Zitat von Junioruser1976 im Beitrag #44Man braucht das Handy ja gar nicht aktiv verkaufen- "ungewollter Verlust/Diebstahl" kommt ja noch als weiteres RIsiko dazu - und da wäre ggf. die KVK ja gleich "drive by download" (aus der Handtasche des Betroffenen;-) mit an Bord und somit ggf. schon hierüber problemlos Feuer frei für einen Ausflug auf die ePA des Bestohlenen...
Der Angriff funktioniert so nicht, es sei denn Sie schreiben auch gleich noch Ihre eGK-PIN auf die eGK - und den AppCode gleich mit dazu. Das ist ja die Grundidee bei Sicherheit: Besitz alleine genügt nicht für einen Zugriff, es ist immer auch geheimes Wissen erforderlich. Daher gibt's zur ec-Karte (Besitz) auch die PIN (Wissen). Bei der ePA findet sich Besitz bei der 2FA-Authentisierung in Form des am Aktensystem bekannt gemachten Smartphones, wahlweise auch zusätzlich in Form der eGK und das Wissen in Form des Passworts für die Anmeldung beim IAM* der Kasse, wahlweise der PIN der eGK, sowie dem AppCode. Also selbst bei Verlust von Smartphone und eGK immer noch kein Problem! 😉
Zitat von Junioruser1976 im Beitrag #44bei ungewolltem Verlust sollte somit meine ich schon eigentlich dann ein Verfahren greifen, dass der Zugang zur ePA umgehend gesperrt werden kann , so wie ich ja auch bei der Bank sperren kann, wenn ich die EC Karte verliere- ..Frage wäre: ist dieser Prozess eigentlich von der Theorie her irgendwo festgelegt und beschrieben und wenn ja wo?
Sowohl die eGK, als auch die Nutzung eines spezifischen Smartphones für das eigene ePA-Konto lassen sich sperren. Sie können auch den Benutzer des IAM zurücksetzen (ohne die ePA selbst zu löschen). In diesem Fall muss sich der Versicherte erst neu Identifizieren lassen und kann anschließend ein neues Passwort für seinen Zugang vergeben. Das Ganze können Sie teilweise über eine Kassen-App (auch die ePA-App) und immer über den Kundenbetreuer der Krankenkassen auslösen.
* IAM = Identity Access Management, die der ePA vorgelagerte Benutzerverwaltung der Krankenkassen