Wegen CCC-Hack: Keine Video-Identifizierung für Krankenkassen

Videoident

Nachdem der Chaos Computer Club Sicherheitsmängel im Videoident-Verfahren demonstriert hat, werden sie nicht mehr von deutschen Krankenkassen eingesetzt. Der zuständige IT-Dienstleister Gematik untersagte bis auf Weiteres ihre Nutzung.

Ein Sprecher des Bundesinnenministeriums sagte am Mittwoch, man nehme die Situation auch über die Anwendung bei den Krankenkassen hinaus sehr ernst. Das Verfahren werde «sehr sorgfältig» geprüft. Diese Prüfung beziehe sich auch auf die Fortsetzung der Nutzung dieser Technologie.

Anzeige

Bei den Videoident-Verfahren laden Nutzerinnen und Nutzer ein Video von sich und ein Ausweisdokument hoch, das von menschlichen Prüfern oder Software abgeglichen wird. Die Systeme wurden bisher zum Beispiel bei der Anmeldung für Apps der Krankenkassen mit sensiblen Nutzerdaten, bei der Anmeldung beim Onlinebanking oder auch bei Carsharing-Diensten verwendet.

Warnung vor möglichen Schwachstellen gab es bereits seit einiger Zeit. Der Chaos Computer Club beschrieb nun in einem ausführlichen Papier, wie sechs Videoident-Verfahren mit einem neuen, vereinfachten Angriff manipuliert werden könnten.

Die Idee dabei ist, zwei oder mehr echte Identifikationsdokumente zu einem künstlichen neuen zu kombinieren. «Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen», erläuterte der CCC. So könne man zum Beispiel das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes ersetzen. Auch etwa die Anschrift könne verändert werden. «Der geringste Aufwand entsteht dem Angreifer, wenn er für die Vorbereitung des Angriffs kurzzeitig in den Besitz des ID-Dokuments der angegriffenen Person selbst gelangt», warnte der CCC.

Anzeige

Ein Sprecher des Bundesgesundheitsministerium begrüßte das Einschreiten von Gematik, da es sich bei den Patientendaten um sensible Informationen handele.

dpa

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.