- DAZ.online
- News
- Spektrum
- Wie wahrscheinlich sind ...
Nach Enthüllungen des CCC
Wie wahrscheinlich sind Sicherheitslücken beim Apothekerausweis?
Vergangene Woche war bekannt geworden, dass es im Bestellverfahren der Heilberufs-(HBA) und Praxisausweise (SMC-B) für Ärzte erhebliche Sicherheitslücken gab. IT-Experten des CCC ist es nämlich gelungen, die Karten jeweils über Dritte zu bestellen und an eine Wunschadresse liefern zu lassen. Die Gematik hat daraufhin die Ausgabe der Ausweise gestoppt. Doch wie ist das bei den Apothekern? Drohen hier beim Bestellverfahren ähnliche Sicherheitslücken?
„Derzeit keine SMC-B- und eHBA-Bestellungen möglich: Bitte beachten Sie, dass der Bestell- und Lieferprozess für Praxis- bzw. Institutionsausweise (SMC-B) und elektronische Heilberufsausweise (eHBA) in Absprache mit der Bundesnetzagentur und der Gematik GmbH derzeit leider nicht zur Verfügung steht. Sobald eine neue Sachlage vorliegt, informieren wir Sie umgehend und bitten bis dahin um Ihr Verständnis!“ Das ist derzeit auf den Internetseiten der qualifizierten Vertrauensdiensteanbieter Medisign und der Bundesdruckerei zu lesen, also der Unternehmen, die die für den Zugang zur Telematikinfrastruktur notwendigen Karten herstellen.
Mehr zum Thema
Sicherheitslücken im Bestellprozess
Was passiert mit den schon ausgegebenen Arztausweisen?
Die Gematik hatte deren Ausgabe nämlich gestoppt, nachdem der Chaos Computer Club (CCC) große Sicherheitslücken im Bestellprozess sowohl der Arzt- als auch der Praxisausweise entdeckt hatte. Die IT-Experten konnten sich die für den Zugang zur Telematikinfrastruktur (TI) relevanten Karten – einen Arztausweis (HBA), einen Praxisausweis (SMC-B) und auch eine elektronische Gesundheitskarte – jeweils über einen Dritten bestellen und die Bestellung an eine Wunschadresse liefern lassen – unter anderem an eine Käsetheke.
Mecklenburg-Vorpommern: Bestellung erst nach bestätigter Approbation möglich
Bei den Apothekern läuft die Ausgabe der Ausweise erst an. Doch offenbar ist man hier mehr auf Sicherheit bedacht als auf der Ärzteseite. So wird bei der Apothekerkammer Mecklenburg-Vorpommern erst einmal bei der zuständigen Behörde geklärt, ob dem Antragsteller für einen Heilberufsausweis überhaupt eine Approbation erteilt wurde. Erst wenn dies bestätigt wurde, kann der Ausweis beim qualifizierten Vertrauensdiensteanbieter (qVDA) bestellt werden. Die dabei im Rahmen des Identifikationsverfahrens erfasste Adresse aus dem Personalausweis wird dann von der Kammer mit ihren eigenen Daten abgeglichen und eventuelle Unstimmigkeiten werden abgeklärt.
Post-Ident statt Kammer- und Bank-Ident
Auch bei der Landesapothekerkammer Baden-Württemberg sieht man keine Sicherheitsprobleme. Geschäftsführer Dr. Karsten Diers erklärte auf Nachfrage gegenüber der AZ, dass zur Sicherheitslücke bei der Ausgabe von HBA und SMC-B nur unzureichende Informationen vorlägen und sich angeblich die Identifizierungsverfahren Kammer-Ident und Bank-Ident als manipulierbar gezeigt hätten. „Ein solcher Hack ist aber im System der LAK unwahrscheinlich, da keins der genannten kritischen Ident-Verfahren zum Einsatz kommt und der Antrag ausschließlich auf der Seite der LAK BW gestellt werden kann, die einen Abgleich mit den vorhandenen Mitgliedsdaten vornimmt und den Antrag nur bei völliger Übereinstimmung zum qualifizierten Vertrauensdiensteanbieter (qVDA) weiterleitet. Bei Unstimmigkeiten wird der Antragsteller kontaktiert und ein Nachweis angefordert. Insofern dürften keine unrechtmäßigen Ausweise ausgestellt werden“, so Diers weiter. Die Kammer in BaWü verwendet Post-Ident, das Verfahren gilt nach aktuellem Kenntnisstand als sicher.
Gematik will mit dem CCC zusammenarbeiten
Die Gematik betont in ihrer Presseerklärung zu den Enthüllungen des CCC , dass die aufgedeckten Sicherheitsmängel „momentan KEINE GEFAHR für die Sicherheit der Patientendaten“ darstellten, da noch keine Behandlungsdaten gespeichert würden. Eine pauschale Kartensperre hält die Gematik derzeit für nicht erforderlich. Stattdessen will sie „zusammen mit den Kartenherausgebern prüfen, ob die gefundenen Schwachstellen bereits ausgenutzt wurden“. Zudem hat die Gematik alle Kartenherausgeber zu einem Treffen im Januar 2020 eingeladen, um gemeinsam „über Maßnahmen zur Verbesserung der Beantragungs- und Herausgabeprozesse“ zu entscheiden. Darüber hinaus kündigt die Pressemeldung an, die Gematik werde „aktiv auf die Mitglieder des Chaos Computer Clubs zugehen, um gemeinsam die Sicherheit der Telematikinfrastruktur weiter zu optimieren“.
3 Kommentare
Sicher - nur zum Lachen
von ratatosk am 07.01.2020 um 9:42 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Das Sicherheitsproblem ist nur die Spitze des Eisbergs
von Maghein am 04.01.2020 um 14:29 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Og je
von Conny am 03.01.2020 um 22:44 Uhr
» Auf diesen Kommentar antworten | 0 Antworten
Das Kommentieren ist aktuell nicht möglich.