Anzeige

VideoIdent Hack: Das waren die Hintergründe für die Gematik Datenschutz Aktion --VideoIdent-Verfahren gestoppt

• 15.08.22 Die Gesellschaft Gematik hat auf Sicherheitslücken beim VideoIdent-Verfahren letzte Woche reagiert. Dabei hatten die Sicherheitsexperten des Chaos Computer Clubs (CCC) einen erfolgreichen Angriff auf das VideoIdent Verfahren per Video demonstriert. So hatten sich die Hacker unter anderem Zugriff auf die elektronische Patientenakte einer Testperson verschafft. Der CCC fordert daher, diese unsichere Technologie nicht mehr dort einzusetzen, wo ein hohes Schadenspotential besteht. Wohl auch nicht viel besser sieht es beim Datenschutz bei den Gesundheitsdaten von 73 Millionen Versicherten bei den Krankenkassen aus. So will die Gesellschaft für Freiheitsrechte (GFF) mit zwei Klägern vor den Sozialgerichten in Berlin und Frankfurt gegen die heikle Datenweitergabe vorgehen.

AKTION 500x500
Anzeige

VideoIdent Hack: Das waren die Hintergründe für die Gematik Datenschutz Aktion --VideoIdent-Verfahren gestoppt

Im Video-Ident-Verfahren können Nutzer ihre Identität im Internet nachweisen, indem sie ein Video von sich und ihrem Ausweisdokument an einen Video-Ident-Anbieter übertragen und dort durch einen Mitarbeiter oder eine Software prüfen lassen. Anschließend kann der so Identifizierte beispielsweise Mobilfunkverträge abschließen, EU-weit rechtsverbindlich unterschreiben (QES), Kredite beantragen und Bankkonten anlegen - oder eine elektronische Patientenakte (ePA) eröffnen.

VideoIdent Hack: Das waren die Hintergründe für die Gematik Datenschutz Aktion --VideoIdent-Verfahren gestoppt
VideoIdent Hack: Das waren die Hintergründe für die Gematik Datenschutz Aktion
--VideoIdent-Verfahren gestoppt
-Bild: © PublicDomainPictures ((Pixabay-Lizenz)/ pixabay.com

Dass dieses Versprechen nicht eingehalten wird, zeigt Martin Tschirsich, ein Sicherheitsforscher des CCC, in seinem Bericht. Tschirsich demonstrierte bereits 2019, wie Unbefugte in den Besitz von Gesundheitskarten, Arzt- und Praxisausweisen gelangen konnten.

Dabei legt er ausführlich dar, wie es ihm mit Open-Source-Software sowie ein bißchen roter Aquarellfarbe gelungen ist, mittels "videotechnischer Neukombination mehrerer Quell-Dokumente" sechs Video-Ident-Lösungen zu überlisten und den Mitarbeitern bzw. der Software eine fremde Identität vorzugaukeln. Dabei blieben bis heute diese Angriffe unerkannt.

Bemerkenswert waren die Methoden. "Während sich alle Welt vor ausgefeilten Deep Fakes fürchtet, gelang hier der Angriff mit Uralt-Technik und einfachen Mitteln. Zugriff auf Rezepte, Diagnosen, Behandlungen", so der Computer Club.

In dem im Bericht beschriebenen Fall hat Tschirsich Zugriff auf die Gesundheitsdaten einer eingeweihten Testperson erlangt, "darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen".

Dieser Totalausfall bestätigt nun, wovor Datenschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem warnen, jedoch bei der Bundesregierung und der Bundesnetzagentur auf taube Ohren stießen, so CCC. Deren Ausrede lautete: "Der Bundesregierung sind bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt." Einen konkreten Sicherheitsvorfall lieferte der CCC und meldet somit Handlungsbedarf an.

Auch gibt es den Hinweis vom Computerclub: "Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar. Daher ist das Risiko des weiteren Missbrauchs als hoch einzuschätzen.".

Nachdem die Anbieter in der Vergangenheit auf die neue Wunderwaffe "KI-Prüfung" verwiesen, konstatiert Tschirsich: "Die Annahme, dass moderne Video-Ident-Verfahren die bekannten Schwächen "durch den Einsatz von künstlicher Intelligenz" beheben können, hat sich in der Praxis als falsch herausgestellt.".

Gematik hat VideoIdent-Verfahren bei den Krankenkassen gestoppt

Die Gesellschaft Gematik trägt die Gesamtverantwortung für die Telematikinfrastruktur (DI), und ist für die zentrale Plattform für digitale Anwendungen im deutschen Gesundheitswesen verantwortlich.

Datenschutz Gesundheitsdaten: Gesundheitsdaten von 73 Millionen auf dem Prüfstand vorm Sozialgericht
gematik Datenschutz Gesundheitsdaten: gematik hat VideoIdent-Verfahren
bei den Krankenkassen gestoppt © PublicDomainPictures (Pixabay License)/ pixabay.com

Nun hat die Gesellschaft die weitere Nutzung von VideoIdent-Verfahren für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur (TI) als nicht mehr zulässig erklärt und am 09.08.2022 verfügt, dass die Krankenkassen das VideoIdent-Verfahren ab sofort aussetzen.

"Dies ist aufgrund einer der gematik zugänglich gemachten sicherheitstechnischen Schwachstelle in diesem Verfahren aus Sicht der gematik unumgänglich. Sie handelt hier im Rahmen ihrer rechtlichen und verwaltungsgemäßen Befugnisse und vor dem Hintergrund des hohen Schutzbedarfs bei der Digitalisierung des Gesundheitswesens.", so die Begründung.

Weitere Identifizierungsverfahren sind nicht betroffen und können weiterhin genutzt werden, so die Aufsichtsgesellschaft.

Über die Wiederzulassung von VideoIdent-Verfahren kann erst entschieden werden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind.

Datenschutz Gesundheitsdaten: Gesundheitsdaten von 73 Millionen auf dem Prüfstand vorm Sozialgericht

Die Gesellschaft für Freiheitsrechte (GFF) sieht in dem neuen "Digitale-Versorgungs-Gesetz" (DVG) den Datenschutz aufgeweicht. So werden bis zum 1. Oktober 2022 die Daten von 73 Millionen gesetzlich Versicherten zu Forschungszwecken vollautomatisch in einer zentralen Datenbank zusammengeführt und dann immer weiter ergänzt. Ein Widerspruchsrecht gegen die Weitergabe gibt es nicht, so die Kritik.

Datenschutz Gesundheitsdaten: Gesundheitsdaten von 73 Millionen auf dem Prüfstand vorm Sozialgericht
Datenschutz Gesundheitsdaten: Gesundheitsdaten von 73 Millionen
auf dem Prüfstand vorm Sozialgericht © PublicDomainPictures (Pixabay License)/ pixabay.com

Die Nutzung von Gesundheitsdaten zu Forschungszwecken im Wohl der Allgemeinheit ist grundsätzlich sinnvoll. Die für die neue Gesundheitsdatenbank bislang gesetzlich vorgesehenen Schutzstandards reichen jedoch nicht aus. Gemeinsam mit der Informatikerin Constanze Kurz und einem weiteren Kläger mit einer seltenen Krankheit reicht die GFF Eilanträge gegen die Sammlung bei den Sozialgerichten in Berlin und Frankfurt ein.

So sollen nun die Daten der Versicherten bestmöglich geschützt werden, um einen Missbrauch zu verhindern. Zudem muss es möglich sein, gegen die Datenverarbeitung Widerspruch einzulegen.

Grundlage für die Gesundheitsdaten zu Forschungszwecken ist das 2019 in Kraft getretene "Digitale-Versorgung-Gesetz" (DVG). Zu den Daten zählen unter anderem ärztliche Diagnosen, Daten zu Krankenhausaufenthalten, zu Operationen und zu Medikamenten ihrer Versicherten. Die Informationen werden nach und nach aufgestockt und bis zu 30 Jahre gespeichert. Davon betroffen sind 73 Millionen gesetzlich Versicherte und damit fast 90 Prozent aller Menschen in Deutschland.

Datenweitergabe nur pseudonymisiert

Das Redaktionsnetzwerk Tarifrechner.de hatte schon damals vor der Datenweitergabe bei der RKI Datenspende gewarnt. So hatte der Chefredakteur Dipl. Inform. vom Redaktionsnetzwerk Tarifrechner darauf hingewiesen, dass pseudonymisiert nicht anonym ist und durch weitere Datenquellen der personenbezogene Datensatz wieder hergestellt werden kann.

Auch hier erfolgt die vollautomatisierte Weitergabe lediglich pseudonymisiert. Das bedeutet, dass der Name, der Geburtstag und -monat der versicherten Person entfernt werden. Ein im Auftrag der GFF erstelltes Gutachten des Kryptographie-Professors Dominique Schröder zeigt jedoch, dass eine solche Pseudonymisierung nicht davor schützt, dass Menschen re-identifiziert werden. Dies birgt ein erhebliches Missbrauchsrisiko, insbesondere da keine Pflicht zur Nutzung moderner Verschlüsselungstechnik besteht, um die Daten zu sichern, so die Datenschützer.

Daher kommt die Forderung nicht von ungefähr. Immerhin muss die gesetzliche Regelung der Gesundheitsdatenbank sich sowohl an der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) als auch am deutschen Grundgesetz messen lassen. Das Fehlen eines Widerspruchsrechts verstößt gegen das Grundrecht auf informationelle Selbstbestimmung und gegen Artikel 21 DSGVO.

EU Vertragsverletzungsverfahren: Deutschland muss Verpflichtungen zum Datenschutz bei der Strafverfolgung nachkommen

Die Europäische Kommission leitet regelmäßig rechtliche Schritte gegen Mitgliedstaaten ein, die ihren Verpflichtungen aus dem EU-Recht nicht nachkommen. Mit diesen Verfahren, die verschiedene Sektoren und EU-Politikfelder betreffen, soll eine korrekte und vollständige Anwendung des EU-Rechts im Interesse der Bürgerinnen und Bürger und der Unternehmen gewährleistet werden.

Dieses Aufforderungsschreiben ging neben Deutschland, auch an Griechenland, Finnland und Schweden. Diese Länder sind ihren Meldepflichten gemäß der Datenschutzgrundverordnung (DSGVO) (Verordnung (EU) 2016/679) und der Richtlinie zum Datenschutz bei der Strafverfolgung (Richtlinie (EU) 2016/680) nicht nachgekommen.

Vorratsdatenspeicherung: Neuer Bundesjustizminister Buschmann will Vorratsdatenspeicherung endgültig streichen
Vorratsdatenspeicherung: Neuer Bundesjustizminister Buschmann
will Vorratsdatenspeicherung endgültig streichen
-Bild: © PublicDomainPictures ((Pixabay-Lizenz)/ pixabay.com

Ferner hat Deutschland auch noch keine Maßnahmen zur Umsetzung der Richtlinie in Bezug auf die Tätigkeiten der Bundespolizei mitgeteilt.

Dabei hatte Griechenland auch einige Bestimmungen, unter anderem betreffend den Anwendungsbereich der Richtlinie zum Datenschutz bei der Strafverfolgung und die Fristen für die Speicherung von Daten, nicht ordnungsgemäß umgesetzt. Finnland und Schweden sind ihren Verpflichtungen in Bezug auf das Rechte Betroffener auf einen wirksamen gerichtlichen Rechtsbehelf in bestimmten Fällen nicht nachgekommen.

Die Mitgliedstaaten haben nun zwei Monate Zeit, um auf das Schreiben zu reagieren und die notwendigen Maßnahmen zu ergreifen, um die von der Kommission festgestellten Verstöße gegen das EU-Recht abzustellen. Andernfalls kann die Kommission mit Gründen versehene Stellungnahmen übermitteln.

Datenschutzbeauftragter Kelber mahnte schon im Jahr Januar 2021

Dabei hatte der Bundesdatenschutzbeauftragte Ulrich Kelber schon im letzten Jahr Deutschland beim Datenschutz in den Bereichen Polizei und Justiz ermahnt. "Diese hinken weiter massiv hinterher". Dabei hatte der Datenschützer Kelber die Bundesregierung aufgefordert, die einschlägige EU-Richtlinie von 2016 vollständig umzusetzen. Die EU-Mitgliedsstaaten hätten sich verpflichtet, alle dafür notwendigen Gesetze bis zum 6. Mai 2018 zu erlassen. Deutschland habe diese Frist schon am 29.Januar 2021 um 1000 Tage überschritten.

Bislang kann der Datenschützer Datenschutzverstöße bei der Bundespolizei und der Zollfahndung momentan "nur beanstanden". Daher kritisiert Kelber hier, eine wirksame Durchsetzungsbefugnisse zu haben. "Das untergräbt die demokratische Legitimation der Datenschutzaufsicht und der Strafverfolgungsbehörden gleichzeitig.", so die Kritik vom Datenschützer und Informatiker Kelber.

NDR unterstützte mit Berichterstattung falsche Sicherheit bei Faxen in Gesundheitsämtern

So hatte der NDR über sichere Faxe in Schleswig Holstein (Der Artikel wurde vom NDR entfernt!) berichtet. Die Autoren des Artikels und der Chefredakteur Adrian Feuerbacher haben auf unsere Presseanfrage nicht reagiert. Dabei sind vertrauliche Personendaten im Gesundheitswesen unverschlüsselt übertragen worden. Betroffene haben sich wohl beschwert und wurden dann abgespeist mit sachlich, falschen Behauptungen der Verantwortlichen.

Damit stehen die beim NDR gemachten Aussagen im Widerspruch zu den Datenschützern. Wie sich aufgrund unserer Recherchen herausstellte, reagiert man aber darauf nicht und hat den Segen des NDR Rundfunkrates. Dabei hatte schon der Hamburger Datenschutzbeauftragte Casper im Jahresbericht 2014/2015 Telefaxe als Unsicher angesehen. Bei der NDR Stellungnahme geht man erst gar nicht auf die Rendsburg Feststellung "Informationen Ende-zu-Ende verschlüsselt" beim Fax ein.

So seien die Informationen Ende-zu-Ende verschlüsselt, heißt es aus dem Gesundheitsamt Rendsburg-Eckernförde in dem NDR-Artikel. Dieses ist eine fragwürdige Aussage aus dem Gesundheitsamt und wurde schon vom Chefredakteur vom Redaktionsnetzwerk Tarifrechner und Informatiker, Dipl. Inform. Martin Kopka beim Gesundheitsamt im Dezember 2020 hinterfragt. Eine Stellungnahme wurde von der Pressestelle Rendsburg-Eckernförde verweigert. Die Anfrage war vom 3.12.2020.

Auch wurde das Faxgerät fleißig in Neumünster eingesetzt. "Testergebnisse per E-Mail sind aus datenschutzrechtlichen Gründen nicht erlaubt. Das gleiche gilt für Listen und Informationen zu Kontaktpersonen. Das Fax gilt da als sicher.", so die Begründung von der Amtsärztin Alexandra Barth. Auch hier wurde eine Stellungnahme vom 3.12.2020 verweigert.

Bzgl. der sicheren Fax Daten von Neumünster gibt es die Stellungnahme vom NDR Aufsichtsrat:
"Die Amtsärztin in Neumünster hatte in einer Sitzung des Gesundheitausschusses geschildert, wie zeitraubend die Kommunikation der Gesundheitsämter derzeit abläuft. Mit Verweis auf den Datenschutz dürfte der Austausch von Rohdaten zwischen den Gesundheitsämtern und den Laboren nur via Faxgerät ablaufen. Im Ergebnis kostet es die Mitarbeiter viel Zeit, die sie in der Pandemie eigentlich nicht haben".

Und weiter "Wir haben mit zahlreichen Gesundheitsämtern und Beteiligten gesprochen, auch die Verordnungen haben wir überprüft. Insofern sind wir uns sicher, dass der Sachverhalt wie dargestellt auch stimmt".

Dabei wurde, was nahe liegt, der Hamburger Datenschutzbeauftragte Casper oder die SH Datenschutzbeauftragte nicht kontaktiert. Auch Recherchen im Internet wurden bzgl. Fax Technologie wohl nicht gemacht. Die Technik und Sicherheit ist immerhin über 50 Jahre alt. Daher ist die NDR Berichterstattung doch ziemlich einseitig. Auch gilt hier "Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig". Daher stellen die vom NDR geprüften Verordnungen wohl auch einen Verstoss gegen das Datenschutzgesetz dar.

Als Hintergrund diente schon der damalige Bericht des Hamburger Datenschützers Casper von 2014/2015. "Mit Umstellung der Telekommunikation auf IP-Übertragung unterscheiden sich E-Mail- und Telekommunikationsdaten faktisch nicht mehr voneinander. Wird IP-Telekommunikation unverschlüsselt übertragen, wandern die Sprach- oder Faxdaten genau wie E-Mails offen lesbar durch das Netzwerk oder Internet und können an jedem Vermittlungs- oder Knotenpunkt ausgelesen, mitgeschnitten oder verändert werden".

Infos zu Fax-Einsatz bzgl. Datenschutz und Warnungen gibt es ab den Seiten 160 im Tätigkeitsbericht.

Damit Ihnen in Zukunft keine aktuellen Nachrichten oder Spar-Angebote entgehen, können Sie sich auch bei unserem kostenlosen Newsletter anmelden. Einmal in der Woche bekommen Sie dann eine Übersicht an Aktionen und wichtigen Änderungen im Telefonmarkt. Noch schneller sind Sie via Twitter und Facebook informiert.


Verwandte Nachrichten:

Auf dieser Seite gibt es Affilate Links, die den Preis nicht beeinflussen. Damit wird der hochwertige Journalismus kostenfrei angeboten

Anzeige

News-Feed: Google-News RSS Feed
     Redaktionstipp:
  • 16 GB LTE Handytarif
  • mtl. 10,99 € statt 14,99 €
  • 6 GB Datenvolumen gratis
  • Handy- und SMS-Flatrate
  • 50 MBit/s
  • mtl. Laufzeit
  • Aktionsangebot
  • Jetzt sparen und Wechseln!

     Spartipp O2-Netz:
  • 12 GB LTE Tarif
  • mtl. 9,99 € statt 13,99 €
  • 4 GB Datenvolumen gratis
  • Handy- und SMS-Flatrate
  • 50 MBit/s
  • mtl. Laufzeit
  • Jetzt sparen und Wechseln!

     Besten 10 GB Tarife:
  • Spartarife ab 7,99 €
  • Aktionen mit Rabatten,
  • Gutscheinen,
  • Anschlusspreisbefreiungen
  • Jetzt sparen und Vergleichen!

Kostenloser Newsletter:
Mit unserem kostenlosen Newsletter verpassen Sie ab sofort keine Schnäppchen und Aktionen mehr.
Ihre E-Mail-Adresse:
Datenschutzhinweise

Weitere Nachrichten:

Telefontarifrechner.de
 Datenschutzhinweise © Copyright 1998-2022 by DATA INFORM-Datenmanagementsysteme der Informatik GmbH  Impressum 
Damit wir unsere Webseiten für Sie optimieren und personalisieren können würden wir gerne Cookies verwenden. Zudem werden Cookies gebraucht, um Funktionen von Soziale Media Plattformen anbieten zu können, Zugriffe auf unsere Webseiten zu analysieren und Informationen zur Verwendung unserer Webseiten an unsere Partner in den Bereichen der sozialen Medien, Anzeigen und Analysen weiterzugeben. Sind Sie widerruflich mit der Nutzung von Cookies auf unseren Webseiten einverstanden?(mehr dazu)
Cookie-Entscheidung widerrufen