IT-Sicherheit: Experten hacken Video-Ident-Systeme: Daten bei Krankenkassen in Gefahr
Computerexperten haben die Identifizierungsmaßnahmen der Krankenkassen ausgetrickst. Auch viele Banken nutzen die Systeme.
Foto: obsBerlin, Düsseldorf, Frankfurt. Martin Tschirsich steht neben einem Computer und will beweisen, dass Deutschlands wichtigste Onlineverfahren zur digitalen Identifizierung ausgetrickst werden können. Auf dem Bildschirm läuft ein Video, auf dem ein Personalausweis zu sehen ist. Das Bild auf diesem Ausweis? Eindeutig Martin Tschirsich. Der Name? Ein anderer.
Sein Ziel: Zugriff auf Rezepte, Krankschreibungen und Diagnosen zu bekommen. Hochpersönliche Daten, die nur dem Patienten selbst zustehen. Nach ein paar Sekunden signalisiert die App den Erfolg. Tschirsich hat mithilfe seines manipulierten Ausweises Zugriff auf die Daten eines Fremden.
Die Demonstration des Sicherheitsforschers des Chaos Computer Clubs (CCC), bei der das Handelsblatt dabei war, könnte weitreichende Konsequenzen für die deutsche Digitalisierung haben – nicht nur im Gesundheitswesen.
Denn das Video-Ident-Verfahren wird in vielen Branchen genutzt, um sich online auszuweisen, auch bei Kontoeröffnungen oder Handyverträgen.
Nachdem Tschirsich die Gematik, ein Unternehmen des Bundes, das sich um die Digitalisierung des Gesundheitswesens kümmert, informierte, reagierte diese umgehend. Deutschlandweit ist es nun allen Krankenkassen verboten, die digitalen Ident-Verfahren anzubieten.
Konsequenzen für andere Branchen?
Doch die Sorge ist groß, dass nicht nur die Krankenkassen angreifbar sind. Die Bundesregierung beobachtet den Fall genau. Wie das Handelsblatt aus Regierungskreisen erfuhr, besteht dort die Sorge, dass das Video-Ident-Verfahren komplett gestoppt werden muss.
„Nach der Entscheidung der Gematik steht die Frage im Raum, ob das Verfahren für andere Sektoren zugelassen bleiben kann – wo es noch ein größeres Schadenpotenzial gibt“, heißt es aus Regierungskreisen.
>> Lesen Sie hier auch: Bundesregierung droht Huawei mit Rauswurf
Das Problem: Wenn das Verfahren für alle Wirtschaftssektoren gestoppt würde, bliebe keine digitale Identifikationslösung mehr übrig. Experten fürchten einen Schritt zurück in die analoge Steinzeit, bei dem die Nutzer wieder lange Wege in Geschäftsstellen auf sich nehmen oder auf Briefe per Post warten müssten.
Das Video-Ident-Verfahren ist derzeit die einzige Möglichkeit, sich digital auszuweisen. Andere Projekte der Bundesregierung, eigene digitale Identitäten einzuführen, verzögern sich oder haben ebenfalls mit Sicherheitsproblemen zu kämpfen.
Die Banken sind auf das Video-Ident-Verfahren angewiesen.
Foto: obsBisher gibt es deshalb zwei verschiedene Ansätze: Beim Video-Ident-Verfahren werden Nutzer mit einem Mitarbeiter im Callcenter verbunden, müssen Fragen beantworten und ihren Ausweis vorzeigen. Beim Auto-Ident-Verfahren funktioniert das automatisch über eine App, indem der Versicherte sein Gesicht und seinen Ausweis in die Smartphone-Kamera zeigt und diese gescannt werden. Beide Verfahren konnten die CCC-Experten überlisten.
Erleichterung auf Kosten der Sicherheit
Die Erleichterung für die Nutzer ist zwar erheblich, doch sie wurde offenbar auf Kosten der Sicherheit teuer erkauft. Hacks wie die des CCC sollten nicht möglich sein, hieß es bislang stets von Anbietern und Verantwortlichen. Der deutsche Personalausweis besitze diverse Sicherheitsmerkmale, sodass es auffallen würde, wenn nur ein Video vorgezeigt werde. Darauf weisen auch einige digitale Ident-Anbieter hin, selbst nach der Konfrontation mit der Sicherheitslücke.
Mehr als sechs von ihnen konnte Tschirsich nach eigenen Angaben austricksen. Dazu hat er ein digitales Abbild eines Personalausweises geschaffen und die Angaben darauf kurzerhand verändert. In einem Fall ist es ihm sogar gelungen, fremde Kundendaten einzusehen. „Jugendliche, die Videobearbeitungsprogramme bedienen können, können diesen Angriff in maximal zwei Wochen vorbereiten, durchführen und dann in Serie gehen“, sagt er.
Schwächen im Video-Ident-Verfahren sind dem Forscher zufolge bereits 2017 bekannt gewesen. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sei es gelungen, Ausweisdokumente im Video-Ident-Verfahren zu fälschen.
>> Lesen Sie hier auch: Volksbanken und Sparkassen schalten SMS-Tan endgültig ab
Die Behörde bestätigt das auf Anfrage: „Das BSI hat in der Vergangenheit darauf hingewiesen, dass bei Video-Ident-Verfahren Angriffe durch Manipulationen des Videostreams grundsätzlich möglich sind.“ Die Kassenkreise und die Gematik gehen nicht davon aus, dass alle online identifizierten Patientenakten jetzt gesperrt werden müssen. Doch konkrete Verdachtsfälle werde man sich genau anschauen müssen.
Die Suche nach Lösungen, um das Verfahren sicherer zu machen, läuft bereits. Denkbar ist beispielsweise eine Zwei-Faktor-Authentifizierung – etwa über eine SMS. Einige Anbieter geben zudem auf Nachfrage an, sie hätten die Sicherheitslücke schon geschlossen. Das müssen die Behörden aber noch prüfen. Krankenkassen weisen allerdings darauf hin, dass Gesundheitsdaten als noch sensibler eingestuft würden als Bankdaten. Deswegen müsse das Verfahren im Gesundheitswesen noch höheren Standards gerecht werden - und ein Verbot sei hier deswegen wahrscheinlicher.
Banken-Dienstleister wehrte Angriffe ab
Für Banken spielt die Videoidentifizierung trotzdem eine wichtige Rolle. Neobanken wie N26 nutzen die Verfahren in Deutschland vielfach zur Kontoeröffnung.
Unter den angegriffenen Anbietern war nach eigenen Angaben auch der Münchener Identitätsprüfer IDnow, der zu den größten deutschen Video-Ident-Anbietern für Banken zählt. Jedoch konnte das Unternehmen die Angriffe abwehren, wie es erklärte. „Die Erkennung der Angriffe erfolgte sowohl durch Algorithmen, welche eine Manipulation erkennen sollen, als auch durch unsere Operator“, teilte eine Sprecherin mit.
„Operator“ sind Mitarbeiter, die Identifizierungsprozesse prüfen, die von den Systemen als auffällig markiert wurden. Die Firma prüft nach eigenen Angaben zwar regelmäßig alle Identifizierungsverfahren auf ihre Sicherheit. „Uns ist trotzdem bewusst, dass kein Identifikationsverfahren eine 100-prozentige Sicherheit garantieren kann, weder in der Online- noch in der Offlinewelt“, sagte die Sprecherin.
Die deutsche Finanzaufsicht Bafin beobachtet den Fall gleichwohl. „Hinweise auf Sicherheitsprobleme oder Schwachstellen in Bezug auf das Identifizierungsverfahren nehmen wir sehr ernst“, erklärte sie auf Anfrage. Eine abschließende Bewertung der Angriffsszenarien sei ihr aber noch nicht möglich.