Sicherheitsmängel in Kartenterminals in Arztpraxen und Krankenkassen-Apps
Schutzvorkehrungen von Kartenterminals in Arztpraxen halten Angreifer nicht lange auf. c't fand zudem Mängel in knapp zwei Dutzend Krankenkassen-Apps.
Jahrzehntelang hat die Bundesregierung die Digitalisierung der Medizin verschlafen, jetzt kann es ihr nicht schnell genug gehen. Von der elektronischen Patientenakte über E-Rezepte bis zur Telesprechstunde soll vom kommenden Jahr an nach und nach alles über Apps auf dem Smartphone laufen. Bei hunderten Medizin- und Gesundheits-Apps in den Stores von Apple und Google gibt es für Anwender bislang aber kaum eine Möglichkeit, deren Qualität zu prüfen.
Warum eine solche Qualitätsprüfung jedoch wichtig ist, zeigt ein Sicherheits-Check von knapp zwei Dutzend Apps deutscher Krankenkassen, den das Computermagazin c't gemeinsam mit dem NDR und David Wischnjak, Security Consultant bei der Ciphron GmbH, durchführte. Wischnjak fand im Code der Android-Apps unter anderem Login-Daten und Passwörter im Klartext, veraltete Softwarebibliotheken sowie unverschlüsselte Datenübertragungen. Nachholbedarf sieht der Sicherheitsexperte etwa beim Einsatz von Trackern, bei den Parametern der Transportverschlüsselung und den APK-Signaturverfahren. Negativ fielen zahlreiche Apps der AOK auf, die kaum mehr Funktionalität als eine Webseite boten. Lediglich die App der TK konnte den c't-Autoren überzeugen.
Hacker-Experiment am Kartenterminal
In einem weiteren Hacker-Experiment mit Kartenterminals deckt c't auf, mit welch einfachen Bastelutensilien sich die Sicherheitsvorkehrungen des in Arztpraxen weit verbreiteten Kartenlesegeräts ORGA 6141 Online von Ingenico innerhalb weniger Minuten umgehen lassen. Nach einem Hinweis einer anonymen Hacker-Gruppe konnte die c't-Redaktion Terminals auf eBay erwerben – ohne Nachweis einer ärztlichen Tätigkeit.
Die Testgeräte schickten wir an Dr. Jiska Classen vom Secure Mobile Networking Lab (SEEMOO) der TU Darmstadt, um den skizzierten Angriffsweg der Hacker zu prüfen. Dr. Classen konnte hinter einer ungesicherten Bodenklappe des Terminals eine elektronische Schutzfolie innerhalb weniger Minuten durchschneiden, ohne einen Sicherheitsalarm auszulösen. Unter der Folie befinden sich die ungeschützten Kontakte des Kartenschachts für die Ausweise der Heilberufler. Die Operation dokumentierte Dr. Classen in einem Video.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Die anonymen Hacker könnten an diesen Kontakten mit einem Logik-Analysator unverschlüsselte Kommandos und PIN-Eingaben im Gerät abgreifen. Sicherheitsexperte Thomas Maus, der den Angriffsweg der Gruppe für c't analysierte, schlug deshalb Alarm: Angreifer könnten durch die Lücke im Gerät unbemerkt einen kleinen Mikro-Computer mit WLAN unterbringen, Gesundheitsdaten abgreifen und manipulieren, sowie Rezepte ausstellen. Laut Maus würde das Kartenterminal den in den Common-Criteria geforderten Sicherheitsansprüchen nicht genügen.
Unklar ist bislang, warum die mit BSI-Siegeln verplombten Kartenterminals eine einfach zu öffnende Bodenklappe haben. Diese ist weder – wie im Handbuch beschrieben – verklebt, noch mit Siegeln des BSI gesichert. Die Abweichung von Gerät und Handbuch widerspricht den Sicherheitsvorgaben der Common-Criteria, nach denen die Terminals spezifiziert werden.
Bemerkenswert ist, dass die für die Organisation und Absicherung der Telematik-Anbindung der Arztpraxen zuständige Gematik GmbH bei der Zulassung der Kartenterminals vor drei Jahren offenbar ahnte, wie leicht ein Angreifer den technischen Schutz überwinden könnte. Doch statt eine robustere Technik zu fordern, begnügte sie sich mit organisatorischen Sicherungsvorgaben. So dürfen Ärzte und Kliniken besagte Terminals höchstens zehn Minuten ohne Aufsicht lassen.
Von uns befragten Ärzten war diese Auflage bislang unbekannt. Da Ärzte und Kliniken nach wie vor für die Sicherheit der Daten ihrer Patienten juristisch verantwortlich sind, müssen sie über etwaige Risiken besonders ausführlich aufgeklärt werden. Es existiert jedoch nach wie vor keine Datenschutzfolgenabschätzung der Telematik-Infrastruktur, die diesem Informationsbedürfnis nachkommen würde.
Derzeit sind schätzungsweise 145.000 Arztpraxen und Kliniken in Deutschland an die Telematik-Infrastruktur angebunden. Wieviele davon Kartenterminals von Ingenico einsetzen, wollte uns der Hersteller auf Nachfrage nicht mitteilen. Die Zahl dürfte jedoch sechsstellig sein. Ein möglicher Rückruf oder Austausch der anfälligen Geräte wäre deshalb mit erheblichen Kosten verbunden.
Kurz vor der Einführung der elektronischen Patientenakte am 1. Januar 2021 präsentiert sich die Datenabsicherung der Telematik-Infrastuktur in einem desolaten Zustand. Anfang der Woche hatten Sicherheitsforscher des Chaos Computer Clubs rund 200 fehlerhaft konfigurierte Telematik-Konnektoren aufgedeckt, die Angreifern freien Zugriff auf Patienten- und Gesundheitsdaten erlauben. Die Sicherheitsforscher wollen Details zu ihrer Analyse zwischen den Feiertagen auf der Remote Chaos Experience vorstellen.
Schwerpunkt Medizin-IT
Mehr über die Probleme von Apps und Kartenterminals im Gesundheitswesens lesen Sie in c’t 1/2021
Update 18:20 Uhr:
Inzwischen hat die Gematik auf die Aufdeckung der SicherheitslĂĽcke reagiert.
Darin bezieht sich die Gematik auf einen englischen Blog-Beitrag der von c't mit der ĂśberprĂĽfung beauftragten Sicherheitsexpertin Dr. Jiska Classen. Im Statement heiĂźt es unter anderem:
"Die gematik hat die Hersteller und das Bundesamt für Sicherheit in der Informationstechnik über den Angriffsweg und die Ergebnisse der Forscherin informiert. Gemeinsam mit dem Hersteller wird die gematik erörtern, wie bei künftigen Geräte-Generationen diese Schwachstelle behoben werden kann. Die Schwachstelle hat aufgrund der geringen praktischen Ausnutzbarkeit keinen Einfluss auf die bestehende Zulassung bzw. im Feld befindliche Kartenterminals."
c't hatte den Hersteller Ingenico, das BSI und die Gematik nach monatelanger Recherche mit Thomas Maus bereits am 14. September von der Sicherheitlücke und über die mögliche Angriffsmethode informiert. Nachdem wir Frau Dr. Classen später hinzuzogen, war es zum Streit zwischen ihr und Thomas Maus über die Auswirkungen der Sicherheitslücke gekommen. c't hatte schließlich mit Frau Dr. Classen einvernehmlich die sie betreffenden Aussagen abgesprochen und von ihr ein OK zur Veröffentlichung erhalten. Wesentliche Teile der Recherche veröffentlichte sie jedoch einen Tag vor c't ohne Absprache in ihrem Blog.
(hag)