Versicherungs- und Finanzbranche uneins über Video-Ident-Verfahren

Hannah Petersohn Versicherungen Berater

Nachdem sich Hacker Zugriff auf sensible Daten verschafft haben, indem sie die Technologie zur Personen-Identifizierung überlisteten, war der Aufschrei groß. Während die einen das Verfahren ablehnen, setzen andere indes weiterhin auf die umstrittene Methode.

Versicherungs- und Finanzbranche uneins über Video-Ident-Verfahren Bild: fizkes

Das Vertrauen in Video-Ident, ein Verfahren zur persönlichen Identifzierung zwecks Vertragsabschluss, hat Risse bekommen. Bild: fizkes

Es ist der Albtraum für Versicherer und Verbraucher gleichermaßen: Hacker verschaffen sich Zugang zu sensiblen Gesundheitsdaten der Kunden und können das betroffene Unternehmen erpressen, hohe Geldsummen einfordern und versetzen damit auch die Kunden selbst in Angst und Schrecken. Die videobasierte Online-Identifizierung, das sogenannte Video-Ident-Verfahren, sollte bisher für die nötige Sicherheit sorgen: Dafür halten Kunden ihren Ausweis in die Kamera des Computers oder Smartphones, bestätigen persönliche Angaben, belegen so ihre Identität und können beispielsweise Versicherungsverträge abschließen, Kredite beantragen, Bankkonten oder eine elektronische Patientenakte (ePA) eröffnen.

Wie einfach dieses Verfahren allerdings überlistet werden kann, haben Hacker des Chaos Computer Clubs (CCC) vor wenigen Tagen zum Entsetzen der Branche gezeigt. Ihnen ist es mit gefälschten Ausweisen gelungen, sich Zugriff auf elektronische Patientenakten zu verschaffen. Bei insgesamt sechs Anbietern sei der Angriff erfolgreich gewesen. In dem im Bericht beschriebenen Fall hatte der Hacker Zugriff auf die Gesundheitsdaten einer eingeweihten Testperson erlangt, „darunter eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie Original-Behandlungsunterlagen“, so der CCC.

Seit Langem wird gewarnt

 

Schon seit Jahren wird vor dem Video-Ident-Verfahren gewarnt. Bereits 2017 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) wiederholt aufgezeigt, dass die Echtheitsprüfung der ID-Dokumente im Videobild mit einfachen Mitteln angreifbar ist, erklären die Hacker. „Angriffe können weder verhindert noch erkannt werden. (…) Strafrechtliche Sanktionen greifen mangels Rückverfolgbarkeit eines Online-Angriffs nicht“, warnt der CCC.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) lehnt diese Identifizierungsmethode deswegen auch ab. Datenschutzrechtlich sei das Verfahren vor allem hinsichtlich besonders schutzbedürftiger personenbezogener Daten unzulässig – also hinsichtlich der Daten von Psychotherapie- und Arztpraxen, Krankenhäusern und der bei Krankenkassen gespeicherten Gesundheitsdaten von 73 Millionen gesetzlich Krankenversicherten.

Die Hackervereinigung warnte im Anschluss an die Veröffentlichung ihres Berichts eindringlich vor der Video-Ident-Technologie. Sensible Gesundheitsdaten wären damit nur ungenügend geschützt, der CCC forderte eine Abschaffung der Technologie. Die Betreibergesellschaft Gematik hat das Verfahren für Krankenkassen dann auch umgehend gestoppt und die Nutzung des Video-Ident-Verfahrens untersagt. Dabei geht es insbesondere um den Zugriff auf die elektronischen Patientenakten (ePA) mittels Video-Ident. Weitere Identifizierungsverfahren seien nicht betroffen.

Uneinheitliche Einschätzungen der Versicherer

Die Allianz Private Krankenversicherung (APKV) hat den Service entsprechend ausgesetzt: Zwar werde sie den Versicherten in den nächsten Monaten den Zugriff auf die elektronische Patientenakte zur Verfügung stellen. „Dabei wird sie das Video-Ident-Verfahren nicht nutzen“, so Allianz-Pressesprecherin Marion Zauner gegenüber procontra. „Inwieweit andere Bereiche möglicherweise von der Video-Ident-Thematik betroffen sind, prüfen wir gerade.“

Bei der Debeka hingegen wollen man weiterhin am Video-Ident-Verfahren festhalten, „weil es sich um ein zertifiziertes Verfahren handelt und IDnow nicht betroffen war“, erklärt Debeka- Pressereferentin Lena Jacoby. Dazu muss man verstehen: Für das Video-Ident-Verfahren ist ein Anbieter wie IDnow notwendig, der die Identitätsprüfung vornimmt. Entsprechend verschnupft reagiert man seitens IDnow und erklärt: „Der CCC war nachweislich nicht in der Lage, unsere regulierten Ident-Produkte systematisch zu überlisten“, so Armin Bauer, CTO und Co-Gründer von IDnow in einem Presse-Statement. Gleichzeitig kritisiert das Unternehmen die Vorgehensweise des Chaos Computer Clubs. So habe es im CCC-Bericht geheißen, dass die Betrugsversuche bei allen Providern erfolgreich gewesen seien, was jedoch im Falle von IDnow nicht zutreffe. Zudem habe der CCC-Sicherheitsforscher versäumt darauf hinzuweisen, dass er einige Angriffe mithilfe seines eineiigen Zwillingsbruders vorgenommen hatte. „Offensichtlich sind eineiige Zwillinge ein Restrisiko für alle Identifizierungsmethoden, auch für die Polizei“, so der Provider.

Die zur Ergo gehörende Deutsche Krankenversicherung (DKV) wollte sich zu dem Thema nicht äußern und verwies auf den Verband der Privaten Krankenversicherung (PKV). Doch auch der Verband tut sich mit einer Einschätzung schwer und verweist seinerseits darauf, dass die Entscheidung über die Nutzung der Video-Ident-Technologie und die Auswahl des Anbieters eine „unternehmensindividuelle Entscheidung“ sei. Hinsichtlich der elektronischen Patientenakte beschwichtigt der Verband: Bislang sei noch kein privater Krankenversicherer mit einer ePA auf dem Markt. „Als erster Versicherer hat die Allianz erst kürzlich eine Zulassung erhalten“, heißt es.

Banken setzen weiterhin auf Video-Ident

Doch was ist mit den Banken? Werden Sie in Zukunft von dem Verfahren absehen? Der Bundesverband deutscher Banken (bdb) verweist hierzu auf ein Statement der Deutschen Kreditwirtschaft (DK). Fazit: Auch hier sieht man es als individuelle Entscheidung der einzelnen Unternehmen, inwiefern sie die Technologie nutzen wollen oder eben auch nicht. „Die Verbände sind in diese geschäftspolitischen Entscheidungen nicht einbezogen.“ Konkrete Zahlen, wie häufig das Verfahren zum Einsatz kommt, habe man nicht. Nur soviel: In der Praxis werden Identifizierungsverfahren auch weiterhin offline vorgenommen, also am Schalter.

Doch wird die Branche, so wie die Krankenversicherer auch, in Zukunft von der Technologie absehen? „Das im Bankbereich verwendete Video-Ident-Verfahren (…) hat sich in der Praxis bewährt. Aufgrund der zunehmenden Nutzung digitaler Bankdienstleistungen durch die Kunden sind Fernidentifizierungsverfahren in der Praxis inzwischen unverzichtbar.“