Sicherheitslücken bei Video-Ident
Der nackte Kranke: Sicherheitslücken ermöglichen den Einblick in elektronische Patientenakten. © imago / Ikon Images / Patrick George
Einfacher Betrug mit Ausweiscollagen
11:08 Minuten
Der Chaos Computer Club hat das Video-Ident-Verfahren gehackt und so Einblick in eine elektronische Patientenakte erlangt. Dabei gebe es gute Alternativen zur Identifikation, die schon lange bekannt sind, sagt Sicherheitsforscher Martin Tschirsich.
Es gibt Daten, über die sollten nur ausgewählte Menschen Bescheid wissen. Genau das verspricht die elektronische Patientenakte: dass nur Befugte Einblick erhalten. Doch der Chaos Computer Club (CCC) hat gezeigt, dass das Online-Verifizierungsverfahren, mit dem sich Patienten für den Zugriff auf die Akte identifizieren sollten, unsicher ist.
In einem Experiment konnten Experten vom CCC über das sogenannte Video-Ident-Verfahren eine Patientenakte für eine zuvor eingeweihte Person anlegen und befüllen – und hatte damit Einsicht in Rezepte und Diagnosen. Die Täuschung blieb unbemerkt.
„Das Verfahren ist anfällig für Manipulation“, sagt Martin Tschirsich vom CCC. Inzwischen dürfen die Krankenkassen es nicht mehr einsetzen.
Was ist Video-Ident?
Video-Ident ist ein Verfahren zur Online-Verifikation. Per Video-Call wird dabei die Identität einer Person über eine Webcam festgestellt. Dafür filmt der Teilnehmende sein Gesicht sowie sein Ausweisdokument.
„Am anderen Ende der Leitung, beim Anbieter des Video-Ident-Verfahrens, sitzt dann entweder ein Mensch oder eine Maschine und versucht, die Echtheit dieser in die Kamera gehaltenen Dokumente zu prüfen – und auch zu prüfen, ob das Dokument auch wirklich zu der Person gehört, die da am anderen Ende vor der Kamera sitzt“, erklärt der Sicherheitsexperte vom CCC, Martin Tschirsich.
„Und wenn das alles plausibel erscheint, dann bestätigt der Video-Ident-Anbieter, dass da wirklich der Herr Mustermann am anderen Ende der Leitung sitzt.“
Kritik am Ident-Verfahren
„Es ist anfällig für Videomanipulation“, sagt Tschirsich. Die Experten des CCC hatten mit einer auch für Laien zugänglichen Technik eine digitale Collage eines Ausweises gebaut, indem sie aus abgefilmten echten Dokumenten einen gefälschten Ausweis erstellten.
Sie konnten sich damit bei sechs Anbietern unter falscher Identität anmelden und die elektronische Patientenakte einer eingeweihten Testperson einsehen. Das Experiment des CCC hat gezeigt, dass sich Dritte verhältnismäßig leicht Zugang zu den Daten verschaffen können.
„Und bevor wir Angriffe in echt erleben mit einer betrügerischen Absicht, ist es die Verantwortung derer, die dieser Schwächen kennen, darauf hinzuweisen, dass das hier anfällig ist“, sagt Martin Tschirsich.
Datenschützer und auch das Bundesamt für Sicherheit in der Informationstechnik stellten schon vor Jahren Schwächen bei Video-Ident fest. Mit seinem Experiment hat der CCC die Gefahren bestätigt.
Wo kommt Video-Ident zum Einsatz?
Ursprünglich wurde das Verfahren im Online-Banking eingeführt. „Man hat es dann auch im Bereich des Geldwäschegesetzes angewandt, zwischenzeitlich dann auch im Bereich der rechtsgültigen elektronischen Unterschriften zur Absicherung im elektronischen Rechtsverkehr“, erklärt Tschirsich.
„Und jetzt zuletzt auch im Bereich der gesetzlichen Krankenversicherung, beziehungsweise zur Absicherung von Gesundheitsdaten, die den 73 Millionen gesetzlich Versicherten ja über die elektronische Patientenakte bereits zur Verfügung stehen.“
Welche Alternativen gibt es?
„Im Grunde genommen ist jedes Verfahren irgendwo anfällig. Sie haben nie hundertprozentige Sicherheit. Deswegen müssen Sie halt sagen: Für den Zugriff zum Beispiel auf intime Gesundheitsdaten fordern Sie ein substanzielles oder hohes Schutzniveau“, sagt Tschirsich.
Es gebe mit dem neuen Personalausweis schon länger eine sichere Möglichkeit: „Und die steht nahezu allen zur Verfügung und kann oder könnte genutzt werden, wenn der entsprechende Wille und auch die entsprechenden Vorarbeiten dort vorhanden wären.“
„Ansonsten sind wir natürlich immer darauf angewiesen, dass wir irgendwo einmal vor Ort identifiziert wurden, entweder im Meldeamt oder eben in der Kasse vor Ort, durch den Betreiber, durch irgendjemanden. Diese Identität können wir danach nutzen“, erklärt Martin Tschirsich vom Chaos Computer Club.
(nog)