eHealth: Erweitertes Identverfahren für Zugang zur GesundheitsID genehmigt
Gematik erlaubt das erweiterte Identverfahren für die GesundheitsID für den Zugang zur elektronischen Patientenakte und anderen Diensten mit E-Personalausweis.
(Bild: fizkes / Shutterstock.com, Bearbeitung heise online)
Die Gematik hat kürzlich das Ident-Verfahren „Nect Ident mit ePass“ für die Erstellung der GesundheitsID zugelassen. Erstellt werden kann die GesundheitsID mit dem Personalausweis samt PIN oder der elektronischen Gesundheitskarte (eGK) und deren PIN. Für den Erhalt der PINs müssen Versicherte beispielsweise ins Bürgerbüro oder in eine Krankenkassenfiliale gehen.
Nachdem das klassische Videoident-Verfahren für das Gesundheitswesen untersagt wurde, erhalten Versicherte mit dem in diesem Jahr zugelassenen Verfahren eine biometrische Alternative zur eID, um auf das E-Rezept oder die elektronische Patientenakte zuzugreifen. Auch der Zugang zu anderen Diensten der Krankenkassen wird so möglich.
Bereits im August 2025 hatte die Gematik dasselbe Verfahren für die Bestellung der PIN zur Gesundheitskarte freigegeben. Nutzer müssen daher darum nicht mehr auf einen Post-Zustellauftrag warten. In Zukunft soll auch die digitale Zustellung der PIN möglich werden. Im Interview haben wir mit Bennet Jürgens von Nect Ident gesprochen.
(Bild: Nect Ident)
heise online: Die Gematik hat nun nacheinander die ePass-Verfahren von Nect Ident für den Einsatz in zentralen Gesundheitsdiensten zugelassen. Können Sie erklären, wie Ihre automatisierte Identifizierung funktioniert?
Benny Bennet Jürgens: Unsere Verfahren nutzen KI-basierte Technologien zur sicheren Prüfung der Identität einer Person via Video, wobei biometrische Daten und Sicherheitsmerkmale von Ausweisdokumenten überprüft werden. Die Verfahren müssen den strengen eIDAS-Anforderungen an Sicherheit, Datenschutz und Manipulationsschutz entsprechen.
Sollte diese Konformität einmal nicht mehr gewährleistet sein, etwa durch unzureichende Sicherheitsmaßnahmen oder fehlende Echtzeitprüfung, muss die Zulassung für das automatisierte Identifizierungsverfahren entzogen werden, um Rechtssicherheit und Verbraucherschutz zu garantieren.
Wann kam das Thema erstmals auf den Tisch?
Schon vor rund drei Jahren – damals in engem Austausch mit dem BSI und der Biometrieabteilung. In diesem Zusammenhang haben wir auch unser neues Verfahren vorgestellt. Es ist also keineswegs neu.
Das Problem ist, dass sich die Abstimmungen für technische Richtlinien in Deutschland sehr ziehen. Bis die Prüfkataloge vorliegen, ist die Technologie meist schon weiterentwickelt. Während etwa noch ein Videoident geprüft wird, arbeitet man bereits an NFC-basierten Verfahren oder Wallets. Auf europäischer Ebene – etwa bei der ETSI – geschieht das Ganze schneller und vor allem technologieoffener.
Wie würden Sie Ihr Verfahren selbst nennen?
Wir nennen es „automatisiertes Videoident mit NFC-Ergänzung“. Der Begriff „Videoident“ allein greift zu kurz, weil er oft mit der klassischen Echtzeit-Videoidentifikation verwechselt wird, bei der ein menschlicher Agent beteiligt ist. Unser Verfahren kombiniert hingegen automatisierte Videoanalyse mit der NFC-Auslesung des Ausweisdokuments. Dadurch erreichen wir ein sehr hohes Sicherheitsniveau, das Replay-Angriffe und Manipulationen verhindert.
Die Gematik hat das Verfahren ja ohne die Prüfung des BSI oder der BfDI zugelassen?
Meiner Kenntnis nach hat die Gematik das Recht, eine Prüfung nach dem Gematik-LoA-high (Level of Assurance) durchzuführen. Die Kriterien seien wohl allerdings durch Beratung des BSI erfolgt. Für die Zulassung wurde die TR-03147 als Grundlage genommen – auch wenn das BSI das Verfahren selbst für noch nicht vollständig prüfbar erklärt hat.
Das BSI kennt unser Verfahren bereits seit Beginn und ist in den Dialog eingebunden, aber eine formelle Prüfung nach den entsprechenden technischen Richtlinien hat bislang nicht stattgefunden. Das liegt vor allem daran, dass die notwendigen Prüfkataloge und formalen Voraussetzungen dafür noch nicht abgeschlossen sind.
Werden Sie Ihre Identverfahren künftig auch noch vom BSI prüfen lassen?
Ja, wir sind grundsätzlich an einer BSI-Prüfung interessiert und werden uns dem Prozess stellen, sobald die entsprechenden Prüfkataloge vollständig vorliegen und die Prüfstellen akkreditiert sind. Unser Ziel ist, dass das Verfahren langfristig sowohl die eIDAS-Anforderungen als auch die nationalen BSI-Vorgaben vollständig erfüllt. Im Moment ist es schlicht so, dass die technischen Rahmenbedingungen für diese Prüfung noch nicht finalisiert sind.
Gibt es noch weitere Anbieter in der Zulassung für Ihr Verfahren, das die Krankenkassen einsetzen können?
Nein, derzeit sind wir die Einzigen mit Freigabe für dieses Verfahren. Wichtig ist hier die Unterscheidung: Bereits im August 2025 wurde unser Verfahren für die Bestellung der PIN zur Gesundheitskarte zugelassen. Die neue, aktuelle Zulassung geht einen Schritt weiter und erlaubt den Einsatz zur direkten Erstellung der GesundheitsID, die den Zugang zu Anwendungen wie der ePA oder dem E-Rezept ermöglicht.
Wie erreichen Sie ein hohes Sicherheitsniveau?
Durch eine Kombination verschiedener Ebenen. Wir zwingen etwa Angreifer zu Live-Manipulationen durch Zufallsfaktoren bei der Videoaufnahme, haben eine stark gehärtete App-Struktur und integrierte Manipulationserkennung. So braucht ein Angreifer deutlich mehr Expertise und Ressourcen, um einen Angriff überhaupt zu versuchen.
Das Identverfahren funktioniert nur über die App und nicht im Browser. Nur so können wir maximale Kontrolle und Sicherheit gewährleisten. In Browsern sind Fake-Webcams oder manipulierte Datenströme einfacher einzuschleusen. Eine native App erlaubt hingegen Hardening-Maßnahmen, die Replay-Angriffe praktisch verhindern.
Wie oft kommen solche Angriffe vor?
Jeden Tag. Es gibt eine Vielzahl von Versuchen, Systeme auszuhebeln. Oft sind das aber keine hochprofessionellen Angriffe, sondern unbedachte Versuche. Die Systeme werden kontinuierlich angepasst.
Gibt es auch eine menschliche Komponente?
Ja, laut deutscher Regulierung müssen derzeit 4 Prozent aller Fälle manuell überprüft werden – sowohl erfolgreiche als auch abgelehnte Identifizierungen. Bei weniger bekannten Dokumenten erfolgt diese manuelle Prüfung ebenfalls häufiger.
Viele Kassen setzen inzwischen wieder auf Aktivierungsbriefe. Was halten Sie davon?
Das ist sicherheitstechnisch bedenklich. Ein Brief ist leichter abzufangen als eine biometrisch verifizierte digitale Identifikation. Der Schritt zurück zur Postzustellung löst also nicht das eigentliche Problem.
Sie entwickeln auch Wallet-Lösungen. Wie passt das in die EUDI-Strategie?
Wir bieten bereits seit sechs Jahren eine Wallet an – unabhängig entwickelt, also proprietär. Sobald der EUDI-Standard produktionsreif ist, werden wir uns zertifizieren lassen. Bis dahin fahren wir einen hybriden Ansatz: Nutzer mit eID erhalten eine EUDI-Wallet, alle anderen eine auf unserer bestehenden Struktur basierende Wallet-Identität.
Die EUID-Wallet soll 2026 kommen. Wie realistisch ist das?
Das wird ambitioniert. Neben den technischen Richtlinien fehlen noch akkreditierte Prüfer. Aber wir werden rechtzeitig bereitstehen.
Und wie sehen Sie die aktuellen Datenschutz- und Überwachungsbedenken?
Die sind berechtigt. Aber wenn Deutschland sich raushält, übernehmen andere Länder oder große US-Anbieter diese Rolle – und dann ist die Datensouveränität komplett verloren. Entscheidend ist, dass wir hierzulande hohe Sicherheits- und Datenschutzstandards setzen und die Kontrolle behalten.
Entscheidend ist, dass Regulierer, Anbieter und Prüfer enger kooperieren – anstatt sich gegenseitig auszubremsen. Nur so kann digitale Identität wirklich sicher und nutzerfreundlich bleiben.
(mack)
