Quelle: e-health-com.de – Auch in diesem Jahr war die Sicherheit von Gesundheitsdaten wieder Thema auf dem Chaos Communication Congress, dem jährlichen Treffen der Hacker-Vereinigung Chaos Computer Club. Ein Team aus ITlern und Ärzten demonstrierte Sicherheitslücken im Bestellprozess von eGK, HBA und SMC-B. Die gematik und medisign reagierten prompt.

Während der Fokus im vergangenen Jahr auf technischen Sicherheitslücken der Gesundheitsakten Vivy und Co. lag, enthüllte ein Team um den IT-Sicherheitsforscher Martin Tschirsich beim aktuell 36. Chaos Communication Congress Schwachstellen in administrativen Prozessen: Tschirsich und dem Essener Anästhesisten und CCC-Mitglied Dr. Christian Brodowski war es gelungen, zunächst einen neuen Heilberufeausweis (HBA) für Brodowski bei der Firma medisign zu bestellen, ohne dass dieser sich gegenüber medisign zuverlässig ausweisen musste. Verwendet wurde das Identifikationsverfahren BankIdent; das Team konnte sich hier mit einer Passnummer ausweisen, die weder der Bank noch der Ärztekammer bekannt war, und sich den neuen Arztausweis an eine Adresse seiner Wahl schicken lassen.

Unautorisierte SMC-B-Bestellung leicht gemacht

Ähnlich simpel sei auch die unautorisierte Beschaffung des Praxisausweises SMC-B für Brodowskis Praxis gewesen: Hier habe man die Bestellung anhand leicht zu beschaffender Informationen durchführen können wie etwa der Betriebsstättennummer der Praxis. Brodowski dazu: „Das Geburtsdatum ist die einzige dieser Angaben, die nicht auf jedem Rezept und jeder Überweisung steht.“ Dieses lasse sich aber beispielsweise bei Gemeinschaftspraxen im Partnerschaftsregister einsehen. Sowohl SMC-B als auch die zugehörige PIN seien an die frei gewählte Lieferadresse versandt worden. Die Online-Registrierung der so beschafften SMC-B sei erfolgreich gewesen und es habe ein Vorgang in der Telematik-Infrastruktur, ein Versichertenstammdatenabgleich, ausgelöst werden können.

Besonders pikant in diesem Zusammenhang: Die Sicherheitsforscher hatten im Rahmen ihrer Recherchen festgestellt, dass bei der medisign GmbH die Anträge von 168 Ärztinnen und Ärzten auf neue Arztausweise online frei zugänglich waren, was die Beschaffung von Ausweisen durch Unbefugte noch weiter erleichtert hätte. Das Unternehmen medisign wurde jedoch zeitnah über diese Sicherheitslücke informiert und hat sie, wie medisign-Geschäftsführer Armin Flender gegenüber der Ärzte Zeitung sagte, „binnen Minuten“ beseitigt. Ursache sei ein falsch konfigurierter Server gewesen.

Auch eine eGK und ein Konnektor waren problemlos zu bekommen

Um den auf dem Kongress präsentierten Kartensatz zu komplettieren zog das Team Dr. André Zilch hinzu, einen IT-Sicherheitsexperten, der bereits seit Jahren auf die Sicherheitslücken bei der Identifikation von Versicherten zur Ausstellung der eGK hinweist und sich unter anderem 2015 bei einer Anhörung der Freien Ärzteschaft im Bundestag zu den damit verbundenen Risiken geäußert hatte. Zilch demonstrierte ein weiteres Mal die unautorisierte Beschaffung einer eGK: In diesem Fall durch die Adressänderung eines befreundeten Versicherten bei der AOK Hessen, die Zilch auf dem einfachsten denkbaren Weg, durch den E-Mail-Versand eines eingescannten Dokuments mit ausgedachter Unterschrift, erreichte.

Auf ähnlichem Wege, mit einem einseitigen Fax, sei dann schließlich auch die Bestellung eines Konnektors möglich gewesen. Die angeblich sichere Lieferkette habe an keiner Stelle eine Identifikation oder Unterschrift notwendig gemacht. Größte Hürde sei vielmehr gewesen, angesichts des für dieses Projekt begrenzten Budgets eine Firma ausfindig zu machen, die Konnektoren auch einzeln verkauft.

eGK: Forderung nach echtem Identitätsnachweis

Fazit des Teams war unter anderem die Forderung, die eGK als echten Identitätsnachweis zu konzipieren, sowie der Hinweis auf, so Zilch, „organisierte Verantwortungslosigkeit“ in der Telematik-Infrastruktur. Es gebe zur Zeit keine Stelle, die die organisatorischen Vorgänge in ihrer Gänze im Auge habe und für deren Sicherheit verantwortlich sei. So wünschte sich auch Brodowski im Nachgang des Vortrages gegenüber E-HEALTH-COM ein ganzheitliches Vorgehen: „Wir fordern eine gesamtgesellschaftliche Technikfolgenabschätzung für die TI. Die bisher nicht existierenden Notfallkonzepte für Datenverluste in Zusammenhang mit der Telematik müssen erstellt und mit Kosten hinterlegt werden. Die Verantwortlichen müssen benannt und im Falle eines Datenschadens belangt werden.“

Die gematik reagierte noch am Tag des Vortrages auf die Erkenntnisse des CCC. Das Datenleck bei medisign bezeichnet sie in der E-HEALTH-COM vorliegenden Stellungnahme als „nicht hinnehmbar“ und kündigt an, den Anbieter einer unabhängigen Prüfung zu unterziehen. Der Prozess zur Beantragung von HBA mittels PostIdent sei weiterhin sicher, lediglich KammerIdent und BankIdent seien auf Anweisung der Bundesnetzagentur von den Anbietern abgeschaltet worden. Gematik und BSI gemeinsam hätten dagegen den Prozess zur Beantragung und Ausgabe von SMC-B bei den Anbietern vollständig gestoppt. Eine Entscheidung über die Wiederaufnahme müsse warten, bis alle relevanten Mängel identifiziert seien. Die unbefugte Beschaffung des Konnektors bewertet die gematik als vergleichsweise unkritisch, da der Besitz des Konnektors kein Sicherheitsmerkmal für die Berechtigung zum Zugang in die Telematik-Infrastruktur darstelle.

Keine pauschale Kartensperre

Eine pauschale Kartensperre hält die gematik aus aktueller Sicht für nicht erforderlich. Sie habe jedoch alle Kartenherausgeber zu einem Treffen im Januar 2020 eingeladen, um „gemeinsam über Maßnahmen zur Verbesserung der Beantragungs- und Herausgabeprozesse [zu] entscheiden“. Auch wolle sie aktiv auf CCC-Mitglieder zugehen, um die Sicherheit der Telematik-Infrastruktur weiter zu verbessern.

Den Willen zur Kooperation mit der gematik deutete das Team des CCC bereits im Vortrag an. So IT-Sicherheitsforscher Zilch: „Wir sehen, dass die wesentlichen gesetzlichen Rahmenbedingungen so geschaffen wurden, dass auch eine Digitalisierung stattfinden kann. Und die gematik hat ganz viel richtig spezifiziert.“ Offen bleibt zunächst, welche Auswirkungen die derzeitige Sperre der SMC-B-Ausgabe sowie die Einschränkung der Identifikationsverfahren für die HBA-Ausgabe für den ab Sommer 2020 geplanten Roll-Out der sicheren Kommunikation der Leistungserbringer, KOM-LE, haben wird.

Bildquelle

  • Cybersecurity: TheDigitalArtist, pixabay.com