Sicherheitsexperten des Chaos Computer Clubs (CCC) haben einen erfolgreichen Angriff auf gängige Lösungen für Identifizierungsverfahren per Video (Videoident) demonstriert. Dabei hätten sie sich unter anderem Zugriff auf die elektronische Patientenakte einer Testperson verschafft, teilte der CCC am 9. August 2022 mit. Die Hackervereinigung fordert, "diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht".

Bereits am Vortag untersagte die Gematik aus Sicherheitsgründen den Krankenkassen die Nutzung von Videoident-Verfahren. Hintergrund der Entscheidung war offenbar der nun bekanntgewordene Hack der Verfahren durch den CCC.

In einem 30-seitigen Bericht (PDF) demonstriert der Sicherheitsforscher Martin Tschirsich einen "praktischen Angriff auf Videoident". Darin erläutert er, wie es ihm "mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe gelungen ist, mittels 'videotechnischer Neukombination mehrerer Quell-Dokumente' sechs Videoident-Lösungen zu überlisten und den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln". Bislang seien diese Angriffe unerkannt geblieben.

Da Videoident seit 2021 für den Zugriff auf die ePatientenakte und inzwischen auch das eRezept im Einsatz sei, habe Tschirsich "im Prinzip für eine beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine elektronische Patientenakte (ePA) eröffnen und darüber deren in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern" können.

CCC: Angriff mit geringem Aufwand durchführbar

In dem beschriebenen Fall erlangte Tschirsich Zugriff auf die Gesundheitsdaten einer eingeweihten Testperson, "darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen".

Nach Einschätzung des CCC ist der Angriff "von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar". Daher sei das Risiko des weiteren Missbrauchs als hoch einzuschätzen.

Auch eine Prüfung durch Methoden der künstlichen Intelligenz (KI) hält Tschirsisch nicht für zuverlässig. "Die Annahme, dass moderne Videoident-Verfahren die bekannten Schwächen 'durch den Einsatz von künstlicher Intelligenz' beheben können, hat sich in der Praxis als falsch herausgestellt", sagte der Sicherheitsforscher.

Bitkom kritisiert pauschalen Stopp von Videoident

Kritik an der Entscheidung der Gematik kam unterdessen vom IT-Branchenverband Bitkom. "Statt Anbieter mit Verdacht auf Sicherheitslücken anzusprechen und Lösungen zu erarbeiten, wurden alle Dienste pauschal gesperrt", sagte Bitkom-Hauptgeschäftsführer Bernhard Rohleder und fügte hinzu: "Wer jetzt digitale Gesundheitsangebote nutzen möchte, für die eine Authentifizierung notwendig ist, muss persönlich in einer Filiale der Krankenkasse oder der Post erscheinen. Damit wird eine unnötige Hürde auf dem Weg zu einer digitalen Gesundheitsversorgung aufgebaut."

Rohleder bezeichnete die Sofort-Identifizierung per Video "essenziell, um digitale Dienste schnell, sicher und einfach verfügbar zu machen". Das Verfahren sei deshalb "integraler Bestandteil digitaler Angebote in vielen Branchen - sei es bei der Anmeldung eines Bankkontos, bei Kreditprüfungen, Versicherungsverträgen oder bei Prüfungen für Carsharing-Dienste". Videoident-Anbieter ohne Sicherheitslücken müssten daher auch bei den Krankenkassen umgehend wieder für Identifizierungsverfahren zugelassen werden.

Nachtrag vom 10. August 2022, 21:45 Uhr

Der Sprecher von Bundesgesundheitsminister Karl Lauterbach (SPD), Hanno Kautz, begrüßte hingegen am Mittwoch vor Journalisten in Berlin das Vorgehen der Gematik, "weil gerade Patienten- und Behandlungsdaten sehr sensible Daten sind und wir deswegen um hohe Sicherheitsstandards bemüht sind".

Ein Sprecher des Bundesfinanzministeriums wollte sich hingegen noch nicht zu der Frage äußern, ob der Bericht des CCC auch Auswirkungen auf die Nutzung von Videoident im Bankenwesen habe. Das Ministerium könne dies noch nicht bewerten, "weil maßgebliche Einzelheiten zu den Angriffsszenarien in dem bisher vorliegenden Bericht noch nicht vorliegen".

Innenministerium prüft weitere Nutzung von Videoident

Das für Fragen der IT-Sicherheit zuständige Bundesinnenministerium bezeichnete das Videoident-Verfahren als "eine Brückentechnologie, die aufgrund ihrer Marktdurchdringung und Verfügbarkeit derzeit zur Fernidentifizierung genutzt wird". Das Ministerium nehme die aufgezeigten Angriffsvektoren auf zwei Identifizierungsverfahren "sehr ernst". "Die konkreten Umstände der jeweiligen Angriffsszenarien wird die Bundesregierung sehr sorgfältig prüfen", sagte ein Sprecher. Das beziehe sich auch "auf die Fortsetzung der Nutzung dieser Technologien".