Healthcare IT


Nach Hack-Nachweis

Keine Video-Identifizierung für Krankenkassen

16.08.2022
Nachdem der Chaos Computer Club Sicherheitsmängel im Videoident-Verfahren demonstriert hat, werden sie nicht mehr von deutschen Krankenkassen eingesetzt.
Außerhalb Deutschlands wird Video-Identifizierung bereit bei digitalen Sprechstunden eingesetzt.
Außerhalb Deutschlands wird Video-Identifizierung bereit bei digitalen Sprechstunden eingesetzt.
Foto: Blue Planet Studio - shutterstock.com

Der zuständige IT-Dienstleister Gematik untersagte bis auf Weiteres ihre Nutzung. Ein Sprecher des Bundesinnenministeriums sagte am Mittwoch, man nehme die Situation auch über die Anwendung bei den KrankenkassenKrankenkassen hinaus sehr ernst. Das Verfahren werde "sehr sorgfältig" geprüft. Diese Prüfung beziehe sich auch auf die Fortsetzung der Nutzung dieser Technologie. Alles zu Healthcare IT auf CIO.de

Bei den Videoident-Verfahren laden Nutzerinnen und Nutzer ein Video von sich und ein Ausweisdokument hoch, das von menschlichen Prüfern oder Software abgeglichen wird. Die Systeme wurden bisher zum Beispiel bei der Anmeldung für Apps der KrankenkassenKrankenkassen mit sensiblen Nutzerdaten, bei der Anmeldung beim Onlinebanking oder auch bei Carsharing-Diensten verwendet. Top-Firmen der Branche Gesundheit

Warnung vor möglichen Schwachstellen gab es bereits seit einiger Zeit. Der Chaos Computer Club beschrieb nun in einem ausführlichen Papier, wie sechs Videoident-Verfahren mit einem neuen, vereinfachten Angriff manipuliert werden könnten.

Die Idee dabei ist, zwei oder mehr echte Identifikationsdokumente zu einem künstlichen neuen zu kombinieren. "Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen", erläuterte der CCC. So könne man zum Beispiel das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes ersetzen. Auch etwa die Anschrift könne verändert werden. "Der geringste Aufwand entsteht dem Angreifer, wenn er für die Vorbereitung des Angriffs kurzzeitig in den Besitz des ID-Dokuments der angegriffenen Person selbst gelangt", warnte der CCC.

Ein Sprecher des Bundesgesundheitsministerium begrüßte das Einschreiten von Gematik, da es sich bei den Patientendaten um sensible Informationen handele. (dpa/rs/rw)

Zur Startseite