Experten finden Schwachstelle

Sicherheitslücke: Die FAQ der Gematik

, Uhr
Berlin -

Die Gematik hat gestern die weitere Nutzung von VideoIdent-Verfahren für die TI-Identifizierung gestoppt. Externe Sicherheitsexperten hätten „detailliert, glaubwürdig und nachvollziehbar über einen erfolgreichen Angriff auf das von den Krankenkassen genutzte VideoIdent-Verfahren hingewiesen“. Die Gematik hat die aus ihrer Sicht wichtigsten Fragen zum Verfahren zusammengefasst.

Die FAQ der Gematik im Wortlaut:

Was ist das VideoIdent-Verfahren?

Es dient der Identifizierung natürlicher Personen durch eine persönliche Authentifizierung im Wege der Online-Videokonferenz, sowohl mit als auch ohne Teilnahme eines menschlichen Vermittlers (Operator).

Wofür wurde das VideoIdent-Verfahren im Kontext der TI eingesetzt?

Versicherte konnten sich bisher gegenüber ihrer Krankenkasse insbesondere im Zusammenhang mit der elektronischen Gesundheitskarte und der "alternativen Versicherungsidentität" nach § 336 Abs. 2 SGB V authentifizieren, um Anwendungen der TI nutzen zu können – etwa die elektronische Patientenakte (ePA) oder das E- Rezept.

Was ist das Problem beim VideoIdent-Verfahren im TI-Kontext?

Externe Sicherheitsexperten haben die gematik nun detailliert, glaubwürdig und nachvollziehbar über einen erfolgreichen Angriff auf das von den Krankenkassen genutzte VideoIdent-Verfahren hingewiesen. Die der gematik vorliegenden Nachweise der Sicherheitsexperten zeigen demnach tatsächlich durchgeführte Angriffe gegen existierende Dienstanbieter. Die Ausnutzbarkeit der grundsätzlichen Schwachstellen des VideoIdent-Verfahrens überschreitet nach Einschätzung der gematik in dieser neuen Qualität das akzeptierbare Risiko des VideoIdent-Verfahrens. Aufgrund dessen ist eine sofortige Beseitigung dieser Sicherheitslücke notwendig und somit ein Stopp des VideoIdent-Verfahrens im Kontext der TI und ihren Anwendungen.

Welche Alternativen sprich anderen Authentifizierungsverfahren gibt es?

Alle anderen Verfahren, welche die Online-Ausweisfunktion nutzen, sind ebenso weiterhin zulässig wie jene Verfahren, die eine Prüfung des Ausweises vor Ort beinhalten (z. B. in der Geschäftsstelle einer Krankenkasse oder mittels "POSTIDENT Zustellung" der Deutschen Post AG). Parallel dazu arbeiten gematik und Bundesgesundheitsministerium daran, zusätzliche Verfahren bereitzustellen, die eine vor Ort-Begutachtung des Ausweises beinhalten.

Die gematik hat für die Dienstanbieter das Dokument, welches die Identifizierung bei der Ausgabe der eGK festlegt, entsprechend angepasst und auf dem Fachportal veröffentlicht.

Woher weiß die/der Versicherte, welches (alternative) Authentifizierungsverfahren ihre/seine Krankenkasse nutzt?

Dies muss die/der Versicherte bitte bei der zuständigen Krankenkasse erfragen.

Welche Rolle und Befugnisse hat die gematik in diesem Zusammenhang?

Die gematik hat vom Gesetzgeber u. a. die Aufgabe übertragen bekommen, die Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel – insbesondere Karten und Ausweise – im Benehmen mit den Kartenherausgebern zu koordinieren, zu überwachen und verbindliche Maßnahmen vorzugeben, die bei Sicherheitsmängeln zu ergreifen sind.

Die gematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den TI-Zugang sperren oder den weiteren TI-Zugang nur unter der Bedingung gestatten, dass die von der gematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden. Sie kann Anbietern, die eine Zulassung oder Bestätigung für Komponenten oder Dienste der Telematikinfrastruktur besitzen, zur Beseitigung oder Vermeidung von Störungen verbindliche Anweisungen erteilen.

Welche Auswirkungen hat die Aussetzung des VideoIdent-Verfahrens auf die TI und ihre Anwendungen?

Die nachweislich gravierenden Sicherheitsmängel sind nicht mit dem hohen Schutzbedarf bei der Digitalisierung des Gesundheitswesens in Einklang zu bringen. Über die Wiederzulassung von VideoIdent-Verfahren kann erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind. Bis dahin stehen jedoch weitere ID-Verfahren zur Verfügung, s. o. bei den Alternativen, die weiterhin genutzt werden können.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
Neuere Artikel zum Thema
Mehr zum Thema
Mehr aus Ressort
Zweifel an Nutzen und Datensicherheit
Umfrage: Akzeptanz für ePa sinkt
Nur 1 Prozent aller Einlösungen
CardLink: Gedisa feiert 50.000 E-Rezepte
Opt-Out war politische Entscheidung
ePA: Datenschützerin fordert leichteren Einspruch

APOTHEKE ADHOC Debatte