Bei dem Video-Ident-Verfahren weisen Nutzer ihre Identität online nach, indem sie ein Video von sich und ihrem Ausweisdokument an einen Video-Ident-Anbieter übertragen und dort durch einen Mitarbeiter oder eine Software prüfen lassen. Anschließend kann die so identifizierte Person beispielsweise Mobilfunkverträge abschließen, EU-weit rechtsverbindlich unterschreiben (QES), Kredite beantragen, Bankkonten anlegen oder eben eine elektronische Patientenakte (ePA) eröffnen.

Der für das Video-Ident-Verfahren verwendete Ablauf soll anhand von Indizien - z. B. im Videobild sichtbare Hologramme oder die Mimik - zwei entscheidende Fragen beantworten: „Ist der Ausweis echt“? und „Ist die Person vor der Kamera echt“? Die Erkennbarkeit von Betrugsversuchen, auf die Video-Ident-Anbieter und ihre Kunden bisher gehofft haben, ist jedoch mit vergleichsweise einfachen Mitteln auszuhebeln. Martin Tschirsich, ein Sicherheitsforscher des CCC, dessen aktueller Bericht dies nun dokumentiert, hatte bereits 2019 gezeigt, wie Unbefugte in den Besitz von Gesundheitskarten, Arzt- oder Praxisausweisen gelangen konnten. Nun legt er ausführlich dar, wie es ihm mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe gelungen ist, mittels „videotechnischer Neukombination mehrerer Quell-Dokumente“ sechs Video-Ident-Lösungen zu überlisten und den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln. Bis heute blieben diese Angriffe unerkannt.

‍

Deepfake im öffentlichen Bewusstsein, aber nicht das Problem

Während sich alle Welt vor ausgefeilten Deep Fakes (i. e. hochkomplexe Medienmanipulation mit Mitteln von z. B. Künstlicher Intelligenz) fürchtet, gelang der Angriff von Tschirsich mit Uralt-Technik und einfachen Mitteln. Da Video-Ident seit 2021 für den Zugriff auf ePatientenakte und inzwischen auch eRezept im Einsatz ist, konnte der Sicherheitsforscher im Prinzip für eine beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine elektronische Patientenakte (ePA) eröffnen und darüber deren in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern.

In dem von Tschirsich beschriebenen Fall hat der Forscher Zugriff auf die Gesundheitsdaten einer eingeweihten Testperson erlangt, „darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen“. Aus Sicht des CCC ist der Angriff von interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar. Daher ist das Risiko des weiteren Missbrauchs als hoch einzuschätzen.

‍

Sichere Methoden werden benutzt

Es ist nachvollziehbar, dass der CCC diesen Totalausfall der für die im Gesundheitssystem eingesetzte Video-Ident-Identifizierungstechnologie, vor dem Datenschützer, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und das Bundesamt für Sicherheit in der Informationstechnik (BSI) schon seit langem warnen, jedoch bei der Bundesregierung und der Bundesnetzagentur auf taube Ohren stießen, nun zu einer Generalabrechnung mit Video-Ident nutzt. Vor allem, weil mit dem teuren elektronischen Personalausweis eine weitaus sicherere Online-Identifizierung möglich wäre, die aber fast überhaupt nicht genutzt wird.

Der CCC hatte bereits vor Veröffentlichung der Analyse alle Informationen an Sicherheitsverantwortliche unter anderem der Gematik weitergeleitet. Diese reagierte auf das potentielle Angriffsszenario zügig und hat bis auf Weiteres die weitere Nutzung von Video-Ident-Verfahren für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zulässig erklärt und am 9. August 2022 verfügt, dass die Krankenkassen das Video-Ident-Verfahren ab sofort aussetzen müssen. Weitere Identifizierungsverfahren sind nicht betroffen und können weiterhin genutzt werden: also Verfahren, die eine Prüfung des Ausweises vor Ort beinhalten (z. B. Filiale der Krankenkasse oder Postident bei der Zustellung) oder bei denen die Online-Ausweisfunktion genutzt wird. Die Gematik hat sich bislang nicht zu der Frage geäußert, wie mit den bereits durchgeführten Identitätsfeststellungen umzugehen ist.