Elektronische Gesundheitskarte: Gematik legt Bericht zur Sicherheitslücke vor
Die Lesegeräte seien sicher vor Phishing, weil sie einen gesicherten Modus besitzen und diesen signalisieren, heißt es in dem Bericht. Im ungesicherten Modus sei zwar ein Phishing-Angriff denkbar, doch dieser Modus werde nicht verwendet.
Die Gematik hat die Sicherheitslücke in den Lesegeräten der elektronischen Gesundheitskarte untersucht und das Ergebnis vorgelegt, das eine Steuerungsgruppe von Gematik, Bundesamt für Sicherheit in der Informationstechnik (BSI) und Gesundheitsministerium erarbeitet hat. Es unterscheidet sich nicht von der Stellungnahme des BSI. Die Lesegeräte seien sicher vor Phishing, weil sie einen gesicherten Modus besitzen und diesen signalisieren. Nur dann dürfe eine PIN am Gerät eingegeben werden, etwa bei der Nutzung des Heilberufeausweises.
Im ungesicherten Modus sei zwar ein Phishing-Angriff denkbar, doch dieser Modus werde nach aktuellen Erkenntnissen der Gematik im Gesundheitswesen nicht verwendet. Für diesen Modus schlägt die Gematik eine neue "Vorgabe" vor, die die Hersteller bei künftigen Geräten umsetzen müssen, wenn sie die Zulassung nicht verlieren wollen. "Diese Vorgabe wird die Eingabemöglichkeit über die ungesicherte Eingabeschnittstelle künftig auch technisch unterbinden", heißt es in der Stellungnahme der Gematik. Für die bereits ausgelieferten Geräte wird die "Vorgabe" mit einem Software-Update eingespielt. Die aktuelle Anschaffungsperiode für die Lesegeräte, die bis Ende September geht, müsse daher nicht unterbrochen werden, meint die Steuerungsgruppe.
Ärzte, Zahnärzte und Kliniken können weiterhin die Geräte anschaffen, die ab Oktober benötigt werden, wenn die ersten Patienten mit der neuen elektronischen Gesundheitskarte auftauchen. Bis Ende des Jahres sind die gesetzlichen Krankenkassen Deutschlands verpflichtet, mindestens 10 Prozent ihrer Mitglieder mit der neuen Karte auszustatten. Andernfalls drohen den Kassen empfindliche Strafen bei der Kürzung der Beträge, die sie für ihren Verwaltungsaufwand kassieren.
Ob überhaupt die Quote von 10 Prozent eingehalten werden kann, ist derzeit unklar. Gegenwärtig sind die meisten Kassen damit beschäftigt, von ihren Mitgliedern ein Foto anzuforden, das auf die Gesundheitskarte aufgebracht werden muss. Dabei wird nahezu jedes Foto akzeptiert. Darüber klagt der Bundesverband der Berufsfotografen unter Verweis auf die europäische Datenschutzrichtlinie. Er will in den Fotostudios "Registrierstellen" aufbauen, in denen die Fotos für die Gesundheitskarte gemacht werden. "Speziell geschultes Personal" solle dabei die Identität des Versicherten prüfen und bestätigen. Nur diese Stellen sollten berechtigt werden, die Fotos datenschutzkonform an die Kassen weiterzuleiten. (anw)
