gematik untersagt Nutzung von VideoIdent-Verfahren bei Krankenkassen
Die gematik, vielen sicherlich durch das E-Rezept bekannt, hat die weitere Nutzung von VideoIdent-Verfahren für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zulässig erklärt und am 09.08.2022 verfügt, dass die Krankenkassen das VideoIdent-Verfahren ab sofort aussetzen.
Dies ist aufgrund einer der gematik zugänglich gemachten sicherheitstechnischen Schwachstelle in diesem Verfahren aus Sicht der gematik unumgänglich. Sie handelt hier im Rahmen ihrer rechtlichen und verwaltungsgemäßen Befugnisse und vor dem Hintergrund des hohen Schutzbedarfs bei der Digitalisierung des Gesundheitswesens.
Weitere Identifizierungsverfahren sind nicht betroffen und können weiterhin genutzt werden: alle Verfahren, die eine Prüfung des Ausweises vor Ort beinhalten (z. B. Filiale der Krankenkasse oder Postident bei der Zustellung), sowie alle Verfahren unter Nutzung der Online-Ausweisfunktion. Parallel dazu arbeiten gematik und Bundesgesundheitsministerium daran, zusätzliche Verfahren bereitzustellen, die eine vor Ort-Begutachtung des Ausweises beinhalten.
Was natürlich weiterhin nicht sicher ist: Foto-Ident. Neulich wurde bekannt, dass beispielsweise die Barmer-Krankenkassen für digitale Identitäten auf verimi setzen, weil ab 2023 alle Krankenkassen ihren Mitgliedern eine sichere digitale Identität anbieten müssen, die gleichberechtigt und ergänzend zur elektronischen Gesundheitskarte (eGK) funktioniert. Foto-Ident gilt als unsicher und wurde ja schon mehrfach überlistet, zuletzt bei verimi.
Und VideoIdent ist eigentlich sicherer, in Zeiten von Deep Fake aber auch nicht mehr so ganz. Experten raten bei Videogesprächen dazu, dass der Nutzer seinen Kopf auch einmal seitlich bewegen und zeigen soll, gerade da soll Deep Fake noch Schwierigkeiten haben.
Hand aufs Herz: Gerade bei digitalen Dingen darf es nicht „fast sicher“ sein, wenn man sich authentifiziert. Das muss ganz sicher sein.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Und demnächst: Gematik, bietet neuartiges Video Ident Verfahren an. Ein Monat später wird dann der Pfusch bemerkt und das ganze dann kleinlaut eingestellt.
Das wird dann das sogenannte TI Video Ident. Basiert dann auf dem TI Matrix Messenger in Verbindung mit KIM. Natürlich läuft das ganze nur auf Konnektoren mit PTV 5.30 aufwärts. Ein digitaler Albtraum.
Diese ganzen irgendwas-idents sind doch eh nur Krücken. Entweder man identifiziert sich irgendwo vor Ort oder alternativ per eID mit dem Perso. Letztere Möglichkeit verbreitet sich zum Glück immer mehr, wenn auch (zu) langsam und ist dank AusweiApp und Smartphone auch ohne teuren Kartenleser möglich. Mehr Optionen braucht es doch eigentlich nicht.
>> …per eID mit dem Perso. <<
Das ist mir auch ein absolutes Rätsel, weshalb die eID nicht für solche Fälle genutzt wird. Genau dafür ist die doch da.
Gibt es hier irgendwelche rechtlichen Einschränkungen?
Das nicht aber nicht jedes Handy hat NFC. Kam nicht erst kürzlich ein Highend Gerät ohne NFC auf den Markt?
Wo denn, etwa in Taka-Tuka Ländern wie Indien, wo der Kleinbürger mit der Kamera den Bezahlcode abscannt? Die kaufen aber mangels Finanzen keine High-End Geräte.
Überpingelig. „Fast sicher“ reicht mir locker. Zudem „hinlatschen und Perso zeigen“ deutlich unsicherer ist – oder ist irgendwer schonmal mit einem uralten Bild irgendwo abgewiesen worden?
Das ist dann aber ein Problem des Ausweises bzw. der entsprechenden Prozesse. Wenn ein altes Bild ein Problem ist muss der Ausweis halt alle 3 Jahre und nach jeder „gravierenden optischen Veränderung der Inhabers“ erneuert werden (oder was weiss ich, was da Sinn macht). Alternativ ist ja inzwischen auch der Fingerabdruck auf dem Perso hinterlegt. Den könnte man ja abgleichen. Das wäre halt der Mehraufwand, wenn man die Online-Funktion nicht nutzen will oder kann. Sicher war schon immer unbequem. Oder es wird entschieden, dass das Schutzniveau für Gesundheitskram nicht so hoch sein muss. Dann macht man halt weiter *-ident Kram.
Da hast Du meinen Beitrag falsch verstanden. Ich wollte sagen, dass mein Perso überall akzeptiert wird. Ähnlich sieht es mit der Krankenkassenkarte aus – ich sehe aber definitiv NICHT mehr so aus wie mein Bild (Mann im kritischen Alter 🙂 ), Haare und Gewicht klar falsch, trotzdem geht das immer anstandslos durch.
Ich behaupte mal, dasss 10-20% der männlichen Bevölkerung sich mit meinen Ausweise irgendwo „identifizieren“ können: Mittelgrosser Mann im mittleren Alter mit irgendwie so dunkle Haare…
Deswegen ist es für ich unverständlich, dass irgendwelche „crazy hacks“ auf dem Computer sofort problematisch sind, während „Durchschnitts-Typ zeigt vor Ort Durchschnitts-Foto vor“ dann vollkommen OK ist.
Mir würde „fast sicher“ mehr als ausreichen. Wenn wir wirklich auf „ganz sicher“ warten, wird das nie was mit der Digitalisierung, denn das wird es wohl nie geben.
So ist es. Das Dumme ist nur, dass wir Deutschen es gerne immer 110%-ig machen wollen, ob wir es nun können oder nicht. Und niemand soll einem natürlich vorwerfen können, man hätte nicht alles bis zum Ende bedacht. In dieser schnelllebigen Zeit wird das nur nicht mehr funktionieren.
Die Krankenkassen vermasselt zusammen mit dieser Gematik die Digitalisierung im Gesundheitswesen, und zwar extrem und in einer Art laienhaft und völlig mangelnden Sachverstandes, was uns nötig in Schwierigkeiten bringt.
Meine Argumente
Die Krankenkasse AOK macht:
1. Email zur Loginpflicht
2. Handynummer zur Loginpflicht
3. Erzwingen eine Displaysperre
4. Erzwingen zusätzlich ein 6 stelligen PIN
5. Erzwingen zusätzlich ein Passwort
6. Machen das Video-Ident zur Grundvoraussetzung
7. Wenn du obige Dinge nicht tust, kriegst du kein Login bei der AOK
8. Das Video-Ident Verfahren wird in einer Art ausgeführt als würdest du eingeknastet werden. Sie machen nicht nur Bilder von deinem Ausweis sondern von dir selbst aus allen Winkeln der Ecke
9. Wenn du die App neu-installieren musst, hast du keine Berechtigung mehr in die App zu kommen und musst das Video-Ident nochmal machen. Keine Antwort von der AOK was sie mit all den Bildern machen die sie von dir und deinem Ausweis geschossen haben
10. Wir wissen alle nicht wie sicher der Server der AOK ist. Ich traue der AOK nicht zu dieses Thema gut umzusetzen
Nachdem was ich da erleben musste, habe ich nicht das Gefühl das die auch nur einen Hauch von Ahnung haben. Die sind umständlich, nicht nutzefreundlich, haben keine intuitiven (Sicherheits-) Prozesse
(das kostet Geld, vor allem wenn das Sicherheitsding primär beim Anbieter liegt und er in seine Backgroundsysteme investieren muss). Meine AOK Karte besitzt einen NFC Chip doch die App der AOK kann mit meiner digitalen Karte nichts anfangen!
Als Vergleich:
Die AusweisApp macht alles alleine, du musst bloß den Ausweis an die App halten für manche Dienste den Rest übernimmt die App. Sogar wenn du deinen PIN vergessen hast, musst du nichts tun als die Ausweis an die App halten.
Und die AOK? Da musst du dreifach und vierfach deine Versichertennummer und den ganzen Mist eingeben.
Ich weiß nicht wie es mit anderen Krankenkassen ist, aber das ist hochgradig laienhaft. Login sollten meiner Erfahrung nach mit zugewiesenen Login Daten (wie bei den Banken) für solch wichtige Daten und einer App die sich verifiziert (das könnte die AusweisAPP in Zukunft als Schnittstelle übernehmen mit QR-Code Scanner damit du nicht von allen Unternehmen eine separate App brauchst)
Bei der AOK Niedersachsen muss ich in eine Filiale fahren und mich vor Ort verifizieren lassen, damit ich eine PIN für meine Gesundheitskarte bekomme. Könnte k …
An diejenigen die meinen ihnen genug „fast sicher“:
Ich bin mir sehr sicher, dass ihr spätestens dann anders darüber denkt wenn die ersten Mahnungen von Telekom, Vodafone und O2 eintrudeln weil jemand sich eine „fast sicher“ Identität in eurem Namen beschafft hat und damit dann einige Handyverträge – natürlich mit Handy – abgeschlossen hat.
Oder ein Wohnmobil für 100.000 gemietet und dann irgendwo verkloppt hat. Oder eine Wohnung gemietet aber nie Miete überwiesen. Möglichkeiten gibt es da viele.
Ob ihr dann immer noch denkt „fast sicher“ ist sicher genug???
Eieiei … ich hätte nochmal Korrektur lesen sollen vorm abschicken.
Nur nutzt es alles nichts, die Nutzer zu gängeln, wenn meine bisher geleakten Daten von Unternehmen verteilt wurden und werden? Jeder kommt da ran, nur nicht ich selber…
Du nutzt nur Totschlagargumente für den Maximalknast, Wie Sexbilder für die Onlinedurchsuchung vom Cloudspeicher. Und solche Sachen wie ein Endlager für Atommüll gibt es trotz tatsächlicher Notwendigkeit nach über einem halben Jahrhundert immer noch nicht.