Chaos Computer Club: Sicherheitsmängel bei Video-Ident aufgedeckt
Den IT-Sicherheitsexperten ist es gelungen Sicherheitslücken beim Video-Ident-Verfahren festzustellen.
Foto: APDüsseldorf. IT-Sicherheitsexperten des Chaos Computer Clubs (CCC) ist es gelungen, das Video-Ident-Verfahren zu manipulieren. Wer zum Beispiel eine elektronische Patientenakte (ePA) aktivieren möchte, kann dies über das Video-Ident-Verfahren tun. Bei der virtuellen Ausweisung zeigen Versicherte ihren Personalausweis in einem Videoanruf vor. Mit diesem Identifikationsverfahren können auch Bankkonten eröffnet werden.
Das genaue Vorgehen von Martin Tschirsich, IT-Sicherheitsexperte und CCC-Mitglied, wird in einem technischen Bericht des CCC beschrieben. Bei sechs Anbietern konnte Tschirsich ein falsches virtuelles Abbild eines Personalausweises erstellen und auf die ePA einer eingeweihten Person zugreifen. In einem Fall sei es sogar möglich gewesen, über eine weitere Schwachstelle auf die Daten von anderen Kunden zuzugreifen.
Beim Video-Ident-Verfahren wird der Versicherte über sein Smartphone mit einem Mitarbeiter eines Callcenters verbunden, muss Fragen beantworten und seinen Ausweis vorzeigen, um sich zu identifizieren. Beim Robo-Ident-Verfahren funktioniert das automatisch über eine App, indem der Versicherte sein Gesicht und seinen Ausweis in die Smartphone-Kamera zeigt und diese gescannt werden.
Die ist über eine Videomanipulation möglich. Handelsblatt Inside wurde das Vorgehen demonstriert. Konkret wird ein Ausweis dabei aus verschiedenen Winkeln fotografiert, um von diesem eine digitale Kopie zu erstellen. Name, Adresse und das Foto können ausgetauscht werden. Eine anschließende Identitätsprüfung dieses Abbilds gibt es laut CCC-Bericht nicht mehr.
Hände für Computer rot angemalt
Für einen Videoanruf haben die IT-Sicherheitsexperten das gefälschte virtuelle Abbild des Personalausweises auf einen TV-Bildschirm gelegt. Mit dem Handy wurde dann der Fernseher für den Anruf gefilmt. Videostörungen bereiteten den CCC-Mitgliedern zunächst Schwierigkeiten. Sie entstehen, wenn das Dokument mit einem Finger abgedeckt werden soll. Die IT-Sicherheitsexperten konnten die Störung laut Bericht aber umgehen, indem sie die Hand rot anmalten, wodurch der Computer sie besser erkennt.
Einzelne Videoaufzeichnungen würden laut CCC-Bericht kleine Schönheitsfehler aufweisen, die eine Manipulation verraten könnten. Denn um die Qualität ihrer Fälschung zu betrachten, fragen die IT-Sicherheitsexperten die Videoaufzeichnungen bei einzelnen Anbietern im Nachhinein an.
Gematik stellt Video-Ident-Verfahren ein
Mit dieser Sicherheitslücke vom CCC konfrontiert wurde die Gematik, die nationale Agentur für die Digitalisierung des Gesundheitswesens, bereits am Montag. In der darauffolgenden Nacht hat sie eine Verfügung an die Krankenkassen verschickt, die Nutzung des Video-Ident-Verfahrens umgehend einzustellen. Konkret heißt es in einem Auszug der Verfügung, der Handelsblatt Inside vorliegt: „Die sofortige Vollziehung wird […] angeordnet.“
Der Spitzenverband Bund der Krankenkassen und einzelne Kassen bestätigten Handelsblatt Inside gegenüber, dass das Schreiben bei ihnen eingegangen sei. In einer späteren Pressemitteilung teilte die Gematik außerdem mit, dass elektronische Identifizierungsverfahren mit einer Ausweisprüfung vor Ort sicher seien. Andere Verfahren unter Nutzung der Online-Ausweisfunktion seien ebenfalls nicht von der Sicherheitslücke betroffen. Über die Wiederzulassung des Verfahrens könne der Gematik zufolge erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind.
Laut einer Auswertung der Gematik wurden aktuell 526.567 ePA ausgestellt (Stand 10.8.2022, 17 Uhr), die Versicherte über die App ihrer Krankenkasse mit dem Smartphone oder Tablet aufrufen können. Seit dem 1. Januar 2021 können Patienten dort Arztbriefe und Befunde speichern. Sie entscheiden über ein sogenanntes Opt-in-Verfahren selbst, ob und wie sie die ePA nutzen möchten. Die Funktionen der digitalen Akte sollen stufenweise erweitert werden.
Mitarbeit Julian Olk