- DAZ.online
- DAZ / AZ
- AZ 1-2/2020
- Wie sicher ist die ...
Gesundheitspolitik
Wie sicher ist die Telematikinfrastruktur?
Chaos Computer Club beschafft sich Heilberufsausweise, Praxisausweise und elektronische Versicherungskarten
Die Digitalisierung des Gesundheitswesens wird in diesem Jahr gewaltige Fortschritte machen. Das E-Rezept und die elektronische Patientenakte stehen in den Startlöchern. Umso wichtiger ist, dass der Datenschutz für die sensiblen Gesundheitsdaten gewährleistet ist. Dass hier offenbar noch Nachholbedarf besteht, bewies einmal mehr der Chaos Computer Club bei seinem Kongress in Leipzig mit dem Vortrag „Hacker hin oder her: Die elektronische Patientenakte kommt!“ (kann auf der Website des CCC abgerufen werden). Dort wurde gezeigt, wie es CCC-Sicherheitsforschern gelang, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Damit konnten sie anschließend auf Anwendungen der Telematikinfrastruktur und Gesundheitsdaten von Versicherten zugreifen.
Insbesondere kritisiert der CCC Mängel bei der Identifikation des Antragstellers. So wurde bei der Ausgabe der Praxisausweise (SMC-B) auf eine Identifikation des Antragstellers vollständig verzichtet und es war möglich, den Ausweis nicht zur Praxis, sondern an eine andere Adresse schicken zu lassen. Auch bei der Ausgabe der elektronischen Heilberufsausweise (HBA) kamen laut CCC völlig ungeeignete Identifikationsverfahren zum Einsatz. Als Folge dieser Sicherheitsmängel könnten Angreifer u. a. Inhalte der für diese Praxis freigegebenen Patientenakten lesen oder Rezepte signieren. Deshalb fordert der CCC die Entwertung schon ausgegebener Heilberufs- und Praxisausweise. „Es gibt keine Einzelperson oder Stelle in Deutschland, die weiß, wo sich die 115.000 Heilberufsausweise aktuell befinden – ob bei einem Arzt oder einem Kriminellen“, sagte Martin Tschirsich vom CCC dem „Handelsblatt“.
Gematik will mit dem CCC zusammenarbeiten
„Wir vernetzen das Gesundheitswesen. Sicher.“ – so steht es in großen Buchstaben auf der Website der Gematik, die für den Aufbau der Telematikinfrastruktur zuständig ist. In ihrer Presseerklärung zu den Enthüllungen des CCC wird betont, dass die aufgedeckten Sicherheitsmängel „momentan KEINE GEFAHR für die Sicherheit der Patientendaten“ darstellten, da noch keine Behandlungsdaten gespeichert würden. Die Ausgabe von elektronischen Praxisausweisen sei gestoppt worden, bei den Heilberufsausweisen gelte das PostIdent-Verfahren nach aktuellem Kenntnisstand als sicher und könne weiter genutzt werden. Eine pauschale Kartensperre hält die Gematik derzeit für nicht erforderlich. Stattdessen will sie „zusammen mit den Kartenherausgebern prüfen, ob die gefundenen Schwachstellen bereits ausgenutzt wurden“. Zudem hat die Gematik alle Kartenherausgeber zu einem Treffen im Januar 2020 eingeladen, um gemeinsam „über Maßnahmen zur Verbesserung der Beantragungs- und Herausgabeprozesse“ zu entscheiden. Darüber hinaus kündigt die Pressemeldung an, die Gematik werde „aktiv auf die Mitglieder des Chaos Computer Clubs zugehen, um gemeinsam die Sicherheit der Telematikinfrastruktur weiter zu optimieren“.
Wie sicher sind die Ausweise der Apotheker?
Bei den Apothekern läuft die Ausgabe der Ausweise erst an. Doch offenbar ist man hier mehr auf Sicherheit bedacht als auf der Ärzteseite. So wird bei der Apothekerkammer Mecklenburg-Vorpommern erst einmal bei der zuständigen Behörde geklärt, ob dem Antragsteller für einen Heilberufsausweis überhaupt eine Approbation erteilt wurde. Erst wenn dies bestätigt wurde, kann der Ausweis beim qualifizierten Vertrauensdiensteanbieter (qVDA) bestellt werden. Die dabei im Rahmen des Identifikationsverfahrens erfasste Adresse aus dem Personalausweis wird dann von der Kammer mit ihren eigenen Daten abgeglichen und eventuelle Unstimmigkeiten werden abgeklärt.
Auch bei der Landesapothekerkammer Baden-Württemberg sieht man keine Sicherheitsprobleme. Geschäftsführer Dr. Karsten Diers erklärte auf Nachfrage gegenüber der AZ, dass zur Sicherheitslücke bei der Ausgabe von HBA und SMC-B nur unzureichende Informationen vorlägen und sich angeblich die Identifizierungsverfahren Kammer-Ident und Bank-Ident als manipulierbar gezeigt hätten. „Ein solcher Hack ist aber im System der LAK unwahrscheinlich, da keins der genannten Ident-Verfahren zum Einsatz kommt und der Antrag ausschließlich auf der Seite der LAK BW gestellt werden kann, die einen Abgleich mit den vorhandenen Mitgliedsdaten vornimmt und den Antrag nur bei völliger Übereinstimmung zum qualifizierten Vertrauensdiensteanbieter (qVDA) weiterleitet. Bei Unstimmigkeiten wird der Antragsteller kontaktiert und ein Nachweis angefordert. Insofern dürften keine unrechtmäßigen Ausweise ausgestellt werden“, so Diers weiter. |
0 Kommentare
Das Kommentieren ist aktuell nicht möglich.