Gematik verbietet Videoident-Verfahren

VideoIdent-Verfahren sind beliebt. (Foto: agenturfotografin/123rf.com)

Wegen einer Schwachstelle hat die Gematik die weitere Nutzung von Videoident-Verfahren für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) für unzulässig erklärt.

Krankenkassen müssen das Videoident-Verfahren ab sofort aussetzen. Wegen einer sicherheitstechnischen Schwachstelle sei dieser Schritt unumgänglich, so die Gematik. Sie handele hier im Rahmen ihrer rechtlichen und verwaltungsgemäßen Befugnisse und vor dem Hintergrund des hohen Schutzbedarfs bei der Digitalisierung des Gesundheitswesens.

Bislang konnten sich Versicherte mithilfe der Videoident-Verfahrens gegenüber ihrer Krankenkasse insbesondere im Zusammenhang mit der elektronischen Gesundheitskarte und der „alternativen Versicherungsidentität“ nach § 336 Abs. 2 SGB V authentifizieren. Dadurch war es möglich, Anwendungen der TI zu nutzen – etwa die elektronische Patientenakte (ePA) oder das E-Rezept.

Angriff entdeckt

Externe Sicherheitsexperten hatten die Gematik über eine Attacke auf das von den Krankenkassen genutzte Videoident-Verfahren informiert. Die der Gematik vorliegenden Nachweise der Sicherheitsexperten zeigen demnach tatsächlich durchgeführte Angriffe gegen existierende Dienstanbieter. Die Ausnutzbarkeit der grundsätzlichen Schwachstellen des Videoident-Verfahrens überschreitet nach Einschätzung der Gematik in dieser Qualität das akzeptierbare Risiko des Videoident-Verfahrens. Deshalb wurde seine Nutzung gestoppt.

Weitere Identifizierungsverfahren nicht betroffen

Weitere Identifizierungsverfahren sind nicht betroffen. Sie können auch weiterhin genutzt werden. Dabei handelt es sich um alle Verfahren, die eine Prüfung des Ausweises vor Ort, etwa in der Filiale der Krankenkasse oder als Postident bei der Zustellung, beinhalten. Ebenfalls nicht betroffen sind alle Verfahren unter Nutzung der Online-Ausweisfunktion. Die Gematik und das Bundesgesundheitsministerium arbeiten aktuell daran, zusätzliche Verfahren bereitzustellen, die eine vor Ort-Begutachtung des Ausweises integrieren.

Neue Zulassung ungewiss

Ob das Videoident-Verfahren als Identifizierungsmittel zur Nutzung der TI zu einem späteren Zeitpunkt wieder zugelassen wird, ist derzeit unklar. Darüber könne erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht hätten, dass ihr Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sei, heißt es.