen “hohen Sicherheitsstandard” gewährleisten. Angesichts dieser Informationslage kam die Untersagung des Video-Ident Verfahrens für viele Krankenkassen und Video-Ident Anbieter überraschend.
Durch die Untersagung des Video-Ident Verfahrens müssen Krankenkassen auf andere Identifizierungsverfahren umsteigen. Bei der AOK war das Video-Ident Verfahren beispielsweise bislang die einzige Möglichkeit, um sich für die Nutzung der „AOK mein Leben“-App zu authentifizieren, die den Versicherten Zugriff auf ihre ePA verschaffte. Nun musste ein Post-Ident Verfahren für die Authentifizierung eingerichtet werden. Die Umstellung bereitet den Krankenkassen derzeit keine weiteren Probleme.
Das unerwartete Verbot wurde insbesondere von Bitkom kritisiert. Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder bemängelte das Verbot aufgrund von dessen Generalität und äußerte die Ansicht, dass die gematik konkret auf die Anbieter hätte zugehen sollen, bei denen Sicherheitslücken vermutet werden, um mit ihnen an einer gemeinsamen Lösung zu arbeiten.
Konflikt zwischen Sicherheit und Nutzerfreundlichkeit
Durch die Untersagung von Video-Ident Verfahren stößt der bekannte Konflikt zwischen Sicherheit und Nutzerfreundlichkeit bei Authentifizierungsverfahren wieder an die Oberfläche. Gesundheitsdaten formen eine besondere Kategorie personenbezogener Daten (Art.9 Abs.1 DSGVO) und sind besonders schutzwürdig. Die Untersagung des Video-Ident Verfahrens liegt der Einschätzung zu Grunde, dass Video-Ident Verfahren angesichts der Sensibilität der Daten im Gesundheitssektor nicht sicher genug sind. Die Authentifizierungsverfahren, die von der Untersagung nicht betroffen wurden, sind für Verbraucher jedoch hürdenreicher und stellen laut Bitkom keine richtige Alternative dar. So können beispielweise alle Verfahren, die eine Prüfung des Ausweises vor Ort erfordern, oder die Online-Ausweisfunktion des Personalausweises verwenden, weiter genutzt werden. Das Online-Ausweisverfahren mit dem Personalausweis wird nach wie vor als zu kompliziert empfunden. Stand Januar bis April 2022 betrug die Abbruchrate bei dem Online-Ausweisverfahren zwischen 44 % bis 47 %. Identifizierungsverfahren, die vor Ort stattfinden, erfordern einen erhöhten Zeitaufwand für den Nutzer. Das Video-Ident Verfahren, das zügig und bequem von zuhause aus durchgeführt werden kann, ist demgegenüber deutlich nutzerfreundlicher. Die Untersagung der gematik bedeutet jedoch kein endgültiges Aus für das Video-Ident Verfahren. Sobald die Sicherheitslücken nachweislich überwunden werden, kann über eine Wiederzulassung nachgedacht werden.
Auswirkungen auf den Finanzsektor? Die BaFin wartet derzeit noch ab
Video-Ident Verfahren werden neben dem Gesundheitssektor auch im Finanzsektor viel genutzt. Dort müssen die Video-Ident Verfahren den Anforderungen des BaFin Rundschreibens 3/2017 (GW) entsprechen, damit sie als zulässige Verfahren nach §13 Abs.1 Nr.2 GwG anerkannt werden. Die Sicherheitsbedenken an dem Video-Ident Verfahren beschäftigen somit auch diesen Sektor. Momentan wartet die BaFin jedoch auf nähere Details zu den Angriffen, um die Gefahrenlage besser beurteilen zu können. Derzeit hat die Untersagung von Video-Ident Verfahren durch die gematik somit keine unmittelbaren Auswirkungen auf den Finanzsektor. Zudem werden Video-Ident Verfahren nach wie vor im europäischen Kontext weiter zum Einsatz kommen. Die neue ETSI Spezifikation TS 119 461 (ETSI, 2021) definiert Sicherheitsmaßnahmen für Video-Ident Verfahren und die Verfügungen, welche die Identifizierung mittels Video- und Video-Auto-Ident Verfahren auf Basis von Art. 24 Abs.1 lit d.) eIDASeIDAS Kurzdefinition: Die eIDAS Verordnung ist eine Verordnu… More zulassen. Diese wurden letztes Jahr verlängert.