eHealth: Im Irrgarten der Sicherheitsvorgaben der Telematikinfrastruktur

Inhaltsverzeichnis

Derzeit sind ungefähr 130.000 Arztpraxen und Kliniken an die Telematikinfrastruktur (TI) angeschlossen. Über die TI sollen Patientendaten ausgetauscht werden – mithilfe sogenannter Konnektoren, speziell abgesicherte Router. Da deren Krypto-Zertifikate nach fünf Jahren auslaufen, sollen erste Konnektoren ausgetauscht werden. Obwohl es Möglichkeiten gibt, das kostspielige Vorhaben zu verhindern, hält die für die Digitalisierung des Gesundheitswesens zuständige Gematik am Tausch der Konnektoren fest. Neben einer Verlängerung der Krypto-Zertifikate haben wir die Möglichkeit des Tauschs der gerätespezifischen Sicherheitsmodulkarten (gSMC-Ks) in die Diskussion geworfen.

Als Grund gibt die Gematik an, dass bei einem Tausch der gSMC-Ks "unter anderem die Sicherheitsvorgaben verletzt" würden. Dabei nennt die Gematik die konkreten Sicherheitsvorgaben trotz unserer Anfrage seit vier Wochen nicht. Infrage kämen hunderte Dokumente verschiedener Institutionen auf verschiedenen Regulierungsebenen – typischerweise mit hunderten von Seiten – aus denen solche Sicherheitsvorgaben stammen können. All diese Dokumente werden ständig weiterentwickelt – liegen also in verschiedenen Versionen vor, von denen die anzuwendende bestimmt werden muss.

Die Common-Criteria-Protection-Profiles (Schutzprofile), nach denen Konnektoren-Bestandteile zertifiziert wurden, sind: BSI-CC-PP-0047-2015-MA-01, BSI-CC-PP-0097-2018 und BSI-CC-PP-0098. Jedes Schutzprofil enthält zwingend ein Kapitel 1.3 "EVG-Beschreibung" oder "Description of the TOE" (EVG=Evaluierungsgegenstand=TOE=Target of Evaluation). Dort muss genau beschrieben werden, was durch die Zertifizierung erfasst wird, sowie – zur Abgrenzung – was nicht. Man sollte sich an den Text halten, weil die graphische Darstellung in BSI-CC-PP-0047-2015-MA-01 beispielsweise falsch ist. Die beiden Schutzprofile -0047 und -0097 befassen sich ausschließlich mit dem Software-Modul "Netzkonnektor" – also VPN, Firewall, NTP, DNS und DHCP.

Weder das Software-Modul "Anwendungskonnektor" noch das Versichertendatenmanagement (VSDM) noch die gSMC-Ks werden von der Common-Criteria-Zertifizierung erfasst – auch nicht das Gehäuse und die Hardware. Das änderte sich erst mit den Zertifizierungen nach -0098, deren früheste am 6. November 2020 erfolgte und auch den "Anwendungskonnektor" und VSDM erfasst.

Konnektor nicht als Ganzes zertifiziert

Gehäuse und Hardware sind aber grundsätzlich nicht zertifiziert worden, wie sich daran erkennen lässt, dass sämtliche „Konnektor-Zertifikate“ unter der Rubrik Software liegen. Angesichts dieser Teil-Zertifizierungen ist es nach der Common Criteria (CC) irreführend, von "zertifizierten Konnektoren" oder "Konnektor-Zertifizierung" zu sprechen. Dazu die CC selbst (Common Criteria, Version 3.1, Part3, April 2017, Seite 34, Absatznummer 185): "The evaluation of a TOE containing only part of an IT product should not be misrepresented as the evaluation of the entire IT product." – "Die Zertifizierung eines Prüfgegenstandes, der nur einen Teil eines IT-Produkts darstellt, darf nicht irreführend als Zertifizierung des gesamten Produkts dargestellt werden."

Eine CC-Zertifizierung garantiert die Sicherheit eines Produkts nicht zwangsläufig: Sie bestätigt lediglich den Umfang und die Tiefe der Prüfung von Sicherheitseigenschaften und trifft ausdrücklich keine Aussage zum Sicherheitsniveau eines Produkts oder der Eignung seiner Schutzziele und Sicherheitsvorgaben für bestimmte Einsatzzwecke oder Einsatzumgebung (Common Criteria, Version 3.1, Part1, April 2017, Seite 60, Absatznummer 322): "An evaluation result represents the findings of a specific type of investigation of the security properties of a TOE. Such a result does not automatically guarantee fitness for use in any particular application environment." – "Eine CC-Zertifizierung dokumentiert die Befunde einer spezifischen Untersuchung der Sicherheitseigenschaften des Prüfgegenstandes. Sie garantiert nicht automatisch die Eignung eines Produkts für irgendeine bestimmte Art seines Einsatzes."

CC als Entscheidungshilfe für Sicherheitseigenschaften

Die Idee der CC ist, dass sich die Nutzer der Geräte auf Basis der geprüften Sicherheitseigenschaften frei für Produkte entscheiden, die aus ihrer Sicht angemessene Sicherheitseigenschaften haben. Allerdings haben wir am Beispiel eines Kartenterminals schon nachgewiesen, dass trivial erkennbare Schutzprofilverletzungen durchaus durch die CC-Zertifizierungs- und Gematik-Zulassungsprüfungen rutschen.

Tatsächlich können Schutzprofile Sicherheitsaufgaben in beliebiger Weise auf die Einsatzumgebung verlagern. Ein Beispiel aus -0047: Mit "OE.NK.Betrieb_CS" überträgt es dem Praxisinhaber die Aufgabe, dass "[...] keine Schadsoftware auf die Clientsysteme oder andere IT-Systeme im LAN aufgebracht wird. Er ist verantwortlich dafür, dass eine Anbindung der Clientsysteme an potentiell unsichere Netze (z. B. Internet) unterbunden wird oder ausschließlich in sicherer Art und Weise erfolgt." Allerdings stellt es in Abschnitt 7.6.2 auch fest:

"Obwohl das Vorhandensein bösartiger Software auf IT-Systemen im LAN durch die Annahme A.NK.Betrieb_CS verhindert werden soll, muss nach dem Stand der Technik davon ausgegangen werden, dass Leistungserbringer eine Kompromittierung eines ihrer IT-Systeme im LAN nicht sicher verhindern bzw. nicht in jedem Fall frühzeitig erkennen können."

Angesichts der Tatsache, dass viele digitale Diagnostikgeräte in Praxen und Kliniken noch unter Windows-Versionen laufen, deren Support ausgelaufen ist und die Hersteller Eingriffe verbieten, eine realistische Einschätzung der Schutzprofil-Autoren. Allerdings gründet die Sicherheit des Konnektors damit auf einer Sicherheitsvoraussetzung der Betriebsumgebung, die – laut Schutzprofil – gar nicht gewährleistet werden kann. Auch Schutzprofile müssen vor ihrer Nutzung zertifiziert werden. Diese Zertifizierung soll neben formaler Korrektheit auch die Widerspruchsfreiheit gewährleisten, das hat im Beispiel wohl nicht funktioniert.

Physische Manipulation soll erkennbar sein

Da bei den Konnektoren nur Software-Komponenten zertifiziert werden, können die Schutzprofile keine echte Bindungswirkung hinsichtlich der konkreten Hardware-Sicherheit der Konnektoren entfalten. Wir wenden uns daher den Gematik-Spezifikationsdokumenten für den Konnektor zu: "gemSpec_Kon". Die gibt es in zahlreichen Versionen von 4.11.1 vom 27.4.2017 bis 5.11.0 vom 12.11.2020. Uns interessiert darin die Sicherheitsvorgabe TIP1-A_4505, die erfreulicherweise in allen genannten Versionen gleich lautet:

TIP1-A_4505 - Schutz vor physischer Manipulation gSMC-K [...]
"Die gSMC-K des Konnektors MÜSSEN durch den Einsatz physikalischer (sic!) Sperren oder manipulationssicherer Siegel so mit dem Konnektor verbunden sein, dass physischer Missbrauch oder physische Manipulation erkennbar ist."

Diese Sicherheitsvorgabe verbietet den Austausch der gSMC-K nicht – im Gegenteil: Sie ist eher die Voraussetzung eines sicheren Austauschs, da sie gewährleistet, dass den Service-Technikern bei einem Austausch nicht unbemerkt falsche SMCs untergeschoben werden können. Wenn die Stadtwerke beschließen, Strom- oder Wasserzähler zu tauschen, muss man ja auch kein neues Haus kaufen, sondern es werden die Siegel beziehungsweise Plomben gebrochen und anschließend durch neue ersetzt.

Sperren existieren allerdings nicht

Unsere Untersuchungen an verschiedenen KoCoBoxen haben jedoch gezeigt, dass derartige Sperren oder Siegel für die SMCs nicht existieren. Es stellen sich die Fragen, wie diese Verletzung einer Sicherheitsvorgabe sowohl durch die Common-Criteria-Zertifizierung als auch die Gematik-Zulassungstests schlüpfen konnte und ob die Missachtung von Sicherheitsvorgaben nicht den Widerruf der Betriebszulassung der betroffenen Konnektoren auslösen müsste.

So müssen etwa Konnektoren mit beschädigten Siegeln nach den besonderen Geschäftsbedingungen verschiedener Systemhäuser außer Betrieb genommen, gesperrt und zurückgesandt werden. Auch der Konnektorhersteller CGM berief sich bei der "Unmöglichkeit des gSMC-K-Tauschs" auf diese Regelung. Wie schon bei den Kartenterminals ist die CR2032-Stützbatterie auch bei den Konnektoren eine weitere Obsoleszenz-Quelle. Kommt ein Arzt auf die Idee, den Konnektor durch einen Tausch der Batterie zu reanimieren, schlägt diese Regel auch zu, wie ein Beitrag in der Gemmunity – der Gematik Community – zeigt:

Wir sehen: Fehlende oder beschädigte Siegel führen zum Verlust der Betriebserlaubnis von Konnektoren. Interessant wird, ob die Gematik auf die fehlenden Siegel gemäß TIP1-A_4505 bei einer ganzen Konnektor-Baureihe ähnlich rigoros reagiert.

(mack)