Wer die eigene elektronische Patientenakte (ePA) in einer Krankenkassen-App aktivieren wollte, musste sich bislang digital ausweisen. Dafür kam entweder die elektronischen Gesundheitskarte (eGK) oder die Online-Ausweisfunktion des Personalausweises zum Einsatz – inklusive PIN-Abfrage. Das Bundesgesundheitsministerium hatte sich bewusst für diese hohen Sicherheitshürden entschieden, da in der ePA sensible Gesundheitsdaten verwaltet werden.

Nun ist eine Möglichkeit hinzugekommen, mit der sich Versicherte identifizieren können, ohne dass sie dafür eine PIN benötigen. Die Gematik hat das Verfahren „Nect Ident mit ePass“ des Hamburger Unternehmens Nect rückwirkend zum 1. August zugelassen. Das Verfahren darf demnach für die Freigabe einer Gesundheitskarte oder für die Ausgabe einer PIN für die eGK genutzt werden. Mit der Karte lassen sich eine GesundheitsID und der Login in die elektronische Patientenakte erstellen.

Die Entscheidung der Gematik überrascht. Denn vor ziemlich genau drei Jahren hatte sie Video-Ident-Verfahren für unzulässig erklärt. Das Verbot war aufgrund einer „sicherheitstechnischen Schwachstelle in diesem Verfahren … unumgänglich“ gewesen, wie die Gematik damals schrieb. Eine Wiederzulassung könne erst dann entschieden werden, „wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind“.

„Von Natur aus anfällig für Angriffe“

Zu dem Verbot war es gekommen, nachdem der IT-Sicherheitsforscher Martin Tschirsich vom Chaos Computer Club mehrere gängige Video-Ident-Verfahren überlisten konnte – „mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) kam damals zu einem klaren Urteil: „Bei videobasierten Fernidentifikationslösungen ist grundsätzlich eine Manipulation des Videostreams möglich, sodass videobasierte Lösungen nicht dasselbe Sicherheitsniveau erreichen können wie beispielsweise die Online-Ausweisfunktion des Personalausweises.“

Und erst kürzlich bekräftigte das BSI, dass die videobasierte Identitätsprüfung zwar benutzerfreundlich, „von Natur aus aber anfällig für wiederholbare, skalierbare und unsichtbare Angriffe wie Präsentations- und Injektionsbedrohungen“ sei. Das Video-Ident-Verfahren, das das Bundesinnenministerium ohnehin nur als Brückentechnologie betrachtete, schien damit endgültig am Ende.

Die Rückkehr der Brückentechnologie

Nun aber bringt die Gematik die visuelle Personenidentifikation zurück. Das Verfahren sollen all jene Versicherten nutzen können, die keine PIN für ihre elektronische Gesundheitskarte oder ihren Personalausweis haben. „Wie üblich bei sicherheitsrelevanten Themen rund um die Telematikinfrastruktur wurde das BSI im Vorfeld über den Sachverhalt informiert“, schreibt die Gematik auf Anfrage von netzpolitik.org.

Ihre Entscheidung begründet die Gematik damit, dass „bei dem ‚Nect ePass‘-Verfahren zusätzlich zur Personenidentifikation Ausweisdokumente (z. B. Personalausweis oder Reisepass) elektronisch ausgelesen“ werden. Es verfüge damit über „die sicherheitstechnische Eignung für den Einsatz in der Telematikinfrastruktur“.

Das „ePass“-Verfahren der Nect GmbH erfolgt „vollautomatisiert“ mit Hilfe einer „KI-gestützten Dokumentenprüfung“. Außerdem müssen Nutzer:innen den NFC-Chip ihres Ausweisdokuments mit dem Smartphone auslesen und bei einem Video-Selfie zwei zufällig ausgewählte Worte sagen („Liveness Detection“).

Letztlich verändert die Gematik die Sicherheitsvorgaben: Bislang brauchten Versicherte notwendigerweise eine PIN, um ihre Identität zu bestätigen. Nun können sie sich auch ohne PIN mit ihrem Personalausweis im Video-Ident-Verfahren identifizieren. Damit erhalten sie eine PIN für ihre Gesundheitskarte, um dann ihre ePA zu aktivieren.

„Eine Art 1,5-Faktor-Authentifizierung“

Die Sicherheitsforscherin Bianca Kastl, die eine Kolumne für netzpolitik.org verfasst, sieht die Rückkehr zum Video-Ident-Verfahren kritisch. „Im Prinzip handelt es sich bei dem Verfahren um eine Art 1,5-Faktor-Authentifizierung“, sagt sie gegenüber netzpolitik.org. „Es wird zumindest das Vorhandensein eines plausiblen Ausweises geprüft, der zweite Faktor ist aber eine Videoanalyse, die heute als nur halb sicher gelten muss.“ Kastl bezieht sich hier auf die Zwei-Faktor-Authentifizierung, ein Verfahren, bei dem zwei unterschiedliche und voneinander unabhängige Komponenten zur Prüfung eingesetzt werden.

Damit sind für Kastl weiterhin Angriffsszenarien denkbar. „Der physikalische Zugriff zu Identifikationsmitteln wie dem Personalausweis stellt hier keine allzu große Hürde dar“, sagt sie. „Und die Haltbarkeit von KI-Identifikationsverfahren gegenüber KI-Bildsynthese dürfte perspektivisch eher begrenzt sein.“

Warnung vor Bauchlandung

Die Entscheidung der Gematik hat offenkundig auch mit der geringen Zahl an Versicherten zu tun, die die elektronische Patientenakte aktiv nutzen. „Der elektronischen Patientenakte für alle droht eine Bruchlandung“, mahnte Ende Juli der Bundesvorsitzende des Hausärzteverbandes, Markus Beier. Er rief die Krankenkassen dazu auf, Patienten besser aufzuklären, statt die „Hände in den Schoß“ zu legen.

Angaben der Krankenkassen untermauern den Befund. Techniker Krankenkasse, AOK und Barmer haben zusammen mehr als 44 Millionen elektronische Patientenakten eingerichtet. Doch nur 1,2 Millionen Versicherte nutzen die ePA aktiv.

Der Vorstandschef der Techniker Krankenkasse, Jens Baas, kritisiert derweil den aus seiner Sicht komplizierten Registrierungsprozess für die ePA. „Wir bekommen viele Rückmeldungen von Versicherten, dass sie den Registrierungsprozess für die ePA zu kompliziert finden“, sagte der TK-Vorstandschef nur wenige Tage vor der Gematik-Entscheidung. Er forderte, die rechtlichen Rahmenbedingungen so anzupassen, dass Video-Ident-Verfahren dafür wieder möglich sind.

Kritik an fehlender Transparenz

Dem Wunsch nach einem einfacheren Registrierprozess will die Gematik nun offenbar nachkommen, allerdings ohne rechtliche Anpassungen. „Unserer Kenntnis nach bewegt sich die Anzahl an Versicherten bzw. Bürger:innen, die ihre PIN zur eGK bzw. PIN zum Personalausweis aktiv nutzen, auf einem niedrigen Niveau“, schreibt die Gematik an netzpolitik.org. „Daher sind sichere VideoIdent-Verfahren aus Sicht der Gematik ein wichtiger Schritt, um einen einfacheren Zugang zu digitalen Anwendungen wie der elektronischen Patientenakte oder dem E-Rezept zu ermöglichen.“

Das Vorgehen der Gematik überrascht Kastl nicht. „Vom Prozess her ist das wieder klassisch: Irgendwo im Hintergrund wird an einem Verfahren gewerkelt, das dann auf einmal auf die Bevölkerung losgelassen wird“, so die Sicherheitsforscherin. „Transparente Risikoaufklärung und unabhängige Risikobewertung? Mal wieder Fehlanzeige.“

Im Packprogramm WinRAR haben IT-Sicherheitsforscher eine Schwachstelle entdeckt, durch die Angreifer Schadcode einschleusen und ausführen können. Die Sicherheitslücke wird bereits im Internet attackiert. Ein Update zum Stopfen des Lecks steht bereit. WinRAR-Nutzerinnen und -Nutzer sollten es umgehend installieren.

Laut Schwachstellen-Eintrag handelt es sich um eine sogenannte „Path Traversal“-Schwachstelle, die Zugriffe auf eigentlich nicht zugängliche Verzeichnisse ermöglicht. Angreifer können mit manipulierten Archivdateien den Fehler provozieren und dadurch beliebigen Code einschleusen und ausführen, sofern Opfer manipulierte Archive mit verwundbaren WinRAR-Versionen entpacken. Die Lücke wurde von Virenanalysten von Eset entdeckt (CVE-2025-8088 / EUVD-2025-23983, CVSS 8.4, Risiko „hoch„).

Details bleiben unklar

Welche Archiv-Typen genau betroffen sind, erörtert WinRAR in der Versionsankündigung für die Fassung 7.13, die die Sicherheitslücke schließt, nicht. Es sind jedoch die älteren Fassungen von RAR, UnRAR, portable UnRAR (Quelltext) und UnRAR.dll für die Schwachstelle anfällig. Die Unix- und Android-Versionen sind hingegen nicht betroffen.

Die fehlerbereinigten Versionen stehen auf der Download-Seite von WinRAR zum Herunterladen bereit. Wer WinRAR einsetzt, sollte die Aktualisierung umgehend durchführen.

Malware verteilt

Gegenüber Bleepingcomputer hat Eset-Forscher Peter Strýček angegeben, dass das Antivirenunternehmen Spearphishing-E-Mails mit Dateianhängen im RAR-Format entdeckt hat. Diese haben die Schwachstelle missbraucht, um „RomCom“-Backdoors zu installieren. RomCom ist eine mit Russland verbandelte Cyberbande, auch als Storm-0978, Tropical Scorpius oder UNC2596 bekannt. Laut der Webseite spezialisiert sie sich auf Ransomware, Datenklau-Angriffe und Kampagnen zum Stehlen von Zugangsdaten.

Die Schwachstelle erinnert an eine Sicherheitslücke, die Trend Micros Zero Day Initiative (ZDI) kürzlich entdeckt hatte. Auch da musste WinRAR mit der Version 7.12b1 ein Sicherheitsleck stopfen, bei dem Angreifer beliebige Pfade vorgeben und dadurch Schadcode einschleusen und ausführen konnten.

(dmk)

In der heutigen Degitalisierung geht es um eines der am langweiligsten scheinenden Themengebiete der Informationstechnik: Fachanwendungen. Oder genauer gesagt: Um die teils sehr schräge Beziehung, die Staat und Politik zu eben diesen Fachanwendungen haben. Denn auf der einen Seite sind Fachanwendungen eigentlich viel zu wichtig, um sie zu vernachlässigen. Auf der anderen Seite sind sie aber wiederum auch nicht so wichtig, dass im politischen Diskurs um sie gleich alle Grundrechte aufgegeben werden müssten. Aber der Reihe nach.

Die wundersame Welt der Spezialanwendungen

Fachwendungen sind, vereinfacht gesagt, individuelle Softwarelösungen, die auf die Bedürfnisse einer einzelnen Kund*in maßgeschneidert werden, nicht immer neu entwickelt, manchmal auch sehr individuell aus bestehenden Lösungen konfiguriert. Es gibt Fachanwendungen nicht nur in der Verwaltung oder im Gesundheitswesen, sondern auch im Maschinenbau oder in anderen produzierenden Branchen.

Was macht so eine Fachanwendung? Mindestens Daten verarbeiten, oft auch irgendwie bei der Datenverwaltung helfen, teils auch auf bestehende Datenbanken zugreifen, diese visualisieren oder entsprechende spezifische Berechnungen oder Plausibilisierung durchführen. Mit etwas Feenstaub vermarktet, könnte die schon länger stattfindende Automatisierung in mancher Fachanwendung neudeutsch auch als „Künstliche Intelligenz“ bezeichnet werden, wenngleich Fachanwendungen schon seit Jahrzehnten irgendwelche Arten von Berechnungen in Form von Algorithmen auf Daten durchgeführt haben.

So weit, so theoretisch. In der Praxis des Verwaltungshandelns fällt bei vielen dieser Fachanwendungen oftmals ein Hang zum Scheitern auf.

Der wundersame Lehrerschwund

Im vergangenen Monat fiel eine Fachanwendung aus dem Land Baden-Württemberg durch einen sonderbaren, langanhaltenden Schwund an reell nicht besetzten Stellen von Lehrer*innen auf. Wegen einer Softwarepanne wurden 1440 Stellen jahrelang nicht besetzt. Ein Softwarefehler im Personal- und Stellenprogramm der Landesverwaltung, der über 20 Jahre lang unbemerkt blieb. Weder im Finanz- noch im Kultusministerium ist klar, wie es dazu kommen konnte.

Bemerkenswert ist dann aber auch die teilweise Beschwichtigung des Problems: Mehr Stellen könnten jetzt auch nicht besetzt werden, weil die bestehenden ja schon nicht besetzt werden konnten. Es sei auch kein Schaden an den Steuerzahlenden entstanden, zur Freude der sprichwörtlich sparsamen schwäbischen Hausfrau, denn das Geld sei ja nicht im Haushalt verplant gewesen. So groß sei der Schaden nun auch wieder nicht, es betreffe ja nur 1,5 Prozent der gesamten Stellen für Lehrpersonal im Lande. Was für ein Glück, nicht?

Die Verniedlichung des datenbasierten Bildungsproblems verkennt dabei eines vollkommen: Durch auch nur ein paar betroffene Schüler*innen entstehen große Schäden im Bereich einer ausbleibenden Bildungsrendite, die in Deutschland laut OECD immerhin bei 6 bis 10 Prozent liegen. Durch die Ungerechtigkeit des deutschen Bildungssystems, die sich oft über Generationen durchzieht, reduzieren sich Chancen auf einen sozialen Aufstieg der potenziell betroffenen Schüler*innen wahrscheinlich sogar noch weiter. Kleiner Fehler, große unentdeckte Wirkung.

Fachanwendungen und ihre korrekte Funktion sind eigentlich immens wichtig für die Gesamtgesellschaft und die Daseinsvorsorge. Das scheint nur nicht immer verstanden zu werden. Die Betreuung und kritische Begleitung von Fachanwendungen braucht kontinuierliche fachliche Begleitung und konstante IT-Expertise, nicht nur vom klischeehaften Mathelehrer, der in seiner Freizeit mal ein Programm geschrieben hat. Es braucht Menschen, die Software und deren Entwicklung wirklich vom Fach her verstehen.

Die wundersame Langsamkeit der Anpassung

Die Wichtigkeit von Fachanwendungen und ihrem Ökosystem für das Vertrauen in den Staat scheint ohnehin seit längerem konstant heruntergespielt zu werden. Nur ist das bei manchen dadurch verschleppten politischen Wirkungen bisher vielleicht nicht so stark aufgefallen wie bei einem wundersamen Stellenschwund auf Landesebene. Und keine Sorge, die Beispiele verwenden jetzt explizit keine faxenden Gesundheitsämter in der Pandemie.

Beispiel 1 wäre da die Ehe für alle von 2017. Die Möglichkeit, dass gleichgeschlechtliche Paare zum Inkrafttreten des Gesetzes am 1. Oktober 2017 auch wirklich in allen staatlichen Datenbanken offiziell heiraten konnten, gab es durch Verzögerungen in der Anpassung der dahinterliegenden Personendatenstandards nicht. Die Standesamtsoftware könne das, klar, das Register dahinter aber, na ja. Dass eine daraus resultierende Softwareanpassung schon mal neun Monate dauern könnte, sei ein „normaler administrativer Prozess“.

Beispiel 2 wäre da das Selbstbestimmungsgesetz, das wegen Änderungen an den technischen Verfahren erst später in Kraft treten konnte – so die Aussage des Bundesrates:

Da die Änderungen, die zum 1. November in Kraft treten, bereits zum 31. Januar des Jahres fertiggestellt sein müssen, damit die Verfahrenshersteller für das Fach- und das Registerverfahren ausreichend Zeit für die technische Umsetzung haben, kann das Gesetz frühestens zum 1. November 2025 in Kraft treten.

Langsamkeit in der Umsetzung gesetzlicher Vorgaben als „normaler administrativer Prozess“ eben.

Beispiel 3 wäre da die Ersatzfreiheitsstrafe. Die Strafen also, bei der Menschen, die zum Beispiel wegen Fahrens ohne Fahrschein und dem darauffolgenden Nichtzahlen von Geldstrafen ersatzweise eine Freiheitsstrafe absitzen. Wurde von der abzusitzenden Zeit eigentlich halbiert, sollte eigentlich am 1. Oktober 2023 in Kraft treten. Ging aber nicht, die Softwareanpassung der Justizsoftware brauchte länger. Kannste nichts machen, steht halt weiter so im Computer.

Die wundersame Schnelligkeit für innere Sicherheit

Es ist aber nicht alles mit Software so langsam ablaufend und finanziell schlecht ausgestattet. Es kommt nur auf den Verwendungszweck eben dieser Software an. In der Diskussion um die Ausstattung von Sicherheitsbehörden und Polizei mit einer Softwareplattform wie Palantirs Gotham kann es oft gar nicht schnell genug gehen, Millionenbeträge für Lizenzen sind auch kein Thema. Weil durch Knausrigkeit, übertrieben gewissenhafte Prüfung einer Software im Bereich innere Sicherheit auf rechtliche Probleme und Langsamkeit bei der Umsetzung ja quasi morgen schon die innere Ordnung komplett zusammenbrechen würde, so wirkt es. Gotham sei dabei konkurrenzlos.

Es tut der aktuellen Diskussion um Palantir durchaus gut, hier auch das eher sehr nüchterne Wort einer Fachanwendung zu verwenden beziehungsweise einer Plattform für Fachanwendungen. Denn letztendlich ist auch die scheinbar allmächtige Intelligence-Plattform Gotham im Kern auch das: Software, die Daten entsprechend aggregieren, visualisieren und automatisch analysieren kann. Kein mythischer sehender Stein, sondern vor allem Software und Algorithmen.

Der Knackpunkt bei Gotham ist aber nun, welche Automatismen, welche Ontologien und welche Technikfolgen sich Staaten dadurch einkaufen. Wir wissen es quasi nicht, weil alles um Gotham eher intransparent ist. Gerade im Bereich der inneren Sicherheit, bei dem es sehr schnell um sehr intensive Grundrechtseingriffe gehen kann, ist Software wie Gotham und die mit ihr verbundenen Algorithmen oder neudeutsch KI als eine potenzielle „Weapon of Math Destruction“ zu sehen – um den Titel eines Buches von Cathy O’Neil aufzugreifen.

Mit möglichen Vorurteilen behaftete allumfassende automatisierte Datenauswertung auf immer mehr bisher getrennten Daten, wie sie sich gerade in der aktuellen politischen Entwicklung zeigt, ist eben ein Thema, das in seinen Folgen gesamtgesellschaftlich betrachtet werden müsste – in der Diskussion um Palantir politisch aber nicht wird, wie die überhastete, heimliche Beschaffung in Baden-Württemberg zeigt.

Der wundersame Umgang mit Software in der politischen Diskussion

Die Welt der Fachanwendungen mag erst mal langweilig klingen, wir sollten diese Welt aber als Gesellschaft immer kritisch begleiten. Die Spannweite reicht vom schlecht rechnenden Dialogisierten Integrierten Personalverwaltungssystem „DIPSY-Lehrer“ in Baden-Württemberg zu Palantirs Gotham.

Bei Fachanwendungen gilt unabhängig von ihrem Zweck: Nicht alle sind in ihrer Wirkung bekannt, sollten es aber sein. Nicht alle sind transparent, sollten es aber sein. Nicht alle ihre Fehler und Vorurteile sind bekannt, sollten es aber sein. Nicht alle Nutzungen von Fachanwendungen sind ihrer Rechtmäßigkeit vollkommen klar umrissen und begrenzt, sollten es aber sein. Nicht alle ermöglichen eine zügige Anpassung an das freiheitlich demokratisch abgestimmte Handeln, sollten es aber ermöglichen. Keine Anwendung sollte antidemokratische Techmogule in irgendeiner Form unterstützen, ein paar tun es aber.

Dass es hier so eklatante Unterschiede gibt, zeigt, dass wir immer noch nicht verstanden haben, dass Software und ihre Wirkung inzwischen als Teil der Daseinsvorsorge und Grundlage unseres gesellschaftlichen Zusammenlebens gesehen werden muss – ob wir das wollen oder nicht. Wir sollten entsprechend verantwortlich mit dieser Erkenntnis umgehen.