Wer die eigene elektronische Patientenakte (ePA) in einer Krankenkassen-App aktivieren wollte, musste sich bislang digital ausweisen. Dafür kam entweder die elektronischen Gesundheitskarte (eGK) oder die Online-Ausweisfunktion des Personalausweises zum Einsatz – inklusive PIN-Abfrage. Das Bundesgesundheitsministerium hatte sich bewusst für diese hohen Sicherheitshürden entschieden, da in der ePA sensible Gesundheitsdaten verwaltet werden.

Nun ist eine Möglichkeit hinzugekommen, mit der sich Versicherte identifizieren können, ohne dass sie dafür eine PIN benötigen. Die Gematik hat das Verfahren „Nect Ident mit ePass“ des Hamburger Unternehmens Nect rückwirkend zum 1. August zugelassen. Das Verfahren darf demnach für die Freigabe einer Gesundheitskarte oder für die Ausgabe einer PIN für die eGK genutzt werden. Mit der Karte lassen sich eine GesundheitsID und der Login in die elektronische Patientenakte erstellen.

Die Entscheidung der Gematik überrascht. Denn vor ziemlich genau drei Jahren hatte sie Video-Ident-Verfahren für unzulässig erklärt. Das Verbot war aufgrund einer „sicherheitstechnischen Schwachstelle in diesem Verfahren … unumgänglich“ gewesen, wie die Gematik damals schrieb. Eine Wiederzulassung könne erst dann entschieden werden, „wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind“.

„Von Natur aus anfällig für Angriffe“

Zu dem Verbot war es gekommen, nachdem der IT-Sicherheitsforscher Martin Tschirsich vom Chaos Computer Club mehrere gängige Video-Ident-Verfahren überlisten konnte – „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) kam damals zu einem klaren Urteil: „Bei videobasierten Fernidentifikationslösungen ist grundsätzlich eine Manipulation des Videostreams möglich, sodass videobasierte Lösungen nicht dasselbe Sicherheitsniveau erreichen können wie beispielsweise die Online-Ausweisfunktion des Personalausweises.“

Und erst kürzlich bekräftigte das BSI, dass die videobasierte Identitätsprüfung zwar benutzerfreundlich, „von Natur aus aber anfällig für wiederholbare, skalierbare und unsichtbare Angriffe wie Präsentations- und Injektionsbedrohungen“ sei. Das Video-Ident-Verfahren, das das Bundesinnenministerium ohnehin nur als Brückentechnologie betrachtete, schien damit endgültig am Ende.

Die Rückkehr der Brückentechnologie

Nun aber bringt die Gematik die visuelle Personenidentifikation zurück. Das Verfahren sollen all jene Versicherten nutzen können, die keine PIN für ihre elektronische Gesundheitskarte oder ihren Personalausweis haben. „Wie üblich bei sicherheitsrelevanten Themen rund um die Telematikinfrastruktur wurde das BSI im Vorfeld über den Sachverhalt informiert“, schreibt die Gematik auf Anfrage von netzpolitik.org.

Ihre Entscheidung begründet die Gematik damit, dass „bei dem ‚Nect ePass‘-Verfahren zusätzlich zur Personenidentifikation Ausweisdokumente (z. B. Personalausweis oder Reisepass) elektronisch ausgelesen“ werden. Es verfüge damit über „die sicherheitstechnische Eignung für den Einsatz in der Telematikinfrastruktur“.

Das „ePass“-Verfahren der Nect GmbH erfolgt „vollautomatisiert“ mit Hilfe einer „KI-gestützten Dokumentenprüfung“. Außerdem müssen Nutzer:innen den NFC-Chip ihres Ausweisdokuments mit dem Smartphone auslesen und bei einem Video-Selfie zwei zufällig ausgewählte Worte sagen („Liveness Detection“).

Letztlich verändert die Gematik die Sicherheitsvorgaben: Bislang brauchten Versicherte notwendigerweise eine PIN, um ihre Identität zu bestätigen. Nun können sie sich auch ohne PIN mit ihrem Personalausweis im Video-Ident-Verfahren identifizieren. Damit erhalten sie eine PIN für ihre Gesundheitskarte, um dann ihre ePA zu aktivieren.

„Eine Art 1,5-Faktor-Authentifizierung“

Die Sicherheitsforscherin Bianca Kastl, die eine Kolumne für netzpolitik.org verfasst, sieht die Rückkehr zum Video-Ident-Verfahren kritisch. „Im Prinzip handelt es sich bei dem Verfahren um eine Art 1,5-Faktor-Authentifizierung“, sagt sie gegenüber netzpolitik.org. „Es wird zumindest das Vorhandensein eines plausiblen Ausweises geprüft, der zweite Faktor ist aber eine Videoanalyse, die heute als nur halb sicher gelten muss.“ Kastl bezieht sich hier auf die Zwei-Faktor-Authentifizierung, ein Verfahren, bei dem zwei unterschiedliche und voneinander unabhängige Komponenten zur Prüfung eingesetzt werden.

Damit sind für Kastl weiterhin Angriffsszenarien denkbar. „Der physikalische Zugriff zu Identifikationsmitteln wie dem Personalausweis stellt hier keine allzu große Hürde dar“, sagt sie. „Und die Haltbarkeit von KI-Identifikationsverfahren gegenüber KI-Bildsynthese dürfte perspektivisch eher begrenzt sein.“

Warnung vor Bauchlandung

Die Entscheidung der Gematik hat offenkundig auch mit der geringen Zahl an Versicherten zu tun, die die elektronische Patientenakte aktiv nutzen. „Der elektronischen Patientenakte für alle droht eine Bruchlandung“, mahnte Ende Juli der Bundesvorsitzende des Hausärzteverbandes, Markus Beier. Er rief die Krankenkassen dazu auf, Patienten besser aufzuklären, statt die „Hände in den Schoß“ zu legen.

Angaben der Krankenkassen untermauern den Befund. Techniker Krankenkasse, AOK und Barmer haben zusammen mehr als 44 Millionen elektronische Patientenakten eingerichtet. Doch nur 1,2 Millionen Versicherte nutzen die ePA aktiv.

Der Vorstandschef der Techniker Krankenkasse, Jens Baas, kritisiert derweil den aus seiner Sicht komplizierten Registrierungsprozess für die ePA. „Wir bekommen viele Rückmeldungen von Versicherten, dass sie den Registrierungsprozess für die ePA zu kompliziert finden“, sagte der TK-Vorstandschef nur wenige Tage vor der Gematik-Entscheidung. Er forderte, die rechtlichen Rahmenbedingungen so anzupassen, dass Video-Ident-Verfahren dafür wieder möglich sind.

Kritik an fehlender Transparenz

Dem Wunsch nach einem einfacheren Registrierprozess will die Gematik nun offenbar nachkommen, allerdings ohne rechtliche Anpassungen. „Unserer Kenntnis nach bewegt sich die Anzahl an Versicherten bzw. Bürger:innen, die ihre PIN zur eGK bzw. PIN zum Personalausweis aktiv nutzen, auf einem niedrigen Niveau“, schreibt die Gematik an netzpolitik.org. „Daher sind sichere VideoIdent-Verfahren aus Sicht der Gematik ein wichtiger Schritt, um einen einfacheren Zugang zu digitalen Anwendungen wie der elektronischen Patientenakte oder dem E-Rezept zu ermöglichen.“

Das Vorgehen der Gematik überrascht Kastl nicht. „Vom Prozess her ist das wieder klassisch: Irgendwo im Hintergrund wird an einem Verfahren gewerkelt, das dann auf einmal auf die Bevölkerung losgelassen wird“, so die Sicherheitsforscherin. „Transparente Risikoaufklärung und unabhängige Risikobewertung? Mal wieder Fehlanzeige.“

In der Open-Source-Kompressionsbibliothek libarchive klafft eine Sicherheitslücke, die zunächst als lediglich niedriges Risiko eingestuft wurde. Einige Zeit nach der Veröffentlichung aktualisierter Quellen kam das US-amerikanische NIST jedoch zu der Einschätzung, dass das Leck sogar eine kritische Bedrohung darstellt. Darauf wurde nun das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufmerksam.

Bei der Verarbeitung von .rar-Archiven kann ein Ganzzahlüberlauf in der Funktion archive_read_format_rar_seek_data() auftreten. In dessen Folge kann es zu einem „Double Free“ kommen, bei dem bereits freigegebene Ressourcen nochmals freigegeben werden. Dabei kommt es potenziell zu Störungen des Speichers, wodurch Angreifer etwa Schadcode einschleusen und ausführen oder einen Denial-of-Service-Zustand hervorrufen können (CVE-2025-5914 / EUVD-2025-17572, CVSS 9.8, Risiko „kritisch„).

Nachträglich höheres Risiko erkannt

Die ursprüngliche Meldung der Lücke an das libarchive-Projekt durch Tobias Stöckmann mitsamt eines Proof-of-Concept-Exploits fand bereits am 10. Mai dieses Jahres statt. Am 20. Mai haben die Entwickler die Version 3.8.0 von libarchive herausgegeben. Die öffentliche Schwachstellenmeldung erfolgte am 9. Juni ebenfalls auf Github. Dort wurde auch die CVE-Nummer CVE-2025-5914 zugewiesen, jedoch zunächst mit dem Schweregrad CVSS 3.9, Risiko „niedrig„, wie Red Hat die Lücke einordnete.

Mit einem aktualisierten Angriffsvektor kam das NIST am 20. Juni jedoch zur Einschätzung, dass das Risiko auf einen CVSS-Wert von 9.8 kommt und mithin „kritisch“ einzustufen ist. Die Änderung blieb weitgehend unbemerkt, bis FreeBSD zum Wochenende eine eigene Sicherheitsmitteilung veröffentlicht hat.

Nicht nur Linux- und Unix-Distributionen setzen auf libarchive – wo Admins die Softwareverwaltung anwerfen und nach bereitstehenden Aktualisierungen suchen lassen sollten –, sondern auch in Windows ist inzwischen libarchive am Werk. Zur Ankündigung des aufgebohrten Windows-ZIP-Tools, das inzwischen mehrere Archivformate beherrscht, gab der Leiter damalige Panos Panay der Produktabteilung Windows und Geräte zur Microsoft Build 2023 bekannt, dass die native Unterstützung für .tar, 7-zip, .rar, .gz und viele andere durch die Nutzung des Open-Source-Projekts libarchive hergestellt wird. Es ist derzeit unklar, ob Microsoft etwa zum kommenden Patchday die eingesetzte Bibliothek auf einen fehlerkorrigierten Stand bringt oder es bereits in den vergangenen zwei Monaten getan hat.

(dmk)

Im Packprogramm WinRAR haben IT-Sicherheitsforscher eine Schwachstelle entdeckt, durch die Angreifer Schadcode einschleusen und ausführen können. Die Sicherheitslücke wird bereits im Internet attackiert. Ein Update zum Stopfen des Lecks steht bereit. WinRAR-Nutzerinnen und -Nutzer sollten es umgehend installieren.

Laut Schwachstellen-Eintrag handelt es sich um eine sogenannte „Path Traversal“-Schwachstelle, die Zugriffe auf eigentlich nicht zugängliche Verzeichnisse ermöglicht. Angreifer können mit manipulierten Archivdateien den Fehler provozieren und dadurch beliebigen Code einschleusen und ausführen, sofern Opfer manipulierte Archive mit verwundbaren WinRAR-Versionen entpacken. Die Lücke wurde von Virenanalysten von Eset entdeckt (CVE-2025-8088 / EUVD-2025-23983, CVSS 8.4, Risiko „hoch„).

Details bleiben unklar

Welche Archiv-Typen genau betroffen sind, erörtert WinRAR in der Versionsankündigung für die Fassung 7.13, die die Sicherheitslücke schließt, nicht. Es sind jedoch die älteren Fassungen von RAR, UnRAR, portable UnRAR (Quelltext) und UnRAR.dll für die Schwachstelle anfällig. Die Unix- und Android-Versionen sind hingegen nicht betroffen.

Die fehlerbereinigten Versionen stehen auf der Download-Seite von WinRAR zum Herunterladen bereit. Wer WinRAR einsetzt, sollte die Aktualisierung umgehend durchführen.

Malware verteilt

Gegenüber Bleepingcomputer hat Eset-Forscher Peter Strýček angegeben, dass das Antivirenunternehmen Spearphishing-E-Mails mit Dateianhängen im RAR-Format entdeckt hat. Diese haben die Schwachstelle missbraucht, um „RomCom“-Backdoors zu installieren. RomCom ist eine mit Russland verbandelte Cyberbande, auch als Storm-0978, Tropical Scorpius oder UNC2596 bekannt. Laut der Webseite spezialisiert sie sich auf Ransomware, Datenklau-Angriffe und Kampagnen zum Stehlen von Zugangsdaten.

Die Schwachstelle erinnert an eine Sicherheitslücke, die Trend Micros Zero Day Initiative (ZDI) kürzlich entdeckt hatte. Auch da musste WinRAR mit der Version 7.12b1 ein Sicherheitsleck stopfen, bei dem Angreifer beliebige Pfade vorgeben und dadurch Schadcode einschleusen und ausführen konnten.

(dmk)