Fremde Patientenakte abgerufen
Video-Ident gehackt: Chaos Computer Club demonstriert Manipulierbarkeit
Der Chaos Computer Club hat Video-Ident gehackt und auf diesem Weg Zugriff auf die elektronische Patientenakte einer Testperson erhalten. In der Folge haben die Krankenkassen das Verfahren bis auf weiteres ausgesetzt. Wie andere Nutzer der Technologie mit dem Sachverhalt umgehen, ist derzeit noch nicht bekannt.
Video-Ident wird seit 2021 für den Zugriff auf die digitale Patientenakte und inzwischen auch für das sogenannte eRezept genutzt. Darüber hinaus können per Video-Ident authentifizierte Personen beispielsweise Mobilfunkverträge abschließen, Kredite beantragen und Bankkonten anlegen.
Sensible Informationen zu Hauf
Für den Nachweis der Unsicherheit des Verfahrens haben die Hacker die elektronische Patientenakte gewählt. Mithilfe von verschiedenen Manipulationen konnte ein Sicherheitsforscher des Chaos Computer Club für eine beliebige Auswahl der rund 73 Millionen in Deutschland gesetzlich Versicherten eine elektronische Patientenakte eröffnen und darüber die in Arztpraxen, Krankenhäusern und bei Krankenkassen gespeicherten personenbezogenen Gesundheitsdaten anfordern – dazu zählen eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen.
Mit geringem Aufwand ausführbar
Ein solcher Angriff sei von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar. Offenbar haben die Hacker einen in Echtzeit manipulierten Videofeed abgefilmt, anstatt selbst direkt vor der Kamera zu sitzen. Das Ganze sei mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe gelungen. Insgesamt habe man so sechs Video-Ident-Lösungen überlistet und den Mitarbeitern bzw. der Software eine fremde Identität vorgegaukelt, die Angriffe blieben bis heute unerkannt.
Der Chaos Computer Club betont, dass die Sicherheitslücke keinesfalls überraschend kommt. Datenschützer hätten schon seit langem vor dieser Art der Online-Identifikation gewarnt, seien bei der Bundesregierung und den Behörden allerdings stets auf taube Ohren gestoßen:
Deren Ausrede lautete: „Der Bundesregierung sind bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt.“ Einen konkreten Sicherheitsvorfall liefert der CCC hiermit gern und meldet somit Handlungsbedarf an.
seien bei der Bundesregierung und den Behörden allerdings stets auf taube Ohren gestoßen:
Die Bundesregierung ist doch zu Nix fähig…
Leider ist das wirklich so :(
Das hat mit der derzeitigen Bundesregierung wenig zu tun!
Allerdings wäre es wirklich nötig die Verwaltung zu verbessern!
Was für ein populistischer Quatsch. Bundesregierungen machen im Grunde nichts. Sie entscheiden nur und setzen damit den Mehrheitswillen sich widersprechender Interessen um. Die Bundesregierung ist keine Programmierklitsche, die ID-Software programmiert. Vielleicht war es ein Fehler das Verfahren einzuführen. Vielleicht gibt es aber auch nur ein paar lösbare Probleme und Ihr hättet der Regierung vorgeworfen, nicht mit der Zeit mitzuhalten, wenn sie so eine Innovation von vorneherein abgelehnt hätte.
max (Bin Schweizer und in keiner Regierung ;-)
Danke Max. Gut gesagt!
Wäre noch interessant, ob die Bundesregierung mit der Einführung des ID-Verfahrens überhaupt was zu tun hatte – nicht jede Entscheidung in Deutschland geht durch den Bundestag!
Was Bitteschön hat das denn jetzt mit der Bundesregierung zu tun? Der CCC hat auf diese Weise mehrere Videoidentverfahren „gehackt“, die allesamt privatwirtschaftlich entwickelt wurden. Bitte auf der CCC-Seite durchlesen.
Das ist schon wirklich Populismus pur, für alles die Bundesregierung zu kritisieren (kann man gern machen, wenn sachlich begründet und in ihrem Handlungsspielraum). Aber erstmal mit den Fakten vertraut machen.
Gilt das jetzt für Video ident Verfahren allgemein? Oder nur das von den Krankenkassen ?
Ich meine jetzt so etwas wie Post ident oder so…
Du weißt, wie Post-Ident funktioniert?
Du weißt offenbar nicht wie Post Ident funktioniert fronk. Es gibt verschiedene Identarten unterhalb von Post Ident. Auch ein Video Ident.
@fronk
Es gibt auch Video Post Ident von der Deutschen Post
Wenn das auch überall angeboten werden würde :-/
Video Ident Verfahren allgemein.
Post Ident funktioniert ja ganz anders. Da musst du persönlich bei einer Postfiliale dein Gesicht dem Mitarbeiter zeigen. Das ist analog und somit kann es nicht gehackt werden. Aber du kannst natürlich eine Gesichts-Maske aufsetzen, so wie bei Mission Impossible ;-)
Beiträge gelesen? Dein Kommentar ist schon obsolet!
Grundsätzlich sind alle betroffen, die Krankenkassen haben es aber von der Gematik untersagt bekommen es weiter zu verwenden – weil eben unsicher.
Was die ganzen finTechs daraus machen….
Das wäre der Hammer wenn in Deutschland alle Fintechs und Co dadurch eingeschränkt werden.
Es wäre eher der Hammer, wenn endlich mal alle Bundesbürger ihren seit vielen Jahren vorhandenen Perso zur Online-Identifikation nutzen würden.
+1
Das erste mal das ich es gesehen habe mit ein realen Nutzen ist bei der Elster Platform.
Warum sollte ich das tun?
Bin und bleibe Oldschool und sehe keinen Nutzen darin.
„Das Internet ist für uns alle Neuland“
Angela Merkel
Scheint immer noch gültig zu sein.
was erwartest du? hat sich was signifikant geändert? ist Infrastruktur bedarfsgerecht erweitert worden? Hält die juristische Ebene der technologischen Entwicklung schritt oder lassen wir uns weiter von Internetfirmen zum Narren halten, indem sie sich aus gesellschaftlicher und steuerlicher Verantwortung stehlen?
faktisch ist doch nichts passiert… und solange jeder infrastrukturelle Gedanke vergeschäftlicht wird, wird mindestens der ländliche Raum weiter Neuland bleiben, bis alle dort hinziehen, weil sie sich die teuren Großstädte nicht mehr leisten können. Erst dann werden die Internetfirmen erkennen, dass im Speckgürtel die Kunden sitzen, an die sie ran wollen… dann geht alles plötzlich ganz schnell…
Amen!
Meine Eltern leben auf dem Dorf in Mecklemburg und haben seit 2021 Glasfaser. Das Mobilfunknetz ist dort deutlich verbessert worden. Ich meine, viel ländlucher geht es nicht. Ich weiss nicht wo Ihr lebt und warum Ihr noch nicht dran wart. Tut mir echt leid.
max
Also ich wohne im „Speckgürtel“ und bei uns bauen die Stadtwerke nach und nach Glasfaser (FTTH) aus. Ich schätze bis in spätestens drei Jahren sind die damit durch.
Bis dahin gibts noch Internet im Kabelnetz (aktuell max. 1000 mbit/s down) und DSL von der Stadtwerken bis max. 50 mbit/s. Nur die Telekom bietet meines Wissens nach noch immer nur DSL light an. Deshalb ist bei denen auch keiner mehr.
Da hat sich in den letzten Jahren schon einiges getan.
Hehe. Seit Merkel ist Deutschland ‚Digitales Entwicklungsland‘!
Nichts ist 100% sicher.
Die Frage ist doch, gibt es sichere Alternativen?
Denn vor Ort legitimieren ist keine wirklich Alternative und selbst dies ist nicht zu 100% sicher. Auch hier kommt man bei dem ein oder anderen Mitarbeiter mit einer Fälschung durch.
Gibt doch die Möglichkeit den Perso zur Verifizierung mit der Ausweis App zu nutzen..
@Burnz
Oh man, ja.. auf die einfachste Variante bin ich natürlich nicht gekommen. Danke :-)
Frag mich wieso Video Ident so populär geworden ist man kann doch auch einfach die Ausweis App und den Perso verwenden oder alternativ Postident und der Filiale oder per App..
Weil bequem
Im Vergleich wäre der Perso aber noch bequemer.
Leider hat der CCC genau den NFC Ausweis lange torpediert und ist damit mitverantwortlich, dass er sich bis heute nicht richtig durchgesetzt hat.
In der Tat ist das aber jetzt ihre Empfehlung, wenn ich es richtig verstanden habe. Vielleicht gibt es dann endlich mal einen Boost. Ich frage mich schon länger warum das kaum Verwendung findet.
solange es helle Köpfe gibt, die ihren Internet Perso in die Mikrowelle stecken, um den rfid chip zu killen und natürlich, so lange die goverment digital Angebote fehlen, für die man diesen Ausweis digital auch mal nutzen kann, abseits von de-mail (die stirbt)… wird sich da nicht so viel tun.
Weil die Usability ein Grauen ist. Der Chip wird in 1 von 10 Fällen gelesen…
Hatte auch Probleme mit iPhone X, mit dem 13er nicht mehr.
Kann ich absolut nicht bestätigen, klappt bei mir in 10 von 10 Fällen. Ich weiß ja nicht, wie du das hin und her schüttelst…
@Frank: kann ich auch absolut nicht bestätigen. Mit dem iPhone als NFC Lesegerät bisher keine Probleme gehabt.
Darum geht es ja leider nicht.
selbst wenn ich kein Video-Ident nutze, kann jemand anderes in meinem Namen handeln. Ich hab einfach keinen Einfluss drauf und bekomm es erstmal nicht mit.
Digitalisierungsprojekte in Deutschland sind doch immer katastrophal.
Hier insbes. die Gematik und das BMG….und das schon lange vor Spahn….
Das BMG war schon bei Ulla Schmidt und der Gesundheitskarte einfach nur überfordert und peinlich.
Und das obwohl die deutsche Bevölkerung innovationsfreudig ist, konstruktiv mitmacht und nicht immer nur nach Fehlern sucht oder welche erfindet um ja nieeeee mit dem Meckern aufhören zu müssen.
Regierungen sind in Demokratien immer auch ein Spiegel Ihrer Wähler. Und in repräsentativen Mediendemokratien auch ein Spiegel vieler Nichtwähler. Deutsche sind Bremser und meckern gleichzeitig, dass nicht voran geht.
Schaut mal in die Schweiz, die zwar kulturkonservativ ist, aber technisch deutlich weiter mit einer Bevölkerung, die auf realistischere Art kritisch ist.
So wahr! Hierzulande versteht man die Politik als Dienstleister, der alles für einen regeln soll. Selbst will man möglichst keine Verantwortung übernehmen oder sich gar engagieren. Meckern ist halt einfacher als selbst aktiv zu werden.
@max: in Deutschland liegt es auch daran, dass ein unglaubliches Misstrauen gegenüber dem Stadt herrscht und zwar auf allen Ebenen.
Die Schweiz mit direkter Demokratie und einer extrem kleinen Bevölkerungszahl zu vergleichen, funktioniert leider nur begrenzt
@cashondelivery
Da hast Du Recht, der Vergleich hinkt und ist in der Regel nicht hilfreich. Allerdings sind technische Innovationen wie Softwarelösungen mit hohen Entwicklerkosten verbunden und weniger von der Zahl der Nutzer:innen abhängig. In diesen Fällen ist die kleinere Bevölkerungszahl eher von Nachteil. Andererseits ist das BIP pro Kopf in der Schweiz sehr hoch. Am Ende ist allerdings der und due Deutsche ein Preiskäufer und ihre Regierung auch. Wenn dann kein solides Produkt dasteht, wird wieder gemeckert, weil Qualität erwartet wird, für die nicht bezahlt wurde. Das Schweizer Volk hat sehr selten aufbegehrt, wenn Qualität eingekauft wurde, selbst wenn es mehr Kostet. Is ne Kulturfrage, glaub ich.
Die Technker Krankenkasse hat das VideoIDent aus Ihrer App geschmissen und unterstützen nur noch PostIDent.