Deutschland steckt tief in der Digitalisierungskrise. Sinnbild dafür ist die Untersagungsverfügung der gematik für die Verwendung von Video-Ident-Verfahren im Kontext der Telematikinfrastrukur (TI). Das Statement von Eric Schloen veröffentlichen wir im VIACTIV-Hintergrund in voller Länge. Als Gastkommentar ist der Text leicht gekürzt auch in der Ärztezeitung vom 25.08.2022 erschienen.
Ich bin sicher nicht der Einzige, der damit hadert, dass Deutschland in Europa bzgl. der Digitalisierung verdient auf dem vorletzten Platz liegt. Nur Albanien liegt hinter Deutschland. [1]
Ein Sinnbild dafür ist aus meiner Sicht, die Untersagungsverfügung der gematik für die Verwendung von Video-Ident-Verfahren im Kontext der Telematikinfrastrukur (TI).
Hintergrund: Der Chaos Computer Club (CCC) hat nach eigenen Angaben eine gravierende Sicherheitslücke bei 6 verschiedenen Video-Ident-Anbietern entdeckt. [2] Welche 6 Anbieter das sind, wurde bis zum 16.08.22 nicht offengelegt. Wesentliches Element war bei dem Angriff das Abfilmen des manipulierten Personalausweises.
Die gematik hat am 09.08.22 – also bereits vor der Veröffentlichung durch den CCC - alle Krankenkassen per Untersagungsverfügung angewiesen, Video-Ident-Verfahren mit und ohne menschlichen Operator sofort vom Netz zu nehmen. [3]
Vollautomatisierte, KI-basierte Verfahren wurden in der Verfügung völlig undifferenziert mit Video-Ident-Verfahren mit menschlichem Operator in einen Topf geworfen. KI kann beispielsweise Pixelanomalien, die beim Abfilmen i.d.R. entstehen, grundsätzlich erkennen. Auch diese Technologie pauschal zu diskreditieren und öffentlich unter Generalverdacht zu stellen, ist aus meiner Sicht unsachgemäß.
Die Verfügung hat das Potenzial, das Vertrauen in sämtliche Digitalisierungsinitiativen deutscher Behörden um Jahre zurückzuwerfen.
Ein Angriff in der Breite ist nicht nachgewiesen. Der vom CCC dargestellte Einzelfall funktioniert nur, wenn man dem Opfer den Personalausweis entwendet hat, die KV-Nummer kennt und dann aufwändig die Identität fälscht. Dies in dem Wissen, dass das Opfer noch keine ePA hat. Denn der Identifikationsprozess wird nur einmalig im Rahmen der Registrierung durchgeführt. Hat das Opfer bereits eine aktivierte ePA, funktioniert das gesamte Angriffsszenario nicht.
Bei den meisten Krankenkassen müsste für eine Aktivierung der ePA zusätzlich noch der Brief mit dem jeweiligen Aktivierungscode abgefangen werden. Dieser wird an die nicht manipulierbare Versicherten-Adresse aus dem Bestandssystem versendet.
Video-Ident ist also nur ein Teilschritt der Sicherheitsmechanismen im Gesamtprozess. Es bedarf eines hohen Aufwands, extrem hoher krimineller Energie und technischer Kompetenz, um sich eine nahezu leere ePA widerrechtlich für eine dritte Person anzueignen. Der Anreiz für den Täter muss dabei kritisch hinterfragt werden.
In einem ganz normalen Penetrationstest hätte diese Lücke maximal den Status gelb bekommen, mit dem Vermerk "extrem unwahrscheinlich, aber bitte bald beheben". Über mehr reden wir hier nicht. Nun ist es zu spät. Es wurde breitflächig kommuniziert und öffentlichkeitswirksam hastig Anweisungen an die Krankenkassen verteilt.
Statt eines generellen Verbots hätte Video-Ident- und Anbietern von KI-basierten Verfahren im Vorfeld offengelegt werden sollen, wie genau die Sicherheitsmechanismen umgangen wurden. Ziel muss doch sein, die Lücke schnellstmöglich zu schließen und nicht ein ganzes – im Gegensatz zum elektronischen Personalausweis in der breiten Bevölkerung bislang akzeptiertes - Verfahren zu diskreditieren.
Allen Ernstes wird nun diskutiert, dass Postbot:innen vor Ort ein Ausweisdokument auf Echtheit prüfen. Alternativ Mitarbeiter:innen in den Krankenkassen - besser noch in den Apotheken.
Eine im Jahr 2014 mit Grenzbeamt:innen durchgeführte Studie [4] ergab, dass 14% an gefälschten Fotos auf Ausweisen von diesen Expert:innen nicht erkannt wurden. Es ist kaum anzunehmen, dass die Fehlerquote bei den o.g. Berufsgruppen geringer ist.
Zu guter Letzt sollte auch auf die Kosten geschaut werden. Die Kosten für PostIdent oder die jetzt diskutierte „Sichere Zustellung per Brief“ sind um ein Vielfaches höher. In einem Opt-Out-Szenario würden die Mehrkosten somit sehr schnell in die hunderte Millionen Euro gehen.
IT-Security wird immer ein Wettlauf zwischen Hackern und Beschützern sein. Das müssen wir akzeptieren. Die Antwort kann nicht sein, Technologie in Gänze zu verteufeln und den Menschen - der korrumpierbar, erpressbar, schlichtweg schusselig und/oder unvorsichtig ist - als oberste Instanz der Sicherheit zu definieren. Aber genau das wird nun als Lösung diskutiert.
Der Verbreitungsgrad der ePA liegt nach nun 20 Monaten seit Einführung bei unter 1% der GKV-Versicherten. Ein wesentlicher Grund dafür ist der komplizierte Registrierungsprozess. Dies lässt sich in den Rezensionen von Kassen-ePAs in App- und Playstore sehr schnell nachlesen.
Bei der VIACTIV Krankenkasse schlossen bislang nach erfolgtem Download weniger als 10% der Versicherten den komplizierten Registrierungsprozess für die ePA ab. Diejenigen, die es taten, haben dazu bis zum 09.08.22 nahezu ausschließlich das Robo-Ident-Verfahren ohne menschlichen Operator genutzt. Das Verfahren hat eine eIDAS-Konformitätsbestätigung und eine Zulassung durch die Bundesnetzagentur. Weder dem Anbieter noch der VIACTIV Krankenkasse wurden bislang Nachweise vorgelegt, dass dieses Produkt von der Sicherheitslücke überhaupt betroffen ist. Wenn ja, muss man in den Dialog treten und die Lücke schließen.
Egal, welche sinnvollen Features im Rahmen der TI auch immer angeboten werden: Ohne Nutzbarkeit – keine Nutzer! Ohne Nutzer – kein Nutzen!
Opt-out wird die Situation zusätzlich verschärfen, da die nötige Logistik zur Identifikation ohne technische Lösungen in der breiten Bevölkerung weder organisierbar noch vermittelbar ist.
Ich bin der festen Überzeugung, dass die pauschale Verfügung der gematik bis auf Weiteres Stillstand für ePA und eRezept bedeutet. Sie ist aus meiner Sicht absolut unverhältnismäßig und muss schnellstmöglich korrigiert oder zumindest relativiert werden.
Autor: Eric Schloen, Bochum, 2022
Quellen:
[1] Siehe auch: https://www.manager-magazin.de/politik/digitalisierung-deutschland-in-ranking-auf-vorletztem-platz-in-europa-a-f0a7ef16-8903-4d9a-90c8-f72d732b8b9c
[2] https://www.ccc.de/system/uploads/329/original/Angriff_auf_Video-Ident_v1.2.pdf
[3] Hierzu gibt es eine Vielzahl von Quellen in der Presse. Die Schreiben der gematik an die Krankenkassen wurden auch schon mehrfach (geschwärzt) gepostet. Ich gebe an dieser Stelle aus Vereinfachungsgründen nur eine Quelle an: https://www.behoerden-spiegel.de/2022/08/12/video-ident-gehackt/
[4] https://journals.plos.org/plosone/article?id=10.1371/journal.pone.0103510
Diese Cookies sind immer aktiviert, da sie für Grundfunktionen der Website erforderlich sind.
Diese Website nutzt den Webanalysedienst Matomo, um die Nutzung unserer Website analysieren und regelmäßig verbessern zu können. Rechtsgrundlage für die Nutzung von Matomo ist Art. 6 Abs. 1 a) DSGVO. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Diese Website nutzt den Webanalysedienst Google Analytics, um die Nutzung unserer Website analysieren und regelmäßig verbessern zu können. Rechtsgrundlage für die Nutzung von Google Analytics ist Art. 6 Abs. 1 a) DSGVO. Weitere Informationen finden Sie in unserer Datenschutzerklärung.