Nach Videoident-Hack: Alle prüfen, Banken vertrauen vorerst weiterhin

Nach dem Bekanntwerden gravierender Sicherheitsmängel bei Video-Identifizierungssystemen sind sich die zuständigen Behörden und Ministerien in ihrer Beurteilung noch uneins – Bitkom und Bankenverband sehen erst einmal kein Problem. Das Bundesgesundheitsministerium begrüßte das am Dienstag durch die Gematik ausgesprochene, vorläufige Verbot der Video-Identifikation: Gerade Patienten- und Behandlungsdaten seien hochsensible Daten, deswegen sei das BMG um hohe Sicherheitsstandards bemüht. Die für die Digitalisierung des Gesundheitssystems zuständige Gematik hatte am Dienstag schon im Vorfeld der Veröffentlichung der Angriffsdokumentation des CCC am Mittwoch die Reißleine gezogen.

Ein zweiter Bereich, in dem Video-Ident-Verfahren häufig genutzt werden, sind Online-Kontoeröffnungen. Die zuständige Bundesanstalt für Finanzdienstleistungen (Bafin) erklärte auf Anfrage, dass man die Hinweise ebenfalls sehr ernst nehme, maßgebliche Einzelheiten seien der Bafin jedoch noch nicht bekannt. "Daher ist eine abschließende Bewertung der beschriebenen Angriffsszenarien und Entscheidung über eventuelle Maßnahmen derzeit noch nicht möglich", so ein Bafin-Sprecher auf Anfrage.

Der Bankenverband verweist darauf, dass die Bafin zuletzt im Mai 2022 das Video-Ident-Verfahren in Verbindung mit weiteren Maßnahmen als ausreichend sicher eingestuft habe. Diese weiteren Maßnahmen bestünden unter anderem darin, dass Neukunden über sechs bis zwölf Monate einem strengen Transaktionsmonitoring unterliegen würden, so eine Sprecherin, "Die Entscheidung der Krankenkassen, das Verfahren nicht zu nutzen, muss nicht automatisch Rückschlüsse auf Anwendungen in anderen Sektoren haben."

Bundesinnenministerium: Videoident ist Brückentechnologie

Skeptischer hingegen drückt sich das Bundesinnenministerium aus: "Das Video- und Autoidentifizierungsverfahren ist grundsätzlich eine Brückentechnologie, die aufgrund ihrer Marktdurchdringung und Verfügbarkeit derzeit zur Fernidentifizierung genutzt wird", erklärte ein Sprecher. Man nehme die vom CCC dokumentierten Angriffsvektoren sehr ernst und wolle sorgfältig prüfen – und danach auch die Zukunft von Videoident insgesamt beurteilen.

Das dem Bundesinnenministerium nachgeordnete Bundesamt für Sicherheit in der Informationstechnik (BSI) wird da schon deutlicher: "Bei videobasierten Fernidentifikationslösungen ist grundsätzlich eine Manipulation des Videostreams möglich, sodass videobasierte Lösungen nicht dasselbe Sicherheitsniveau erreichen können wie beispielsweise die Online-Ausweisfunktion des Personalausweises", erklärt ein Sprecher. "Die Entscheidung, inwiefern das Video-Ident-Verfahren in anderen Anwendungsgebieten unter den gegebenen Umständen weiterbetrieben werden kann, liegt in der Zuständigkeit der jeweiligen Aufsichtsbehörden."

Noch würden nicht alle Details der jeweiligen Angriffsszenarien vorliegen, so das BSI, dann würde eine sorgfältige Prüfung stattfinden. Die nun vom CCC gezeigte Angriffsvariante sei dem BSI in der vorgestellten Form bisher nicht bekannt gewesen. Zwar habe man bereits früher wiederholt auf mögliche Manipulationen von Videostreams hingewiesen. Neu sei aber, dass die Angriffe durch den CCC nun "offenbar auch in produktiven Video-Ident-Systemen durchgeführt wurden", erläutert der BSI-Sprecher. Die Bonner Behörde war bereits in der Vergangenheit kritisch gegenüber Videoident-Verfahren.

Unterdessen äußert der IT-Firmen-Verband Bitkom Kritik am Verbot der Video-Identifikation durch die Gematik. Die Online-Ausweisfunktion des Personalausweises sei derzeit keine praktikable Alternative. "Die ohnehin schleppend verlaufende Einführung der elektronischen Patientenakte wird damit unnötig erschwert", kritisiert Hauptgeschäftsführer Bernhard Rohleder. Das Video-Ident-Verfahren sei "integraler Bestandteil vieler Dienste" – von Car-Sharing bis Kreditprüfungen, Anbieter ohne bekannte Sicherheitslücken müssten auch bei den Krankenkassen daher wieder zugelassen werden, forderte Rohleder.

(mack)