Chaos Computer Club findet Schwachstellen im Gesundheitsdatennetzwerk
Das sogenannte Telematik-Netzwerk soll Arztpraxen, Krankenhäuser, Apotheken und Krankenkassen elektronisch als Gesundheitsnetzwerk miteinander verbinden. In Zukunft sollen über das Telematik-Netzwerk Gesundheitsdaten übermittelt werden: Schon heute sind laut CCC über 115.000 Arztpraxen an dieses Netzwerk angeschlossen. In einigen Testregionen lassen sich bereits Notfalldaten über das Netzwerk auslesen. Die elektronische Patientenakte soll am 1. Januar 2021 eingeführt werden. Patienten können ihre Daten freigeben oder auch sperren.
Martin Tschirsich, Christian Brodowski und André Zilch mussten sich gar nicht mit dem Netzwerk oder der Verschlüsselung auseinandersetzen, um Schwachstellen zu finden: schon das Identifizierungsverfahren war nicht sicher. Um auf die Daten im Telematik-Netzwerk zuzugreifen, sind entweder eine elektronische Gesundheitskarte, ein Arztausweis oder ein Praxisausweis notwendig. All diese Dokumente konnten sich die CCC-Experten mit Daten von Dritten einfach bestellen. “Ursprünglich wollte ich mir die Technik ansehen. Doch wir mussten schon beim Bestellprozess aufhören”, so Tschirsich.
Praxisausweis an Käseladen geschickt
So waren nur öffentlich verfügbare Daten nötig, um einen Praxisausweis bei einem sogenannten “Trust Service Provider” zu bestellen. Die meisten Daten standen schon auf dem Rezept, das der CCC mit Zustimmung eines Arztes verwendete. Im Gewerberegister kann außerdem das Geburtsdatum von niedergelassenen Ärzten eingesehen werden – diese Information war daher ebenfalls öffentlich verfügbar. Die Lieferadresse ließ sich frei wählen. In einem Test zusammen mit dem NDR und Spiegel wurde ein Arztausweis sogar an einen Käseladen geliefert. Die nötigen PIN-Briefe kamen ebenfalls an.
Beim Arztausweis ist zwar ein zusätzliches Identverfahren – Bankident oder Vorab-Kammerident – nötig. Doch der Versuch zeigte: Wurde das Bankident-Verfahren schon einmal durchgeführt, so ist kein erneutes persönliches Erscheinen nötig. Ein Arztausweis ließ sich so ebenfalls an eine frei gewählte Adresse schicken. Letztlich mussten die CCC-Sicherheitsexperten also nur wissen, dass ein betroffener Arzt ein Konto bei einer bestimmten Bank hat, die dieses Ident-Verfahren anbietet.
Selbst den sogenannten Konnektor konnten die Experten bestellen: Dieser ist notwendig, um das Netzwerk einer Arztpraxis an das Telematik-Netzwerk anzubinden.
Adressänderung per E-Mail
Um unberechtigt an eine elektronische Gesundheitskarte zu gelangen, reichte es aus, der Krankenkasse eine vermeintlich neue Adresse per E-Mail mitzuteilen. Wer im Besitz der elektronischen Gesundheitskarte ist, wird auf sämtliche Daten in der Patientenakte zugreifen können, kommt aber auch heute schon an Notfalldaten.
Mit einem Arzt- oder Praxisausweis lässt sich künftig ebenfalls auf Daten aus Patientenakten zugreifen. Mit den Karten sollen außerdem Rezepte signiert und verschlüsselte Nachrichten an Krankenkassen versendet werden.
Sichere Identifizierungsverfahren bei der Kartenherausgabe sind die Voraussetzung dafür, dass sich das Gesundheitsdatennetzwerk künftig sicher nutzen lässt. Das sieht auch Gematik so, die Gesellschaft, die für die elektronische Gesundheitskarte verantwortlich ist.
Sowohl Gematik als auch die Bundesärztekammer bezeichneten die aufgedeckten Sicherheitslücken gegenüber dem NDR als “nicht hinnehmbar”. Die kritisierten Identifikationsverfahren hat die Bundesärztekammer demnach außer Kraft gesetzt. Gematik gibt vorerst keinen neuen Karten aus.
Der CCC fordert, dass Gematik nun prüft, “inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen”. Da über 100.000 Praxen bereits an das Netzwerk angeschlossen sind, müssen auch mindestens so viele Karten im Umlauf sein. Ein Austausch könnte entsprechend teuer werden. Alle bereits ausgegebenen Karten zurückzuziehen, hält Gematik jedoch nicht für notwendig, berichtet das Handelsblatt. Die Kassenärztliche Bundesvereinigung halte eine Rückholaktion hingegen für ein “gangbares Verfahren”.
Nach der Überprüfung der bereits herausgegebenen Zugangskarten müsse der Herausgabeprozess neu geplant und umgesetzt werden, fordert der CCC. Außerdem soll eine unabhängige Stelle für die Sicherheit von Telematik verantwortlich sein und Prozesse nicht nur vorgeben, sondern auch deren Umsetzung prüfen. Außerdem müsse die elektronische Gesundheitskarte endlich als Identitätsnachweis umgesetzt werden – wie beim Personalausweis müsste man zur Beantragung dann persönlich erscheinen und seine Identität nachweisen. (js)