Wir berichteten bereits davon, dass die gematik es den Krankenkassen untersagt hat, das VideoIdent-Verfahren (Wikipedia-Beitrag dazu) für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) zu nutzen.
Da gibt es eine Schwachstelle, die nun aufgedeckt wurde. Dass VideoIdent unsicher ist, wurde durch den CCC (Chaos Computer Club) bewiesen, dabei haben sich die Sicherheitsforscher unter anderem Zugriff auf die elektronische Patientenakte einer Testperson verschafft.
Martin Tschirsich, ein Sicherheitsforscher des CCC (der neulich erst was zu Foto-Ident schrieb), demonstrierte bereits 2019, wie Unbefugte in den Besitz von Gesundheitskarten, Arzt- und Praxisausweisen gelangen konnten. Es liest sich natürlich einfacher als es ist, aber das Austricksen von VideoIdent sei durch Open-Source-Software und ein bisschen rote Aquarellfarbe gelungen.
Da VideoIdent seit letztem Jahr für den Zugriff auf ePatientenakte und inzwischen auch eRezept im Einsatz ist, konnte Tschirsich im Prinzip für eine beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine elektronische Patientenakte (ePA) eröffnen und darüber deren in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern.
Besonders schlimm dürfte diese Aussage aus dem Bericht des CCC wirken: „Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar. Daher ist das Risiko des weiteren Missbrauchs als hoch einzuschätzen.“
Mal schauen, was durch das Bekanntmachen der Lücke in anderen Bereichen noch passiert.