hub > Technology & Architecture

BSI-Astrologie

von Dr. Jörg Caumanns – 27. Juni 2025

icon
2FA DiGA - Kreml-Astrologe

Neben dem Laternenanzünder, dem Köhler und dem Fassbinder zählt auch der Kreml-Astrologe zur Gruppe der ausgestorbenen Berufe. Bei den Kreml-Astrologen, wie man sie in den 1980er Jahren nannte, handelte es sich zumeist um ältere Politikjournalisten, die rauchend in Talkshows saßen und damit befasst waren, aus kryptischen Äußerungen der Sowjetführung Rückschlüsse darauf zu ziehen, welche Strömungen wohl aktuell die Politik des Kremls bestimmen mochten. Heute, 40 Jahre später, hat der Beruf mit den Technischen Richtlinien des BSI unverhofft die Chance erhalten, zu neuer Blüte zu gelangen.

Ein gutes Beispiel ist die von DiGA verpflichtend umzusetzende TR-03161, die Vorgaben für die Sicherheit von IT-Systemen im Gesundheitswesen formuliert. Aktueller Fokus der astrologischen Würdigung ist hier die Anforderung nach der Umsetzung einer 2-Faktor-Authentifizierung (2FA). Das BSI hat die Vertraulichkeit des Wissens um die TR-konforme Implementierung einer 2FA mit verschiedenen Maßnahmen geschützt:

  • Honeypots: vom BSI zugelassene Prüfstellen bewerten Implementierungen als zulässig, die das BSI anschließend als unzulässig deklariert
  • 4-Augen-Prinzip: Wenn eine Implementierung vorliegt, muss diese von mindestens zwei Referaten des BSI geprüft und bewertet werden
  • Verzögerung: Anfragen werden verzögert und möglichst vage beantwortet
  • Walter-Moers-Prinzip („Ich erkenne einen Bademeister, wenn ich ihn sehe“): es wird nicht gesagt, was eine zulässige 2FA ist, sondern für jede von einem Hersteller vorgelegte Implementierung einzelfallweise entschieden, ob dieses eine zulässige 2FA ist oder nicht.

Dieser Perimeterschutz um die TR-03161 wurde ein Jahr nach Veröffentlichung der aktuellen Fassung teilweise aufgegeben, indem im Mai 2025 auf der Webseite des BSI eine Tabelle mit den für eine 2FA zulässigen Faktoren in den Kategorien „Wissen“, „Besitz“ und „Inhärenz/Biometrie“ veröffentlicht wurde. Dem Kritikpunkt der DiGA-Hersteller, dass eine 2FA nach Vorgabe des BSI jegliche Usability einer DiGA zunichte macht, begegnet das BSI in seiner Veröffentlichung mit der Aussage, dass eine Authentifizierung des Nutzers an einer DiGA bei richtiger Interpretation der 2FA-Vorgaben des BSI durch den DiGA-Hersteller durch einfaches Auflegen des Daumens möglich ist: „Durch die Anbindung an die GesundheitsID werden z.B. Verfahren angeboten, die sich aus einer Gerätebindung und einem biometrischen Faktor zusammensetzen. So ist beispielsweise zur Nutzung der Anwendung aus Sicht des Patienten ausschließlich das Verwenden eines biometrischen Faktors erforderlich.“

Hier schlägt die Stunde des Kreml-Astrologen, aus den vom BSI durchaus reichlich gegebenen Hinweisen herauszulesen, wie ein solches aus Nutzersicht einfaches Verfahren technisch ausgestaltet werden kann, um vom BSI als sichere 2FA anerkannt zu werden.

Hinweis 1: Die Faktoren

Zur Vereinfachung der Aufgabe, das vom BSI angedeutete Verfahren herauszufinden, hat uns das BSI den Tipp gegeben, dass die gesuchte Lösung auf Gerätebindung und Biometrie basiert: „Verfahren  […], die sich aus einer Gerätebindung und einem biometrischen Faktor zusammensetzen“. Die einfachste Interpretation dieser Aussage ist, dass das BSI die lokale Prüfung eines biometrischen Faktors als Teil einer 2FA anerkennt, über die sich der DiGA-Nutzer für den Zugang zu – potenziell im Backend der DIGA befindlichen – Daten und Diensten authentifiziert.

Für diese Interpretation spricht, dass die lokal geprüfte Biometrie nicht lediglich der Zugangsschutz zu einem weiteren, durch das Backend prüfbaren Besitzfaktor sein kann, da wir dann am Backend zwei Besitz-Faktoren hätten (was laut BSI-Regel nicht erlaubt ist).

Gegen die Interpretation der Zulässigkeit der ausschließlich lokalen Prüfung eines biometrischen Faktors spricht, dass Daten im Backend damit nur durch einen Faktor geschützt sind: Ein Angreifer kann die DiGA auf einem anderen Handy installieren und muss „nur“ den Besitzfaktor der Gerätebindung erfolgreich brechen, da das Backend nur diesen prüft, bevor es die Nutzerdaten freigibt. Geht man davon aus, dass auch hier die Vorgabe gilt, dass die 2FA Faktoren unterschiedlicher Kategorien enthalten muss und dass Besitz bereits abgedeckt ist (Gerätebindung) und Biometrie nicht infrage kommt (durch das Backend nicht prüfbar), bleibt nur ein Faktor der Kategorie „Wissen“. Das könnte ein Passwort sein, aber die vom BSI angedeutete Lösung soll ja dem Nutzer ausschließlich das Verwenden eines biometrischen Faktors abverlangen.

Diese Spekulationen lassen im Grunde genommen nur den Schluss zu, dass das BSI an irgendeiner Stelle von einem Mantra abrückt – entweder reicht es, wenn das Backend nur einen Faktor selber prüft, oder eine am Backend geprüfte 2FA darf auch zwei Faktoren derselben Kategorie beinhalten.

Vermutung des Kreml-Astrologen: Dem BSI reicht die lokale Prüfung der Biometrie, wenn der zweite Faktor eine kryptografisch gesicherte Gerätebindung ist. Ob die dahinter stehende Logik auch Kombinationen wie Biometrie mit UserID+Passwort erlaubt, stelle ich hier einmal als Übungsaufgabe für die Leser in den Raum.

Hinweis 2: Weitere Quellen sind zu beachten

Das BSI verlangt, dass bei mobilen Endgeräten ohne zertifiziertes Secure Element eine Gerätebindung nach einer definierten Zeit verlängert werden muss. Die Zeit ist festgeschrieben und hängt von prüfbaren Hardware-Eigenschaften des Handys des Nutzers ab. Die Zertifizierung des Secure Element ist nicht so einfach prüfbar, so dass eine Erneuerung der Gerätebindung faktisch für jedes Gerät erfolgen muss, um auf der sicheren Seite zu sein. Hier gibt das BSI den Tipp, dass weitere Informationen zu dem Thema in der Spezifikation der gematik zum sektoralen Identity Provider versteckt sind.

In dieser Spezifikation finden wir insbesondere die Festlegung, dass eine Erneuerung der Gerätebindung aus einer abgelaufenen Gerätebindung nicht zulässig ist, wenn man das Schutzniveau „hoch“ erreichen will. Das alles betrifft das zu findende nutzerfreundliche Authentifizierungsverfahren aber nicht, da das BSI uns auf der angesprochenen Webseite auch den Hinweis gibt, dass das gesuchte nutzerfreundliche Verfahren die – vom Nutzer explizit zu erlaubende – Option nutzt, die Authentifizierung auf einem niedrigeren Sicherheitsniveau durchzuführen („Authentifizierungsverfahren […], das einem niedrigeren Sicherheitsniveau entspricht“). Bei der Frage, ob eine Erneuerung aus einer nicht abgelaufenen Gerätebindung für ein niedrigeres Schutzniveau zulässig ist, wird darauf verwiesen, dass dieses für abgelaufene Gerätebindungen zur Erreichung eines hohen Schutzniveaus nicht zulässig ist („Sie wollen wissen, ob man als Fußgänger bei Gelb über den Zebrastreifen gehen darf? Dazu geben wir Ihnen den Hinweis, dass wir für Autos geregelt haben, dass sie nicht bei Rot über die Ampel fahren dürfen“).

An anderer Stelle der Spezifikation wird jedoch pauschal und ohne den sonst immer üblichen Bezug zu einem Schutzniveau geschrieben, dass eine Erneuerung der Gerätebindung über eine Authentifizierung auf hohem Sicherheitsniveau erfolgen muss und hier aktuell nur eGK+PIN und Personalausweis+PIN erlaubt sind. Da DiGA jedoch aus ihren Datenschutzvorgaben heraus den Nutzer nicht als „reale“ Person identifizieren dürfen, scheiden diese Verfahren – ungeachtet ihrer geringen Verbreitung – aus. Allerdings ist es durchaus zulässig, bei Nutzung eines Passworts als Faktor einer 2FA dieses Passwort nach erfolgreicher Authentifizierung und erneuter Eingabe des alten Passworts zu ändern. Warum sollen aber für die Erneuerung eines Faktors je nach Faktor unterschiedliche Sicherheitsniveaus erforderlich sein? Auch sagt das BSI ja, dass die Nutzung der Anwendung aus Nutzersicht ausschließlich mit Auflegen des Daumes möglich ist – kein Hinweis dahingehend, dass man außerdem noch ab und an seine eGK ans Handy halten und die PIN (und die Kartennummer) eingeben muss.

Vermutung des Kreml-Astrologen: Für ein „niedrigeres Sicherheitsniveau“ kann jeder Faktor einer 2FA aus einer gültigen 2FA heraus erneuert werden. Dazu muss der alte Wert des zu ändernden Faktors explizit noch einmal geprüft werden. Wenn die Gerätebindung abgelaufen ist, kann diese für das niedrigere Sicherheitsniveau aus einer beliebigen anderen, gültigen 2FA heraus erneuert werden. Beispielsweise könnte die DiGA bei der Nutzerregistrierung ein Passwort oder ein TOTP-Verfahren als redundanten, dritten Faktor initialisieren, der dann zusammen mit der Biometrie für die Erneuerung der Gerätebindung genutzt werden darf.

Hinweis 3: Anbindung an die GesundheitsID

Beim genauen Lesen der oben zitierten Spezifikationen fällt auf, dass im Kontext der schwergewichtigen Verfahren (eGK+PIN und Personalausweis) nicht nur von der Erneuerung der Gerätebindung, sondern auch von der Einrichtung der Gerätebindung die Rede ist. Damit bekommt der vom BSI auf seiner Webseite veröffentlichte, harmlos klingende Satzanfang „Durch die Anbindung an die GesundheitsID …“ eine bedrohliche Wendung. Was meint das BSI mit „Anbindung an die GesundheitsID“? Diese GesundheitsID taucht in der BSI-Tabelle der 2FA-Faktoren und auch sonst im ganzen FAQ des BSI zur 2FA an keiner anderen Stelle auf. Die GesundheitsID wird aber über eGK+PIN oder Personalausweis+PIN eingerichtet. Fügt man BSI-Aussage und gematik-Spezifikation zusammen, landet man bei der Vermutung, dass das BSI erwartet, dass bei der Einrichtung der angedeuteten nutzerfreundlichen 2FA in irgendeiner Form die GesundheitsID eine Rolle spielt. Schlüsselbegriff in der Spezifikation zum sektoralen Identity Provider ist hier „Identifizierung oder Authentifizierung des Nutzers“.

Das macht aber andererseits wieder keinen Sinn, da der Nutzer bei der Einrichtung der DiGA für deren Hersteller anonym ist und sich lediglich durch den Nachweis der Kenntnis eines gültigen Freischaltcodes autorisieren muss. Eine Authentifizierung findet nur gegen den ja gerade erst einzurichtenden Account bei dem DiGA-Hersteller statt. Und: Wenn man hier die GesundheitsID bräuchte, könnte man sie ja gleich auch zur Authentifizierung verwenden; das ist so naheliegend, dass das Fehlen eines entsprechenden Hinweises in den Vorgaben des BSI eigentlich nicht zufällig sein kann. Und: Des E-Rezept für DiGA wurde gerade erst u.a. deshalb verschoben, weil kein Mensch eine GesundheitsID hat. Als Gegenargument ist lediglich anzuführen, dass Sinnhaftigkeit und Realitätsbezug keine Maßstäbe sind, an denen eine TR sich messen lassen muss.

Vermutung des Kreml-Astrologen: Das BSI meint das ernst und erwartet, dass die Gerätebindung in einer per GesundheitsID aufgebauten, authentifizierten Session eingerichtet wird (alternativ eGK+PIN oder Personalausweis+PIN). Damit ist auch die Interpretation zu Hinweis 2 falsch und ich korrigiere mich dahingehend, dass eine Erneuerung der Gerätebindung die GesundheitsID oder eGK+PIN oder Personalausweis+PIN erfordert. Was aber egal ist, da 96 % der potenziellen Nutzer gar nicht so weit kommen werden (s.u.).

Hinweis 4: Kein Hinweis zum Thema „Gerätewechsel“

Geräte gehen verloren, werden gestohlen oder auch einfach nur durch Neuere ersetzt. In diesen Fällen möchte der Nutzer potenziell eine auf einem verlorenen, gestohlenen oder einfach nur alten Gerät angefangene DiGA-Nutzung auf einem neuen Gerät fortsetzen. Das Problem ist hier, dass der durch die Gerätebindung hergestellte 2FA-Faktor des alten Geräts potenziell nicht mehr verfügbar ist, d.h. eine 2FA-Anmeldung an der DiGA ist über das neue Gerät nicht möglich. Faktisch ist bei einem gestohlenen oder verlorenen Handy auch der Biometrie-Faktor weg, da die Biometrie auf dem neuen Gerät neu eingerichtet wird und für die DiGA kein Bezug zum biometrisch authentifizierten Nutzer auf dem alten Gerät herstellbar ist. Damit nutzt hier auch ein redundanter dritter Faktor nichts, insbesondere da die infrage kommenden Faktoren fast sämtlich entweder ebenfalls an das Gerät gebunden sind (z.B. System-PIN), eine unzulässige Identifizierung des Nutzers beinhalten (z.B. Versenden eines Reset-QR-Codes per Post), nur einmal nutzbar sind (Freischaltcode) oder vom BSI nicht erlaubt sind (z.B. Versenden einer Einmal-PIN an eine hinterlegte E-Mail-Adresse). Nach der Tabelle des BSI wäre die einzig erkennbare zulässige Option, zur Vorbeugung eines Verlusts des genutzten Endgeräts bei der Initialisierung der DiGA neben Biometrie und Gerätebindung immer zusätzlich UserID+Passwort als dritten Faktor und einen über eine Cloud synchronisierbaren Passkey als vierten Faktor einzurichten. Da das BSI aber grundsätzlich von „security by obscurity“ abrät, sollte davon ausgegangen werden können, dass eine 4FA nicht die Lösung für das angedeutete nutzerfreundliche Verfahren ist.

Das einzige zulässige 2FA-Verfahren, welches das Problem mit dem Gerätewechsel nicht hat, ist die Kombination aus UserId+Passwort und über eine Cloud synchronisiertem Passkey (z.B. auf dem iPhone ab IOS-Version 16 verfügbar). Das ist aber von der Usability her nicht das vom BSI versprochene einfache Auflegen des Daumens. Auch haben nach einer aktuellen Studie des BSI nur 18 % der Handynutzer einen Passkey aktiviert und hier wurde auch sicherlich eher der typische Heise-Leser als der typische DiGA-Nutzer befragt.

Vermutung des Kreml-Astrologen: Das Szenario, dass Nutzer während einer DiGA-Nutzung das Handy wechseln, ist vom BSI niemals mit Berücksichtigung der für DIGA geltenden Datenschutzvorgaben bedacht worden. Bis auf weiteres gilt: Handy weg = DiGA weg!

Zusammenfassung der Vermutungen zum gesuchten 2FA-Verfahren

Das vom BSI angedeutete, nutzerfreundliche Verfahren kann theoretisch wirklich existieren, ist aber in seiner Nutzbarkeít durch die Gegebenheiten der Realität stark eingeschränkt: Warp-Geschwindigkeit ist möglich, man muss sich einfach nur Energie mit der 100-fachen Masse des Jupiters in den Tank packen (https://doi.org/10.48550/arXiv.2006.07125).

Die kremlastrologisch fundierte Vermutung zu dem Anmeldeverfahren selbst ist, dass das BSI bei der Kombination aus Biometrie und Gerätebindung technische Verfahren akzeptiert, die auf – hier sicher auch begründbaren – Ausnahmen von der intuitiven Definition der Zahl 2 oder des Begriffs „Faktor“ beruhen, wobei diese Ausnahmen bislang nie klar kommuniziert wurden. Am Ende ist das aber auch egal, da durch die „Anbindung an die GesundheitsID“ nur 4 % der in der GKV versicherten Personen überhaupt die Voraussetzungen zur Nutzung des angedeuteten nutzerfreundlichen Verfahrens erfüllen.

Und auch für diese 4 % der GKV-Versicherten ist die grundsätzliche Nutzbarkeit des vermuteten Verfahrens nur unter der Annahme gegeben, dass sie davon absehen, ihr Handy zu verlieren oder es sich gar stehlen zu lassen. Auch vom Kauf eines neuen Handys während der DiGA-Nutzung ist eher abzuraten.

Nachtrag: Richtigstellungen des BSI zu diesem Artikel sind sehr willkommen, insbesondere wenn sie die hier geäußerten Vermutungen mit einem klaren „genau so ist das gedacht“ bestätigen oder einem klaren „so sicher nicht“ verwerfen. Notfalls kann auch wie beim Topfschlagen ein einfaches „heiß“ oder „kalt“ für den weiteren Weg einer Lösungsfindung hilfreich sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ausgewählte Artikel

ZTS
hub > Technology & Architecture

#ZTS | Weiterer Meilenstein erreicht

Digitale Versorgung braucht Standards, die funktionieren. Der Zentrale Terminologieserver öffnet die erste Kommentierungsphase – Ihre Expertise ist gefragt!

von _fbeta GmbH - 28. April 2025

icon
Digitales DMP Diabetes - DGIV Bundeskongress
hub > Technology & Architecture

Digitales DMP Diabetes | Vortrag auf dem DGIV Bundeskongress 2024

Die Digitalisierung bietet enorme Chancen für eine strukturierte Behandlung – doch ein digitales DMP Diabetes muss mehr sein als nur die digitale Ergänzung eines klassischen DMP. Es geht darum, ...

von _fbeta GmbH - 12. März 2025

icon

Welche Herausforderung möchten Sie meistern?

Lassen Sie uns sprechen!