Elektronische Gesundheitskarte: Leere statt PIN-Code
Etliche Krankenkassen haben ihren Versicherten Chipkarten (eGK) mit einem Sicherheitsmangel geschickt. Anstelle einer festen PIN enthalten sie eine Leerstellen-PIN, die jeder Empfänger frei abändern kann.
Rund 55 Krankenkassen, die vom Dienstleister itsc mit den neuen elektronischen Gesundheitskarten (eGK) versorgt werden, haben Karten mit einem Sicherheitsmangel ausgeliefert. In diesen Fällen ist für kommende, PIN@home getaufte Funktionen eine Leerstellen-PIN gesetzt worden, die der Empfänger durch eine selbstgewählte Kombination ersetzen soll, um bestimmte Funktionen der eGK nutzen zu können. Geraten die Karten jedoch an den Falschen, könnte dieser eine eigene PIN setzen und sich mit der Identität eines ahnungslosen Versicherten online authentifizieren und PIN-geschützte Dienste nutzen.
In der Pressemeldung zum Vorfall betont itsc, dass mit der Leerstellen-PIN keine echte Sicherheitslücke entstanden sei. Man sichere allen Betroffenen zu, rechtzeitig spätestens vor der ersten Online-Anwendung Ersatz auszuliefern. "Ein kurzfristiger Austausch von ausgegebenen Karten ist auch nach Auffassung des GKV-Spitzenverbandes nicht erforderlich, da im aktuellen Nutzungsszenario kein Sicherheitsrisiko besteht", heißt es zur Begründung.
Die Technik der Leerstellen- oder Nullstellen-PIN erlaubt es, Smartcards auszuliefern, ohne zusätzlich einen separaten Brief zu verschicken, aus dem die vorab festgelegte PIN hervorgeht. Der Besitzer einer Karte mit Leerstellen-PIN wird hingegen aufgefordert, sich eine eigene PIN – im eGK-Fall sechsstellige Ziffernfolge – auszudenken, die er sicher verwahren muss. Das Verfahren wird nicht von allen Krankenkassen eingesetzt. Große Kassen wie die Techniker Krankenkasse haben auf ihren eGK vorab eine PIN gesetzt, wollen die zugehörigen PIN-Briefe aber erst verschicken, wenn die Online-Anbindung der eGK mit den geplanten Mehrwertdiensten startet.
Nach Ansicht des eGK-Kritikers Ralph Heydenbluth besteht derzeit keine Gefahr für Besitzer betroffener Karten – außer der, dass eine Schadsoftware eine dem Besitzer nicht bekannte PIN setzen und damit die weitere Nutzung oder ein späteres Ändern der PIN verhindern könnte. Für eine sinnvolle Nutzung oder einen Missbrauch der Karten seien hingegen die Verzeichnisdienste und OCSP-Responder notwendig, die aber noch gar nicht gestartet wurden. Um finanzielle Einbußen zu vermeiden, müssen die Krankenkassen bis Ende des Jahres 70 Prozent ihrer Mitglieder mit einer eGK ausstatten. (ssu)