Berlin. Aufgrund einer „sicherheitstechnischen Schwachstelle“ dürfen sich Versicherte bei der Beantragung ihrer elektronischen Patientenakte ab sofort nicht mehr mit dem gängigen Video-Ident-Verfahren identifizieren. Die Gematik hat das Verfahren zur Nutzung in Zusammenhang mit der Telematikinfrastruktur (TI) bis auf Weiteres für unzulässig erklärt, wie sie am Dienstag (10.8.) mitgeteilt hat.
Konkret bedeutet dies, dass Krankenkassen das Video-Ident-Verfahren nicht mehr anbieten dürfen, damit sich Versicherte identifizieren. Verfahren, die mit einer Identifizierung des Versicherten vor Ort arbeiten, etwa beim Erscheinen der Versicherten auf einer Geschäftsstelle der Kasse, sind nicht betroffen.
Das Video-Ident-Verfahren ist jedoch deutlich komfortabler, da die Identifizierung bequem von daheim aus erledigt werden kann: Nutzer weisen sich dabei aus, indem sie ihre Ausweispapiere mit ihrer Handykamera erfassen und parallel ihr Gesicht zeigen. Die Angaben werden dann entweder von Support-Mitarbeitern oder von Algorithmen überprüft, sodass Endkunden ihre Identität beweisen können. Das Video-Ident-Verfahren kommt beispielsweise auch beim Abschluss von Handyverträgen oder Eröffnung von Bankkonten zum Einsatz.
Eine weitere Schippe Aufwand
Fällt nun die komfortable Möglichkeit des Video-Ident-Verfahrens vorerst weg, könnte dies die E-Akte – deren Beantragung ohnehin überaus komplex ist – im schlimmsten Fall noch unattraktiver machen. Ohnehin ist sie im Praxisalltag Stand heute eine Rarität: Daten des Branchenverbands Bitkom zufolge haben nur 0,5 Prozent der Versicherten eine E-Akte.
Auch das E-Rezept ist betroffen, da Versicherte auch hierbei eine PIN von ihrer Krankenkasse anfordern und sich dafür identifizieren müssen.
Unklar blieb am Dienstag, ob auch die Identitäten aller Versicherten nachträglich überprüft werden müssen, die bei der Beantragung ihrer E-Akte das Verfahren genutzt hatten. Dies könnte für Nachfragen bei Hausärztinnen und Hausärzten sorgen.
In diesem Fall können Praxen beruhigt auf die weiteren Identifizierungsverfahren verweisen, die laut Gematik nicht betroffen sind:
- alle Verfahren, die eine Prüfung des Ausweises vor Ort beinhalten (z. B. Filiale der Krankenkasse oder Postident bei der Zustellung), sowie
- alle Verfahren unter Nutzung der Online-Ausweisfunktion.
Parallel dazu arbeiten Gematik und Bundesgesundheitsministerium daran, „zusätzliche Verfahren bereitzustellen, die eine Vor-Ort-Begutachtung des Ausweises beinhalten“, heißt es.
Anbieter müssen Sicherheitslücke schließen
Über die Wiederzulassung von Video-Ident könne erst entschieden werden, “wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind”, teilt die Gematik mit.
Medienberichten zufolge erfolgte das Verbot, nachdem es dem Chaos Computer Club gelungen sein soll, bei sechs verschiedenen Anbietern einer elektronischen Patientenakte fremde Identitäten verifizieren zu lassen. In mindestens einem Fall sei es den Forschern zudem möglich gewesen, eine E-Akte für eine dritte Person zu beantragen.
Den Berichten zufolge hatte die Gematik selbst die Sicherheitsforscher beauftragt.