Sicherheitslücken im Bestellprozess

Was passiert mit den schon ausgegebenen Arztausweisen?

Stuttgart - 30.12.2019, 17:55 Uhr

Arztausweise: Nicht in allen Fällen können die Verantwortlichen sicher sein, ob sie bei einem Arzt oder bei einem Unbefugten angekommen sind. (m / Foto: ronstik / stoch.adobe.com)

Arztausweise: Nicht in allen Fällen können die Verantwortlichen sicher sein, ob sie bei einem Arzt oder bei einem Unbefugten angekommen sind. (m / Foto: ronstik / stoch.adobe.com)


Bei den Apothekern rollt die Ausgabe der Heilberufsausweise erst an, bei den Ärzten hingegen ist sie schon weiter fortgeschritten. Nachdem der Chaos Computer Club (CCC) große Sicherheitslücken im Bestellprozess sowohl der Arzt- als auch der Praxisausweise entdeckt hatte, stellt sich nun die Frage, was mit den schon ausgegebenen Karten passiert. Denn nicht in allen Fällen können die Verantwortlichen sicher sein, ob sie bei einem Arzt oder bei einem Unbefugten angekommen sind.

IT-Experten des CCC ist es laut „Spiegel“ und NDR gelungen, alle drei für den Zugang zur Telematikinfrastruktur (TI) relevanten Karten – einen Arztausweis (HBA), einen Praxisausweis (SMC-B) und eine elektronische Gesundheitskarte – jeweils über einen Dritten zu bestellen und an eine Wunschadresse liefern zu lassen. Laut „Handelsblatt“ hat die Gematik die Karten-Hersteller angewiesen, die betroffenen Identifizierungsverfahren für Arztausweise zu deaktivieren, Praxisausweise dürften derzeit gar nicht mehr ausgegeben werden.

Nun diskutieren offenbar IT-Experten, wie mit den bislang ausgegebenen Ausweisen verfahren wird – laut Handelsblatt unter anderem, über die Möglichkeit, bestimmte Ausweise zu entwerten: „Es gibt keine Einzelperson oder Stelle in Deutschland, die mit Sicherheit weiß, wo sich die 115.000 Praxisausweise aktuell befinden – ob bei einem Arzt oder einem Kriminellen“, sagte Martin Tschirsich, der für die CCC-Recherchen verantwortlich ist, dem Handelsblatt. Weiter heißt es, dass Tschirsich aufgrund des hohen ökonomischen Schadens eine sichere, aber pragmatische Lösung für angebracht hält. 

Mehr zum Thema

Gematik sieht keine akute Gefahr für Gesundheitsdaten

Die für die TI verantwortliche Gematik sieht aber offenbar keine akute Gefahr für Gesundheitsdaten, weil sich die TI noch im Aufbau befände. Zudem seien die lückenhaften Identifizierungsverfahren gestoppt worden. Auch eine „pauschale Kartensperre“ erachtet die Gematik nicht für erforderlich. Man werde zusammen mit den Kartenherausgebern prüfen, ob die gefundenen Schwachstellen bereits ausgenutzt wurden, heißt es. 

Für die Heilberufsausweise verweist das Handelsblatt dazu auf eine erste Schätzung der Bundesärztekammer (BÄK) zum Missbrauchspotenzial. Demnach soll die Zahl von Anträgen mit einer nicht verifizierten Lieferadresse im einstelligen Bereich liegen. Es seien also bereits Heilberufeausweise ausgegeben worden, bei denen die Verantwortlichen nicht sicher sein können, ob sie bei einem Arzt oder bei einem Unbefugten angekommen sind, so das Handelsblatt.

Die Kassenärztliche Bundesvereinigung (KBV), deren Landesorganisationen für die Ausgabe der Praxisausweise zuständig sind, sieht das ganze offenbar kritischer. Sie teilte dem Handelsblatt mit, ein Austausch betroffener Praxisausweise sei „ein gangbares Verfahren, um Sicherheit und Praktikabilität in ein sinnvolles Verhältnis zu bringen“. Bei einem Treffen am 7. Januar will die Gematik eine Lösung mit den Kartenanbietern erarbeiten.


Julia Borsch, Apothekerin, Chefredakteurin DAZ
jborsch@daz.online


Diesen Artikel teilen:


Das könnte Sie auch interessieren

Chaos Computer Club beschafft sich Heilberufsausweise, Praxisausweise und elektronische Versicherungskarten

Wie sicher ist die Telematikinfrastruktur?

IT-Sicherheitsexperten zeigen Sicherheitslücken bei der ePA-Authentifizierung auf

Gematik stoppt VideoIdent-Verfahren

Die Fachcommunity soll Sicherheitslücken aufspüren – finanzielle Anreize gibt es aber nicht

E-Rezept: Was bringt die Open-Source-Strategie der Gematik?

Heilberufsausweis und Institutionskarte

TI-Anbindung der Apotheken rückt näher

1 Kommentar

Online-Petition beim Bundestag zur Telematik-Infrastruktur

von Maghein am 31.12.2019 um 0:31 Uhr

Die zentrale Zwangsspeicherung der Gesundheits- und Sozialdaten von 70 Millionen gesetzlich Krankenversicherten verstösst nicht nur gegen das im Grundgesetz verankerte Recht auf informationelle Selbstbestimmung, sondern auch gegen die DSGVO und gegen die ärztliche Schweigepflicht. Deshalb verweigern viele Ärztinnen und Ärzte den Zwangsanschluss an die TI und nehmen Honorarkürzungen und ggf weitere Sanktionen in Kauf. Das sind übrigens eher diejenigen, die sich mit Digitalisierung und Technik (und den Risiken) auskennen und gerade NICHT die Fortschrittsfeindlichen! Wer etwas tun möchte, unterzeichne und teile die Online-Petition 98780 des Bundestages. Bei mehr als 50.000 Unterschriften MUSS sich der Petitionsausschuss mit dem Anliegen befassen.

https://epetitionen.bundestag.de/petitionen/_2019/_09/_02/Petition_98780.html

Text der Petition:
Der Bundestag möge beschließen, dass Patienten keine Nachteile erleiden dürfen, die ihre Daten nicht in elektronischen Patientenakten (ePA) auf zentralen Servern außerhalb der Praxen speichern lassen wollen. Die Telematik-Infrastruktur (TI) für Ärzte und Psychotherapeuten sowie die Nutzung der ePA für Ärzte und Patienten müssen freiwillig sein. Strafen gegen Ärzte und Psychotherapeuten, die sich nicht an die TI anschließen lassen, dürfen nicht verschärft, sondern müssen abgeschafft werden.


» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.