36C3: Unsichere Patientendaten – die Telematik-Infrastruktur des Gesundheitswesens hat ein Identitätsproblem

Institutionenkarte, Arztausweis und elektronische Gesundheitskarte stellen das Gerüst der Gesundheits-IT. Alle sind viel zu einfach zu beschaffen.

In Pocket speichern vorlesen Druckansicht 109 Kommentare lesen
36C3: Unsichere Patientendaten - die Telematik-Infrastruktur des Gesundheitswesens hat ein Identitätsproblem

André Zilch, Experte für ID-Managementsysteme , der Arzt Christian Borowski und der IT-Experte Martin Tschirsch vor der Folie mit ihrer zentralen Aussage während des Talks aufr dem 36c3.

(Bild: heise online / Detlef Borchers)

Lesezeit: 4 Min.
Von
  • Detlef Borchers

Am 1. Januar 2021 soll die elektronische Patientenakte eingeführt werden. In dieser freiwilligen patientengeführten Akte speichern Ärzte auf Wunsch der Versicherten Befunde und Diagnosen unter Nachweis ihrer ärztlichen Identität. Der Patient wiederum soll Daten unter der Identität seiner elektronischen Gesundheitskarte (eGK) anderen freigeben oder sperren können. Schließlich ist da noch die Institutionenkarte (SMC-B), mit der der Nachweis geführt wird, dass eine Arztpraxis, eine Klinik oder etwa eine Physiotherapie den Konnektor betreibt.

Das ausgefeilte Identitätskonzept ist von der Anlage her sinnvoll, hat in der Realisierung aber eine schwere Lücke. Die notwendigen Karten für die Rollen Patient, Arzt und Institution können mit einfachen Tricks beschafft werden. Und auch der Konnektor kann über einen Versender bezogen werden, ohne dass er von einer Institution bestellt wird. Alles ganz einfach: Groß gehackt werden muss da gar nichts.

In seiner Mitteilung zur ersten großen Aufdeckung einer Sicherheitslücke auf dem 36C3 spricht der Chaos Computer Club davon, dass es Hackern gelungen sei, "sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen". Was wie ein Hack klingt, ist traurige Realität: Es ist viel zu einfach, sich die notwendigen Karten zu besorgen, mit denen das Telematik-Netzwerk arbeitet. Das fängt bei der eGK der Versicherten an, wie viele es bereits erlebt haben. Man ruft die Krankenkasse an, teilt den Verlust der Karte mit und nennt auch gleich noch die neue Adresse, zu der man gerade umgezogen ist. Im Nu hat mein eine eGK als angeblich ausreichenden Identifikationsnachweis, ohne Prüfung durch eine dafür befugte Person.

Das Spielchen wiederholten die Hacker bei der Online-Bestellung des Institutionen-Ausweises einer Arztpraxis. Sie nahmen die notwendigen Daten von einem ärztlichen Rezept, ergänzten sie um das Geburtsdatum des Arztes aus dem Gewerberegister und unterzeichneten den ausgedruckten Antrag mit einer dieser Klauen, die Ärzte "Unterschrift" nennen. Dazu wurde noch eine neue Lieferadresse genannt und das Bestellfax abgeschickt. Wenig später war die Institutionenkarte da und kurz danach der PIN-Brief.

Bei der Bestellung des Arztausweises nutzten die Hacker das Bankident-Verfahren, um einen Arztausweis für Dr. med. Cyber zu bekommen. Hier muss ein Bank-Mitarbeiter zwar die Identität eines Bestellers prüfen, aber die Lieferadresse wird nicht überprüft. Mit ein wenig Social Engineering gelang auch dieser Schritt. Schließlich wurde noch ein Konnektor online ohne weitere Prüfung bestellt, der mit einer besonderen "sicheren Lieferkette" an eine nicht überprüfte Adresse geliefert wurde.

Eigentlich seien die Grundgedanken richtig, befanden der IT-Experte Martin Tschirsich, der Arzt Christian Brodowski und André Zilch, Experte für ID-Managementsysteme bei ihrem Vortrag auf dem 36C3. Positiv sei festzuhalten, dass die Gematik basierend auf den gesetzlichen Rahmenbedingungen vieles richtig gemacht, so Martin Tschirsich. Es sei auch richtig, dass staatliche Stellen, Trustcenter und Ärztekammern die Basis, den Zugang zur telematischen Infrastruktur des Gesundheitswesens kontrollieren.

André Zilch präsentiert die Vorschläge über die notwendigen Korrekturmaßnahmen in der Gesundheits-Telematik.

(Bild: heise online / Detlef Borchers)

Doch bei der Identitätsprüfung sei man viel zu schlampig vorgegangen. Eine echte ID-Prüfung der Teilnehmer werde nicht stattfinden, was Ausdruck einer organisierten Verantwortungslosigkeit sei. "Die rechtlich verbindliche Überführung real existierender Teilnehmer in die digitale Welt ist die zentrale Aufgabe", so André Zilch. Zur Schadensbegrenzung führten die drei Vortragenden aus, dass unberechtigte bzw. falsch ausgestellte Zertifikate zurückgenommen werden müssen. Dann sollte ein zuverlässiger Kartenbeantragungs- und Auslieferungsservice installiert werden und eine unabhängige zentrale Prüfstelle für die Informationssicherheit der telematischen Infrastruktur eingerichtet werden, die diese Prozesse unter die Lupe nimmt. (jk)