Gutachten für elektronische Patientenakte: Sicherheitskonzept auf dem Prüfstand​

Inhaltsverzeichnis

Die Gematik hat ihr Sicherheitskonzept für die elektronische Patientenakte vom Fraunhofer SIT prüfen lassen. Anschließend verkündet sie als Ergebnis des Gutachtens: "Die ePA für alle ist sicher". Ein Blick in das 93 Seiten lange Gutachten der Forscher lässt Zweifel aufkommen – von Angreifer-Typologien und Schwachstellen, die zu Sicherheitslücken führen können und "Dokumentenbasierten Problemstellen".

Prüfung des Konzepts auf formale Sicherheitslücken

Die Forscher untersuchten kein laufendes ePA-System mit all seinen Komponenten, sondern einen komplexen Papiertiger – "die dokumentierte Architektur sowie die Anforderungen an die Umsetzung der einzelnen Komponenten". Ziel war "die Identifikation möglicher Sicherheitslücken und etwaigen Verbesserungsbedarfs".

Die Implementierung der ePA führt neue Risiken und Herausforderungen in Bezug auf Datensicherheit und -schutz ein, stellen die Forscher fest und führen in ihrer Sicherheitsanalyse insgesamt 21 Schwachstellen auf, von denen 4 als hoch, 6 als mittel und 11 als niedrig eingestuft werden. Zusätzlich weisen die Forscher auch auf "unklar oder widersprüchlich formulierte Anforderungen oder Schwachstellen, bei denen davon auszugehen ist, dass sie lediglich Mängel in der Dokumentation darstellen" hin.

Von technischen Experten und finanziell motivierten Zugriffsberechtigten

In Stufe 1 ihrer "High-Level-Prüfung" betrachten die Forscher zunächst Angreifertypen, die "potenziell auf das ePA System einwirken könnten". Die Angreifer werden nach Außen- und Innentäter, ihrer Motivlage (Macht, Zerstörung, Ruhm, Geld, Wissen), Mittel und Möglichkeiten zur Tatausübung kategorisiert. Schlussendlich wird ihre Relevanz als Angreifer eingeschätzt.

Insgesamt führt das Gutachten 18 Stereotypen von Angreifen auf. Dazu gehören unter anderem Regierungsorganisationen, Hacker, Cyberkriminelle, Cracker, Hacktivisten, die Hersteller der Dienste, Mitarbeiter der Gematik, Hersteller des Primärsystems, Versicherte oder deren Vertreter, Leistungserbringer, Kostenträger und die Ombudsstellen der Krankenkassen.

Die Gematik-Mitarbeiter kommen als mögliche Innentäter mit dem Ziel des finanziellen Profits und Schädigung des eigenen Arbeitgebers in Betracht: Da ihre technische Expertise nur im Mittelfeld rangiert und sie auch nur das Konzept für die TI und ePA entwickeln, wird ihre Relevanz als Angreifer niedrig eingestuft.

Die Relevanz der Leistungserbringer als Angreifer wird als mittelgroß eingeschätzt: "Das wahrscheinlichste Motiv für Leistungserbringer sind finanzielle Vorteile. Über besondere Fähigkeiten verfügen die Leistungserbringer nicht." Aufgrund ihrer "umfangreichen Zugriffsberechtigungen" auf Akten seien Leistungserbringer "ein interessantes Angriffsziel für Außentäter", die mehr technische Ahnung als sie haben.

Sollte der Leistungserbringer nicht manipulierbar, finanziell gierig und käuflich sein, könnte alternativ das von ihm genutzte Primärsystem unsicher und angreifbar sein. "Ein unzureichend gesichertes Primärsystem genügt, um einen Datenverlust herbeizuführen, auch wenn die betroffenen Personen nie bei dem entsprechenden Leistungserbringer tatsächlich behandelt wurden". Das Gutachten weist darauf hin, dass Primärsysteme "ein zentraler Akteur im Zusammenspiel mit der ePA" sind und es keine verpflichtenden Sicherheitsanforderungen gibt. "Die Softwarequalität ist unbekannt und gleichzeitig werden Leistungserbringerinstitution (etwa Krankenhäuser) immer wieder Opfer von Cyberangriffen".

Der beim Fraunhofer SIT verantwortliche Projektleiter Dr.-Ing. Steven Arzt erklärte dazu auf Nachfrage von heise online, dass ein Datenzugriff "lediglich nach dem Scannen der elektronischen Gesundheitskarte für 90 Tage möglich und auch nur durch den Leistungserbringer, bei dem die Karte eingelesen wurde. Bei großen LEI mit vielen Patienten ergeben sich hieraus umfangreiche Zugriffsrechte. Bei vielen größeren Kliniken und Praxisverbünden existieren daher in den Informationssystemen technische Maßnahmen zur internen Zugriffsbeschränkung innerhalb der LEI. Wir empfehlen hierbei, rechtliche Vorgaben für das Mindestsicherheitsniveau der Primärsysteme zu erheben. Eine Vorgabe zur Einführung von BSI IT-Grundschutz könnte hierbei ein Baustein sein. Nur so kann man ein einheitlich gutes Sicherheitsniveau erreichen".

Speziell an Wochenenden und Feiertagen hat die Gematik die Sicherheitsanforderungen arbeitnehmerfreundlich ausgelegt. Anbieter von Diensten der Telematikinfrastruktur (auch von Aktensystemen) haben dann bis zu 72 Stunden Zeit, um Schwachstellen zu bewerten. Diese Zeitspanne kommt auch Kriminellen zugute, die gerne dann agieren, wenn das Entdeckungsrisiko geringer ist. "Da erst nach Bewertung der Schwachstellen die Umsetzung der Gegenmaßnahmen in Abhängigkeit ihrer Kritikalität erfolgen kann, könnte es vorkommen, dass auch eine Schwachstelle mit der CVSS-Bewertung von 9,0 oder höher erst mit einer Verzögerung von 72 Stunden behoben wird."

"Die Daten in Ihrer ePA sind sicher und geschützt" verspricht die Gematik in ihrer Liste der Vorteile der elektronischen Patientenakte. Ein Innentäter oder Außentäter mit den Berechtigungen eines Innentäters oder eine Ransomware könnten Produktions- und Backupdaten gleichzeitig löschen, warnt das Gutachten. Da es keine Pflicht für ein Backup in Form einer Offline-Datensicherung gibt, wäre dann alles futsch. Abseits davon, wenn es eine Kompromittierung gab, sind "die Anforderungen zu Backup- und Wiederherstellungsprozessen (...) nur oberflächlich definiert." Es fehlt "ein klarer Prozess (...) wann und von wem eine Wiederherstellung ausgelöst wird".

Das Gutachten weist auch auf ein insgesamt "unklares Verhältnis zwischen BSI-Grundschutz und gematik-Anforderungen" hin. Zu klären ist die Frage, was zu tun ist, wenn Anforderungen der Gematik von den BSI-Grundschutz-Empfehlungen abweichen.

Nicht nur der gemeine Cyberkriminelle ist ein Außentäter. Es gibt auch Regierungsorganisationen, die "daran interessiert (sind) vertrauliche Informationen über Bürger zu sammeln, die Infrastruktur anderer Staaten anzugreifen oder nachrichtendienstliche Informationen zu gewinnen". Das Bundesamt für Verfassungsschutz warnt in einer Broschüre zum Thema HUMINT (Human Intelligence) davor, dass für ausländische Nachrichtendienste grundsätzlich alle Personen für eine Anwerbung in Betracht kommen – "entscheidend dabei ist der mögliche Zugang zu bestimmten Informationen." Um Personen "zur Mitarbeit zu bewegen" oder zu zwingen, würden auch vorher "erbeutete sensible persönliche Daten" genutzt.

Die Relevanz dieses Angreifertyps wird im Gutachten von den Fraunhofer-Forschern als "Hoch" eingeschätzt. Allerdings "wurde nach Absprache mit der Gematik festgelegt, dass Angriffe durch Regierungsorganisationen nicht relevant sind". Nicht relevant für Gematik bei hoher Relevanz laut Gutachten ist nicht dasselbe wie real nicht existent, denn auch Regierungsorganisationen betreiben Spionage.

Schwachstellenanalyse mittels Angriffsbäumen

Im Gutachten werden 17 mögliche Angriffsszenarien mithilfe von Angriffsbäumen dargestellt und das Risiko eines Angriffs mit Wahrscheinlichkeiten berechnet. Die verschiedenen Angreifertypen können folgende Ziele verfolgen:

• Unbefugtes Lesen der Akte
• Unbefugtes Manipulieren der Akte
• Unbefugtes Löschen der Akte
• Denial-of-Service-Angriff auf Akte
• Aufdecken von Behandlungen und Krankheiten

Der Angriffsbaum zur unbefugten Widerspruchseinreichung ist mit einer Vielzahl von Angriffsvektoren am umfangreichsten. Wird ein Widerspruch im System aktiv, wird die Patientenakte gelöscht. Wiederherstellung unmöglich. Es gibt weder für das Verfahren zum Einlegen noch für das Verfahren zur Rücknahme von Widersprüchen Mindestsicherheitsanforderungen; und auch keinerlei Sicherheitsüberprüfungen. Die Gematik "weist explizit darauf hin, dass das Verfahren nicht Bestandteil der Spezifikation ist" – also nicht ihr Problem sei.

Strukturelle Analyse mittels Cluster und KI

Für die Sicherheitsanalyse der Komponenten der ePA setzten die Forscher in Stufe 2 ihrer "High-Level-Prüfung" auf KI. Eine erste KI fasste alle Sicherheitsanforderungen der Gematik zu logischen Clustern zusammen, "um die hohe Anzahl von Anforderungen effizient zu gruppieren und zu kategorisieren". Als zweite KI kam eine "speziell entwickelte gematik-GPT" zum Einsatz. Dabei handelte es sich um "eine fortschrittliche Retrieval-Augmented Generation (RAG) Pipeline" mit der sich "präzise und kontextbezogene Informationen aus dem umfangreichen Spezifikationsdatensatz der gematik" extrahieren und analysieren lassen.

Ohne die Gruppierung der Anforderungen in Cluster wäre es "kaum möglich, durch rein manuelle Betrachtung einen Überblick herzustellen" oder einen "Vergleich mit ähnlichen Clustern in anderen Komponenten" zu machen, um eine einheitliche Umsetzung von Standards im gesamten ePA-System sicherzustellen. Die Spezifikationen der Gematik sind nicht nur umfangreich, sondern auch zu kompliziert, um sie ohne technische Unterstützung durchdringen und verstehen zu können. Deshalb musste KI als Hilfe her, der jedoch nicht einfach vertraut werden kann. Auch bei RAG basierten LLMs können Nebenwirkungen in Form von falschen oder unvollständigen Antworten auftreten.

Arzt stellt klar: "Wir wollten hier nicht blind der KI vertrauen, sondern haben alle Ergebnisse der KI nachgeprüft. Das geht immer noch schneller, als alles manuell zu erledigen." Gut für den, der im Bedarfsfall eine solch technische Hilfe hat, die beim Verständnis der Gematik Unterlagen und Vorgaben hilft.

Ohne Vertrauen gibt es keine Gesundheitsdigitalisierung. "Die ePA für alle ist in den geprüften Bereichen grundlegend sicher" erklärt die Gematik. Dieser Satz könnte seiner Aussage näherkommen, wenn die Gematik ihre Hausaufgaben macht, die ihr die Experten des Fraunhofer SIT in Form von 30 Handlungsempfehlungen aufgeschrieben haben. Die Gematik habe "bereits erste Schritte eingeleitet, um die in ihrem Zuständigkeitsbereich liegenden Verbesserungsvorschläge umzusetzen". Was außerhalb ihrer Regelungshoheit liegt, habe sie "zur Kenntnis genommen".

(mack)