Manipulierte Ausweise: CCC hackt Videoident

Hinter dem Stopp von Videoident-Verfahren bei den Krankenkassen steckt ein Hack des Chaos Computer Clubs. Der Verein fordert weitere Konsequenzen.

Artikel veröffentlicht am ,
Mit einfachen technischen Verfahren lassen sich Ausweisdokumente per Videoident manipulieren.
Mit einfachen technischen Verfahren lassen sich Ausweisdokumente per Videoident manipulieren. (Bild: CCC)

Sicherheitsexperten des Chaos Computer Clubs (CCC) haben einen erfolgreichen Angriff auf gängige Lösungen für Identifizierungsverfahren per Video (Videoident) demonstriert. Dabei hätten sie sich unter anderem Zugriff auf die elektronische Patientenakte einer Testperson verschafft, teilte der CCC am 9. August 2022 mit. Die Hackervereinigung fordert, "diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht".

Stellenmarkt
  1. Software Developer (m/w/d)* für .NET-Anwendungen
    Hallesche Krankenversicherung a. G., Stuttgart
  2. Leitung IT Demand Management (m/w/d)
    Stadtwerke München GmbH, München
Detailsuche

Bereits am Vortag untersagte die Gematik aus Sicherheitsgründen den Krankenkassen die Nutzung von Videoident-Verfahren. Hintergrund der Entscheidung war offenbar der nun bekanntgewordene Hack der Verfahren durch den CCC.

In einem 30-seitigen Bericht (PDF) demonstriert der Sicherheitsforscher Martin Tschirsich einen "praktischen Angriff auf Videoident". Darin erläutert er, wie es ihm "mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe gelungen ist, mittels 'videotechnischer Neukombination mehrerer Quell-Dokumente' sechs Videoident-Lösungen zu überlisten und den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln". Bislang seien diese Angriffe unerkannt geblieben.

Da Videoident seit 2021 für den Zugriff auf die ePatientenakte und inzwischen auch das eRezept im Einsatz sei, habe Tschirsich "im Prinzip für eine beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine elektronische Patientenakte (ePA) eröffnen und darüber deren in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten Gesundheitsdaten anfordern" können.

CCC: Angriff mit geringem Aufwand durchführbar

Golem Karrierewelt
  1. Blender Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.12.2022, Virtuell
  2. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    24.-27.10.2022, virtuell
Weitere IT-Trainings

In dem beschriebenen Fall erlangte Tschirsich Zugriff auf die Gesundheitsdaten einer eingeweihten Testperson, "darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen".

Nach Einschätzung des CCC ist der Angriff "von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar". Daher sei das Risiko des weiteren Missbrauchs als hoch einzuschätzen.

Auch eine Prüfung durch Methoden der künstlichen Intelligenz (KI) hält Tschirsisch nicht für zuverlässig. "Die Annahme, dass moderne Videoident-Verfahren die bekannten Schwächen 'durch den Einsatz von künstlicher Intelligenz' beheben können, hat sich in der Praxis als falsch herausgestellt", sagte der Sicherheitsforscher.

Bitkom kritisiert pauschalen Stopp von Videoident

Kritik an der Entscheidung der Gematik kam unterdessen vom IT-Branchenverband Bitkom. "Statt Anbieter mit Verdacht auf Sicherheitslücken anzusprechen und Lösungen zu erarbeiten, wurden alle Dienste pauschal gesperrt", sagte Bitkom-Hauptgeschäftsführer Bernhard Rohleder und fügte hinzu: "Wer jetzt digitale Gesundheitsangebote nutzen möchte, für die eine Authentifizierung notwendig ist, muss persönlich in einer Filiale der Krankenkasse oder der Post erscheinen. Damit wird eine unnötige Hürde auf dem Weg zu einer digitalen Gesundheitsversorgung aufgebaut."

Rohleder bezeichnete die Sofort-Identifizierung per Video "essenziell, um digitale Dienste schnell, sicher und einfach verfügbar zu machen". Das Verfahren sei deshalb "integraler Bestandteil digitaler Angebote in vielen Branchen - sei es bei der Anmeldung eines Bankkontos, bei Kreditprüfungen, Versicherungsverträgen oder bei Prüfungen für Carsharing-Dienste". Videoident-Anbieter ohne Sicherheitslücken müssten daher auch bei den Krankenkassen umgehend wieder für Identifizierungsverfahren zugelassen werden.

Nachtrag vom 10. August 2022, 21:45 Uhr

Der Sprecher von Bundesgesundheitsminister Karl Lauterbach (SPD), Hanno Kautz, begrüßte hingegen am Mittwoch vor Journalisten in Berlin das Vorgehen der Gematik, "weil gerade Patienten- und Behandlungsdaten sehr sensible Daten sind und wir deswegen um hohe Sicherheitsstandards bemüht sind".

Ein Sprecher des Bundesfinanzministeriums wollte sich hingegen noch nicht zu der Frage äußern, ob der Bericht des CCC auch Auswirkungen auf die Nutzung von Videoident im Bankenwesen habe. Das Ministerium könne dies noch nicht bewerten, "weil maßgebliche Einzelheiten zu den Angriffsszenarien in dem bisher vorliegenden Bericht noch nicht vorliegen".

Innenministerium prüft weitere Nutzung von Videoident

Das für Fragen der IT-Sicherheit zuständige Bundesinnenministerium bezeichnete das Videoident-Verfahren als "eine Brückentechnologie, die aufgrund ihrer Marktdurchdringung und Verfügbarkeit derzeit zur Fernidentifizierung genutzt wird". Das Ministerium nehme die aufgezeigten Angriffsvektoren auf zwei Identifizierungsverfahren "sehr ernst". "Die konkreten Umstände der jeweiligen Angriffsszenarien wird die Bundesregierung sehr sorgfältig prüfen", sagte ein Sprecher. Das beziehe sich auch "auf die Fortsetzung der Nutzung dieser Technologien".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


EdRoxter 31. Aug 2022 / Themenstart

D'accord!

Mopsmelder500 15. Aug 2022 / Themenstart

Das Postident der Post ist auch nicht besser. Ich habe zu Pandemiezeiten zwei Konten...

dobeldo 13. Aug 2022 / Themenstart

Nachtrag: glaube kaum das irgendein Hacker "kaputt machen" in Verbindung mit dem CCC in...

dobeldo 12. Aug 2022 / Themenstart

Was willst du denn damit sagen? Weil manche Leute eine Begriff negative wahrnehmen, er...

Kommentieren



Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Brandenburg: DNS:Net kann wohl ganzen Landkreis ausbauen
    Brandenburg
    DNS:Net kann wohl ganzen Landkreis ausbauen

    DNS:Net beginnt in Elbe-Elster 55.000 Haushalte mit FTTH auszubauen. Zuvor war die Telekom hier gefördert aktiv.

  2. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

  3. Elektroauto: Hyundai Ioniq 6 soll 614 km pro Ladung fahren
    Elektroauto
    Hyundai Ioniq 6 soll 614 km pro Ladung fahren

    Beim Ioniq 6 zeigt sich wieder einmal, dass ein niedriger Luftwiderstandsbeiwert essentiell ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /