Schlagwort-Archive: CCC

CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk

Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen. An das Netz sind über 115.000 Praxen angeschlossen. Über das System sollen in naher Zukunft verpflichtend digitale Patientendaten und elektronische Rezepte ausgetauscht werden.

CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können. Im Falle der eGK gelang dies bereits zum wiederholten Male.

Die Diagnose

  • Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation des Antragstellers vollständig verzichtet. Ein Angreifer kann so Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit Einführung der elektronischen Patientenakte kann der Angreifer die vollständigen Inhalte der für diese Praxis freigegebenen Patientenakten einsehen.
  • Bei Ausgabe der elektronischen Heilberufsausweise (HBA) kommen völlig ungeeignete Identifikationsverfahren zum Einsatz. Angreifer im Besitz eines eHBA können damit nicht nur Rezepte, sondern beliebige Dokumente signieren.
  • Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die Identifikation des Antragstellers ebenfalls völlig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen möglich, in der die durchgeführten ärztlichen Leistungen verzeichnet sind. Schon in naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den elektronischen Medikationsplan und den Notfalldatensatz sowie die elektronische Patientenakte ermöglicht werden.

Die Ergebnisse präsentiert der CCC-Sicherheitsexperte Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim diesjährigen Chaos Communication Congress (36C3) in Leipzig. Der Vortrag ist unter media.ccc.de verfügbar.

Die Ursachen

  • Das Konstrukt der gematik: Die Gesellschafter der gematik sind gleichzeitig von der gematik zu kontrollierenden Unternehmen.
  • Nachlässigkeit: Vernachlässigung der Sicherheit organisatorischer Abläufe bei Umsetzung und Zulassung.
  • Mangelnde Prüfung: Relevante Prozessschritte wurden nicht durch die gematik geprüft.
  • Verantwortungsdiffusion bei den beteiligten Unternehmen und Institutionen: Nicht nur im Bundesministerium für Gesundheit sprach man hinter vorgehaltener Hand von “organisierter Verantwortungslosigkeit”, weil die beteiligten Unternehmen sich gegenseitig die Schuld für Probleme zuschoben.

Der CCC verschreibt

  • Schadensbegrenzung: Die gematik muss jetzt prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen.
  • Zuverlässige Kartenbeantragungs- und herausgabeprozesse: Beantragung, Identifikation und Ausgabe müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden.
  • Volle Umsetzung der eGK als Identitätsnachweis.
  • Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von eGK, HBA und SMC-B führen sowie Kontrolle der Umsetzung.
  • Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.

Wir wünschen dem deutschen Gesundheitswesen eine schnelle Genesung!

Quelle: Chaos Computer Club, 27.12.2019


Und die @gematik1 “wünscht Ihnen… ein glückliches, gesundes und erfolgreiches neues Jahr!”

Da freuen wir uns aber – und das ganz dolle!

„Digitalstadt Darmstadt“ und die Sorge der grün-schwarzen Rathaus-Koalition um die Gesundheit ihrer BürgerInnen

Die südhessische Universitätsstadt Darmstadt (grüner Oberbürgermeister, grün-schwarze Koalition wie in Baden-Württemberg) hat sich von der BITKOM, dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., einer Lobby-Organisation der deutschen IT-Unternehmen, den Titel “Digitalstadt” verleihen lassen. In einem Wettbewerb gegen die Städte Heidelberg, Kaiserslautern, Paderborn und Wolfsburg hatte Darmstadt die Nase vorn. Seitdem betreibt sie voll Stolz eine Homepage mit dem Namen Digitalstadt Darmstadt.

Naive Begeisterung über die schöne neue Digital-Welt paart sich mit Plattitüden. Oberbürgermeister Jochen Partsch (Grüne) gerät bei Digitalstadt Darmstadt ins Schwärmen: „Wir leben in spannenden Zeiten, denn wir erleben ein ganz eigenes Kapitel der Geschichte hautnah mit. Die Digitalisierung verschiebt sich zunehmend in alle Lebensbereiche und Teile der Bevölkerung. Die Chancen und Potentiale sind enorm. Nicht minder groß sind die Herausforderungen, die die digitale Lebensreform mit sich bringt. Die Wissenschaftsstadt Darmstadt hat eine lange Historie, sich den Zeichen der Zeit zu stellen und sowohl technologischen Wandel zu leben als auch ihn voranzutreiben. In Darmstadt greift man wortwörtlich nach den Sternen und schafft die Voraussetzungen, dass die Digitalisierung für unsere Gesellschaft auf sinnvolle und nachhaltige Weise nutzbar wird…“ Das Darmstädter Echo vom 30.07.2017 stellt dazu fest: „Vergleichsweise konkret sind Aussagen von Oberbürgermeister Jochen Partsch für den Bereich Gesundheit. Er kündigte die Schaffung einer ‚intuitiven Datenplattform‘ an, über die jeder Bürger jederzeit Zugriff auf seine eigenen Gesundheitsdaten habe und diese anderen, etwa Ärzten, zur Verfügung stellen könne.“ „Digitalstadt Darmstadt“ und die Sorge der grün-schwarzen Rathaus-Koalition um die Gesundheit ihrer BürgerInnen weiterlesen