Gematik untersagt Videoident-Verfahren bei der elektronischen Patientenakte

Nach erfolgreichen Versuchen von Sicherheitsforschern, eine Patientenakte für einen unbeteiligten Dritten anzulegen, stoppt die Gematik Videoident-Verfahren.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 39 Beiträge

(Bild: triocean/Shutterstock.com)

Von
  • Detlef Borchers

Die deutsche Gesundheitsagentur Gematik hat verfügt, dass Krankenkassen ab sofort nicht mehr das Videoident-Verfahren bei der Beantragung einer elektronischen Patientenakte (ePA) nutzen dürfen. Verfahren, die mit einer Identifizierung des Versicherten vor Ort arbeiten, etwa beim Erscheinen der Versicherten auf einer Geschäftsstelle der Kasse, sind davon nicht betroffen.

Das Verbot von Videoident in der telematischen Infrastruktur erfolgte, nachdem es Sicherheitsforschern bei sechs verschiedenen Anbietern einer elektronischen Patientenakte gelungen sein soll, fremde Identitäten verifizieren zu lassen. In mindestens einem Fall sei es den Forschern zudem möglich gewesen, eine elektronische Patientenakte für eine dritte Person zu beantragen, die dann wie üblich von der Krankenkasse mit Kassendaten wie zum Beispiel den letzten Krankenhausaufenthalten und Krankschreibungen vorbefüllt wurde.

Videoident-Verfahren werden auch in anderen Bereichen benutzt, etwa bei der Beantragung von Bankkonten, wo die Identität nach dem Geldwäschegesetz überprüft werden muss. Hier gibt es bislang keine Einschränkungen.

Der von der Gematik verordnete Stopp des Videoident-Verfahrens ist brisant. Denn noch kann eine ePA nur mit dem Opt-in-Verfahren angelegt werden, bei dem die Identität der Versicherten überprüft wird. Hier spielte das Videoident-Verfahren bei den Krankenkassen eine wichtige Rolle. Was die offenbar von der Gematik beauftragten Sicherheitsforscher herausfanden, ist noch nicht bekannt. Vermutet wird, dass Deepfakes zum Einsatz kamen.

Ebenfalls ist nicht bekannt, ob nun die Identitäten aller Versicherten nachträglich überprüft werden müssen, die bei der Beantragung ihrer ePA das Videoident-Verfahren nutzten. Das würde die Akzeptanz der ePA bei vielen Versicherten untergraben. Aktuell gibt es rund 530.000 dieser Akten.

Der Stopp des Verfahrens ist nicht endgültig: "Über die Wiederzulassung von Videoident-Verfahren kann erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind", heißt es aufseiten der Gematik.

Schon einmal wurde in der telematischen Infrastruktur ein schwerer Identitätsunfall aufgedeckt. Im Jahr 2019 nutzten Sicherheitsforscher um Martin Tschirsich das elektronische Identifizierungsverfahren, um einen Arztausweis für einen "Dr. Cyber" zu bestellen und anschließend an eine Käsetheke liefern zu lassen. Die Identitätslücken demonstrierten sie auf dem Jahresendkongress des Chaos Computer Clubs.

(axk)