Blog, Telematik-Infrastruktur

CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk

2 Kommentare

Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen. An das Netz sind über 115.000 Praxen angeschlossen. Über das System sollen in naher Zukunft verpflichtend digitale Patientendaten und elektronische Rezepte ausgetauscht werden.

CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können. Im Falle der eGK gelang dies bereits zum wiederholten Male.

Die Diagnose

  • Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation des Antragstellers vollständig verzichtet. Ein Angreifer kann so Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit Einführung der elektronischen Patientenakte kann der Angreifer die vollständigen Inhalte der für diese Praxis freigegebenen Patientenakten einsehen.
  • Bei Ausgabe der elektronischen Heilberufsausweise (HBA) kommen völlig ungeeignete Identifikationsverfahren zum Einsatz. Angreifer im Besitz eines eHBA können damit nicht nur Rezepte, sondern beliebige Dokumente signieren.
  • Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die Identifikation des Antragstellers ebenfalls völlig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen möglich, in der die durchgeführten ärztlichen Leistungen verzeichnet sind. Schon in naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den elektronischen Medikationsplan und den Notfalldatensatz sowie die elektronische Patientenakte ermöglicht werden.

Die Ergebnisse präsentiert der CCC-Sicherheitsexperte Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim diesjährigen Chaos Communication Congress (36C3) in Leipzig. Der Vortrag ist unter media.ccc.de verfügbar.

Die Ursachen

  • Das Konstrukt der gematik: Die Gesellschafter der gematik sind gleichzeitig von der gematik zu kontrollierenden Unternehmen.
  • Nachlässigkeit: Vernachlässigung der Sicherheit organisatorischer Abläufe bei Umsetzung und Zulassung.
  • Mangelnde Prüfung: Relevante Prozessschritte wurden nicht durch die gematik geprüft.
  • Verantwortungsdiffusion bei den beteiligten Unternehmen und Institutionen: Nicht nur im Bundesministerium für Gesundheit sprach man hinter vorgehaltener Hand von „organisierter Verantwortungslosigkeit“, weil die beteiligten Unternehmen sich gegenseitig die Schuld für Probleme zuschoben.

Der CCC verschreibt

  • Schadensbegrenzung: Die gematik muss jetzt prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen.
  • Zuverlässige Kartenbeantragungs- und herausgabeprozesse: Beantragung, Identifikation und Ausgabe müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden.
  • Volle Umsetzung der eGK als Identitätsnachweis.
  • Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von eGK, HBA und SMC-B führen sowie Kontrolle der Umsetzung.
  • Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.

Wir wünschen dem deutschen Gesundheitswesen eine schnelle Genesung!

Quelle: Chaos Computer Club, 27.12.2019

Und die @gematik1 „wünscht Ihnen… ein glückliches, gesundes und erfolgreiches neues Jahr!“

Da freuen wir uns aber – und das ganz dolle!

2 Gedanken zu „CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk“

  1. Die zentrale Speicherung der Gesundheits- und Sozialdaten von 70 Millionen gesetzlich Krankenversicherten ohne deren Einwilligung und ohne Widerspruchsmöglichkeit verstösst nicht nur gegen das im Grundgesetz verankerte Recht auf informationelle Selbstbestimmung, sondern auch gegen die DSGVO und gegen die ärztliche Schweigepflicht nach Paragraph 203 StGB. Deshalb verweigern viele Ärztinnen und Ärzte den Zwangsanschluss an die Telematik-Infrastruktur und nehmen Honorarkürzungen und ggf. weitere Sanktionen in Kauf. Wer etwas tun möchte, unterzeichne und teile die Online-Petition 98780 des Bundestages. Bei mehr als 50.000 Unterschriften MUSS sich der Petitionsausschuss mit dem Anliegen befassen. 40.000 Unterschriften auf Papier liegen bereits vor.

    https://epetitionen.bundestag.de/petitionen/_2019/_09/_02/Petition_98780.html

    Text der Petition:
    Der Bundestag möge beschließen, dass Patienten keine Nachteile erleiden dürfen, die ihre Daten nicht in elektronischen Patientenakten (ePA) auf zentralen Servern außerhalb der Praxen speichern lassen wollen. Die Telematik-Infrastruktur (TI) für Ärzte und Psychotherapeuten sowie die Nutzung der ePA für Ärzte und Patienten müssen freiwillig sein. Strafen gegen Ärzte und Psychotherapeuten, die sich nicht an die TI anschließen lassen, dürfen nicht verschärft, sondern müssen abgeschafft werden.

    Antworten

    1. Schlechte Formulierung.

      Die ePA IST gemäß Gesetz freiwillig. Ob das so bleiben wird, kann und sollte natürlich bezweifelt werden.

      Trotzdem ist damit das Hauptargument der Petition sinnfrei und die Gefahr der Ablehnung der Petition ist groß. Der Petitionsausschuß wird sich nicht lange damit befassen (wollen), sondern gleich auf die Freiwilligkeit der ePA verweisen und ablehnen. Alles andere wie die TI, eGK und zentraler Speicherung durch diese (auch ganz ohne ePA) wird nicht weiter behandelt.

      Wichtiger wäre eine Petition gegen die Zwangsnutzung der eGK in Verbindung mit der TI und der damit geschaffenen Vernetzung sämtlicher Gesundheitsdaten aller gesetzlichen Patienten ohne Widerspruchsmöglichkeit.

      Wichtiger wäre eine objektive Untersuchung sowohl der Sicherheit der Telematischen Infrastruktur als auch der sozialen Auswirkung eines derart brisanten Projektes. Oder zunächst einfach nur eine Datenschutzfolgeabschätzung, die eigentlich nach Art. 35 DSGVO Pflicht ist. Immerhin ein EU-Gesetz, an das sich auch unsere Regierung halten muss. Sollte sich die Regierung auf Art. 6 in Verbindung mit Art. 35 Abs. 10 beziehen (Rechtmäßigkeit der Verarbeitung) und unsere intimsten Gesundheitsdaten trotzdem verarbeiten dürfen, nur weil sie ein Gesetz dazu beschlossen haben, dann sollte sich jeder Bürger fragen, welche Daten überhaupt noch mit der DSGVO vor dem Staat geschützt werden können, wenn nicht die wichtigsten und intimsten Gesundheitsdaten, die ein Leben lang mit der Person verbunden sind.

      Nicht nur gegen die ePA wehren. Die komplette TI und eGK verweigern!

      Antworten

Schreibe einen Kommentar