Spektrum
» Alle Artikel

Nach Enthüllungen des CCC

Wie wahrscheinlich sind Sicherheitslücken beim Apothekerausweis?

Stuttgart/Traunstein - 03.01.2020, 17:45 Uhr

3

Bei der Bestellung der Heilberufs-(HBA) und Praxisausweise (SMC-B) für Ärzte gab es erhebliche Sicherheitslücken bei der Identifizierung der Besteller. (m / Foto: Screenshot Medisign.de)

Bei der Bestellung der Heilberufs-(HBA) und Praxisausweise (SMC-B) für Ärzte gab es erhebliche Sicherheitslücken bei der Identifizierung der Besteller. (m / Foto: Screenshot Medisign.de)

Vergangene Woche war bekannt geworden, dass es im Bestellverfahren der Heilberufs-(HBA) und Praxisausweise (SMC-B) für Ärzte erhebliche Sicherheitslücken gab. IT-Experten des CCC ist es nämlich gelungen, die Karten jeweils über Dritte zu bestellen und an eine Wunschadresse liefern zu lassen. Die Gematik hat daraufhin die Ausgabe der Ausweise gestoppt. Doch wie ist das bei den Apothekern? Drohen hier beim Bestellverfahren ähnliche Sicherheitslücken?

„Derzeit keine SMC-B- und eHBA-Bestellungen möglich: Bitte beachten Sie, dass der Bestell- und Lieferprozess für Praxis- bzw. Institutionsausweise (SMC-B) und elektronische Heilberufsausweise (eHBA) in Absprache mit der Bundesnetzagentur und der Gematik GmbH derzeit leider nicht zur Verfügung steht. Sobald eine neue Sachlage vorliegt, informieren wir Sie umgehend und bitten bis dahin um Ihr Verständnis!“ Das ist derzeit auf den Internetseiten der qualifizierten Vertrauensdiensteanbieter Medisign und der Bundesdruckerei zu lesen, also der Unternehmen, die die für den Zugang zur Telematikinfrastruktur notwendigen Karten herstellen. 

Mehr zum Thema

Sicherheitslücken im Bestellprozess

Was passiert mit den schon ausgegebenen Arztausweisen?

Die Gematik hatte deren Ausgabe nämlich gestoppt, nachdem der Chaos Computer Club (CCC) große Sicherheitslücken im Bestellprozess sowohl der Arzt- als auch der Praxisausweise entdeckt hatte. Die IT-Experten konnten sich die für den Zugang zur Telematikinfrastruktur (TI) relevanten Karten – einen Arztausweis (HBA), einen Praxisausweis (SMC-B) und auch eine elektronische Gesundheitskarte – jeweils über einen Dritten bestellen und die Bestellung an eine Wunschadresse liefern lassen – unter anderem an eine Käsetheke.

Mecklenburg-Vorpommern: Bestellung erst nach bestätigter Approbation möglich

Bei den Apothekern läuft die Ausgabe der Ausweise erst an. Doch offenbar ist man hier mehr auf Sicherheit bedacht als auf der Ärzteseite. So wird bei der Apothekerkammer Mecklenburg-Vorpommern erst einmal bei der zuständigen Behörde geklärt, ob dem Antragsteller für einen Heilberufsausweis überhaupt eine Approbation erteilt wurde. Erst wenn dies bestätigt wurde, kann der Ausweis beim qualifizierten Vertrauensdiensteanbieter (qVDA) bestellt werden. Die dabei im Rahmen des Identifikationsverfahrens erfasste Adresse aus dem Personalausweis wird dann von der Kammer mit ihren eigenen Daten abgeglichen und eventuelle Unstimmigkeiten werden abgeklärt. 

Post-Ident statt Kammer- und Bank-Ident

Auch bei der Landesapothekerkammer Baden-Württemberg sieht man keine Sicherheitsprobleme. Geschäftsführer Dr. Karsten Diers erklärte auf Nachfrage gegenüber der AZ, dass zur Sicherheitslücke bei der Ausgabe von HBA und SMC-B nur unzureichende Informationen vorlägen und sich angeblich die Identifizierungsverfahren Kammer-Ident und Bank-Ident als manipulierbar gezeigt hätten. „Ein solcher Hack ist aber im System der LAK unwahrscheinlich, da keins der genannten kritischen Ident-Verfahren zum Einsatz kommt und der Antrag ausschließlich auf der Seite der LAK BW gestellt werden kann, die einen Abgleich mit den vorhandenen Mitgliedsdaten vornimmt und den Antrag nur bei völliger Übereinstimmung zum qualifizierten Vertrauensdiensteanbieter (qVDA) weiterleitet. Bei Unstimmigkeiten wird der Antragsteller kontaktiert und ein Nachweis angefordert. Insofern dürften keine unrechtmäßigen Ausweise ausgestellt werden“, so Diers weiter. Die Kammer in BaWü verwendet Post-Ident, das Verfahren gilt nach aktuellem Kenntnisstand als sicher. 

Gematik will mit dem CCC zusammenarbeiten

Die Gematik betont in ihrer Presseerklärung zu den Enthüllungen des CCC , dass die auf­gedeckten Sicherheitsmängel „momentan KEINE GEFAHR für die Sicherheit der Patientendaten“ darstellten, da noch keine Behandlungsdaten gespeichert würden. Eine pauschale Kartensperre hält die Gematik derzeit für nicht erforderlich. Stattdessen will sie „zusammen mit den Kartenherausgebern prüfen, ob die gefundenen Schwachstellen bereits ausgenutzt wurden“. Zudem hat die Gematik alle Kartenherausgeber zu einem Treffen im Januar 2020 eingeladen, um gemeinsam „über Maßnahmen zur Verbesserung der Beantragungs- und Herausgabeprozesse“ zu entscheiden. Darüber hinaus kündigt die Pressemeldung an, die Gematik werde „aktiv auf die Mitglieder des Chaos Computer Clubs zugehen, um gemeinsam die Sicherheit der Telematikinfrastruktur weiter zu optimieren“.

Julia Borsch, Apothekerin, Chefredakteurin DAZ
jborsch@daz.online

Dr. Christine Ahlheim (cha), Chefredakteurin AZ
redaktion@deutsche-apotheker-zeitung.de

Diesen Artikel teilen:

Seite drucken
Ganzen Artikel drucken
Startseite

Das könnte Sie auch interessieren

Wie sicher ist die Telematikinfrastruktur?

Chaos Computer Club beschafft sich Heilberufsausweise, Praxisausweise und elektronische Versicherungskarten

Wie sicher ist die Telematikinfrastruktur?

Ausgabe der Institutionsausweise für die TI soll weitergehen

Nach Aufdeckung von Sicherheitslücken

Ausgabe der Institutionsausweise für die TI soll weitergehen

Was passiert mit den schon ausgegebenen Arztausweisen?

Sicherheitslücken im Bestellprozess

Was passiert mit den schon ausgegebenen Arztausweisen?

Ausgabe von Praxis- und Arztausweisen gestoppt

Wegen Datenleck

Ausgabe von Praxis- und Arztausweisen gestoppt

Institutionsausweis: Apobank-Tochter Medisign als Anbieter zugelassen

Telematikinfrastruktur

Institutionsausweis: Apobank-Tochter Medisign als Anbieter zugelassen

HBA für angestellte Apotheker – so geht’s

Antrag und Erstattung

HBA für angestellte Apotheker – so geht’s

Viele Fragen, wenig Zeit

Zum Entwicklungsstand des elektronischen Heilberufsausweises für Apotheker

Viele Fragen, wenig Zeit

Haben Sie Ihren HBA schon bestellt?

DAZ-Umfrage

Haben Sie Ihren HBA schon bestellt?

TI-Anbindung der Apotheken rückt näher

Heilberufsausweis und Institutionskarte

TI-Anbindung der Apotheken rückt näher

HBA nur in einem Kammerbezirk nutzbar?

TI-Anbindung

HBA nur in einem Kammerbezirk nutzbar?

3 Kommentare

Sicher - nur zum Lachen

von ratatosk am 07.01.2020 um 9:42 Uhr

Nur Voll Honks glauben wirklich an die Sicherheit dieser Daten.
Für den Mißbrauch im großen Stil sorgt die Politik mit der GKV, damit auch ja alle Daten auf einmal abgegriffen werden können. D ist auch nicht wirklich kompetent bei Daten, die gleichen Konsorten haben vor Kurzem den ganzen Bundestag vom Netz nehmen müssen - noch Fragen. Aber wenns der Kasse passt, wirds passend gemacht.

» Auf diesen Kommentar antworten | 0 Antworten

Das Sicherheitsproblem ist nur die Spitze des Eisbergs

von Maghein am 04.01.2020 um 14:29 Uhr

Die zentrale Speicherung der Gesundheits- und Sozialdaten von 70 Millionen gesetzlich Krankenversicherten ohne deren Einwilligung und ohne Widerspruchsmöglichkeit verstösst nicht nur gegen das im Grundgesetz verankerte Recht auf informationelle Selbstbestimmung, sondern auch gegen die DSGVO und gegen die ärztliche Schweigepflicht nach Paragraph 203 StGB bzw. das ärztliche Gelöbnis. Deshalb haben viele Ärztinnen und Ärzte den Zwangsanschluss an die Telematik-Infrastruktur abgelehnt und bereits Honorarkürzungen in Kauf genommen. Wer etwas tun möchte, unterzeichne und teile bis 16.1.2020 die Online-Petition 98780 des Bundestages. Bei mehr als 50.000 Unterschriften MUSS sich der Petitionsausschuss mit dem Anliegen befassen. 40.000 Unterschriften auf Papier liegen bereits vor.

https://epetitionen.bundestag.de/petitionen/_2019/_09/_02/Petition_98780.html

Text der Petition:
Der Bundestag möge beschließen, dass Patienten keine Nachteile erleiden dürfen, die ihre Daten nicht in elektronischen Patientenakten (ePA) auf zentralen Servern außerhalb der Praxen speichern lassen wollen. Die Telematik-Infrastruktur (TI) für Ärzte und Psychotherapeuten sowie die Nutzung der ePA für Ärzte und Patienten müssen freiwillig sein. Strafen gegen Ärzte und Psychotherapeuten, die sich nicht an die TI anschließen lassen, dürfen nicht verschärft, sondern müssen abgeschafft werden.

» Auf diesen Kommentar antworten | 0 Antworten

Og je

von Conny am 03.01.2020 um 22:44 Uhr

Die Gesundheitskarte wird nicht 48 Stunden überleben.

» Auf diesen Kommentar antworten | 0 Antworten

Das Kommentieren ist aktuell nicht möglich.

Inhalt

Seite 1: Wie wahrscheinlich sind Sicherheitslücken beim Apothekerausweis? »
Seite 2: Post-Ident statt Kammer- und Bank-Ident »

Acetylsalicylsäure 1000 mg:
hohe Evidenz und gute Verträglichkeit bei akuten Kopfschmerzen

DOI: 10.52778/efsm.24.0052

Aktuelle Ausgabe
NR. 47
Cover Jetzt online lesen
Aktuelle Ausgabe
NR. 51-52
Cover Jetzt online lesen
Meist gelesen
Meist kommentiert

Meist gelesen

Was macht THC mit der Kognition? (Foto: Elroi/ AdobeStock)

Verbessert THC die Hirnleistung?
Bei Entlassrezepten müssen Apotheken künftig im Regelfall nicht mehr zum Telefon greifen, um retaxträchtige Unstimmigkeiten zu klären.  (Foto: fotofabrika/Adobe Stock)

Weniger Retaxgefahren bei Entlassrezepten

Sildenafil gibt es jetzt auch in einem Spray (Screenshot: Aspargo Labs)

Spontaner Sex mit Sildenafil-Suspension?

Der zukünftige US-Präsident Donald Trump: (Foto: IMAGO/MediaPunch)

Trump-Sieg steigert Nachfrage nach oralen Notfallkontrazeptiva und Vasektomien
Apothekers Baustellen bleiben uns vorerst erhalten. Mehr Honorar gibt's nicht. Und die Zukunft? 

Mein liebes Tagebuch

Meist kommentiert

Apothekers Baustellen bleiben uns vorerst erhalten. Mehr Honorar gibt's nicht. Und die Zukunft? 

Mein liebes Tagebuch
Dr. Robin Brünn fordert die ABDA-Mitgliederversammlung auf, ihren Prüfauftrag auf Stärkung der Hauptversammlung ernst zu nehmen. (Foto: DAZ/Schelbert)

Brünn: „Wir sollten den Apothekertag weiterdenken, statt ihn zu schwächen“
Keine Zeit für Regierungskrise: Die Grünen-Bundestagsabgeordnete Paula Piechotta (l.) und ABDA-Präsidentin Gabriele Regina Overwiening. (Foto: ABDA/Schult)

Grüne wollen sich intensiv für Apothekenstärkung einsetzen
Der „Cannabis Club Südwest“ in Achern ist einer der ersten zwei zugelassenen Anbauvereinigungen in Baden-Württemberg. (Screenshot: CC Südwest)

Wie lange hat die Cannabis-Legalisierung Bestand?
Holger Gnekow findet die Qualität einiger DAT-Anträge „wenig zielgerichtet“. (Foto: wes/DAZ)

„Schon heute nicht bindend“ oder „Entdemokratisierung“?

ApoNews

Apotheken-Reform
Article teaser image

Halsschmerzen

» Zu den Artikeln
Handverkauf

Pharmazeutische Dienstleistungen

via-Studie

Bürokratiekosten bei 
GKV-Rezepten

Impfen in Apotheken
Article image

Beratung

Hilfe bei chronischem Juckreiz

Neue Therapieoptionen, wenn das Jucken nicht mehr weggeht

» mehr
DAZ Abo

Lernen und Punkten »

Schwerpunkt Parkinson

Mobil dank guter Beratung

Mobil dank guter Beratung