5 months ago
6
Kehrtwende bei der elektronischen Patientenakte (ePA): Ursprünglich hatte die verantwortliche Gematik die Identifikation per Video zur Aktivierung in einer Krankenkassen-App aus Sicherheitsgründen ausgeschlossen. Jetzt erlaubt man Video-Ident doch wieder. Allerdings ist fraglich, ob sich die Sicherheit verbessert hat. Man hofft vielmehr (verzweifelt?) auf eine höhere, aktive Nutzung durch diesen Schritt.
Denn bislang nutzen nur sehr wenige Menschen die ePA aktiv, obwohl für das Gros eine digitale Gesundheitsakte angelegt worden ist. Offenbar nimmt die Gematik an, dass dies auch am Aktivierungsverfahren liegt, für das entweder die elektronische Gesundheitskarte (eGK) oder die Online-Ausweisfunktion des Personalausweises (inkl. PIN-Abfrage) verwendet werden musste. Inzwischen geht es auch wieder ohne PIN, nämlich über „Nect Ident mit ePass“, ein Verfahren des Unternehmens Nect aus Hamburg. Das Verfahren darf rückwirkend ab 1. August 2025 für die Freigabe einer Gesundheitskarte oder für die Ausgabe einer PIN für die eGK genutzt werden. Mit der Karte lassen sich dann wiederum eine GesundheitsID und der Login in die elektronische Patientenakte erstellen.
Kurios ist daran, dass die Gematik solche Verfahren 2022 noch als zu unsicher einstufte, was auch ein klares Urteil des Bundesamts für Sicherheit in der Informationstechnik (BSI) unterstrich. So hatte der Chaos Computer Club (CCC) demonstriert, wie leicht sich das Video-Ident-Verfahren überlisten lässt. Doch die Gematik begründet ihren Sinneswandel laut Netzpolitik damit, dass „bei dem ‚Nect ePass‘-Verfahren zusätzlich zur Personenidentifikation Ausweisdokumente (z. B. Personalausweis oder Reisepass) elektronisch ausgelesen“ werden. Dadurch sei das Verfahren sicher genug.
Konkret müssen die Nutzer beim ePass-Verfahren von Nect sich einer vollautomatisierten Dokumentenprüfung unterziehen und zusätzlich den NFC-Chip ihres Ausweisdokuments mit dem Smartphone auslesen, plus ein Video-Selfie erstellen und dabei zwei zufällig ausgewählte Worte nennen. Am Ende hat die Gematik hier aber die eigenen Sicherheitsvorgaben angepasst. Brauchten die Versicherten bislang definitiv eine PIN zur Bestätigung der eigenen Identität, so entfällt dies. Sie können sich vielmehr auch ohne PIN per Video-Ident identifizieren.
Video-Ident – sicher oder unsicher?
Sicherheitsforscher stufen die neue Option als eine Art 1,5-Faktor-Authentifizierung ein. Zwar werde weiterhin geprüft, ob ein plausibler Ausweis vorliege, die Videoanalyse könne man aber nur als halb-sicher einstufen. Hat jemand also euren Ausweis geklaut, kann es schon gefährlich werden. Zumal KI-Identifikationsverfahren, wie sie Nect einsetzt, ein Verfallsdatum haben dürften, weil zeitgleich die KI-Generierung von Bildern und Videos rasant besser werde. Man muss annehmen, dass die Gematik hier weniger danach entschieden hat, ob das eingesetzte Video-Ident-Verfahren sicher genug ist und mehr danach, wie man mehr aktive Nutzer drankriegen könnte.
Weitere Kritik der Sicherheitsforscher: Die Gematik gehe geradezu „klassisch“ vor: Im Hintergrund wurde ein Verfahren vorbereitet und ohne Transparenz plötzlich eingeführt. Es fehle aber an einer ernsthaften Risikobewertung und -aufklärung. Leidtragende seien mal wieder die Patienten.
![Lenovo [Tasche] 15,6 Zoll Casual Topload Laptop Tasche T210 (wasserabweisend), works with Chromebook (WWCB),...](https://m.media-amazon.com/images/I/412mKqdD68L._SL160_.jpg)
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
