krankenkassen-direkt.de nutzt Cookies, um Ihnen
einen besseren Service zu bieten. Mehr Informationen
OK

Unabhängiges Informations- und Karriereportal für die gesetzliche Krankenversicherung
Freitag, 25.09.2020

Mitteilung

Chaos Computer Club e. V.|27.12.2019

PRESSEMITTEILUNG

Chaos Computer Club (CCC) diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk

Berlin·Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen. An das Netz sind über 115.000 Praxen angeschlossen. Über das System sollen in naher Zukunft verpflichtend digitale Patientendaten und elektronische Rezepte ausgetauscht werden.

CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können. Im Falle der eGK gelang dies bereits zum wiederholten Male.

Die Diagnose

Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation des Antragstellers vollständig verzichtet. Ein Angreifer kann so Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit Einführung der elektronischen Patientenakte kann der Angreifer die vollständigen Inhalte der für diese Praxis freigegebenen Patientenakten einsehen.
Bei Ausgabe der elektronischen Heilberufsausweise (HBA) kommen völlig ungeeignete Identifikationsverfahren zum Einsatz. Angreifer im Besitz eines eHBA können damit nicht nur Rezepte, sondern beliebige Dokumente signieren.
Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die Identifikation des Antragstellers ebenfalls völlig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen möglich, in der die durchgeführten ärztlichen Leistungen verzeichnet sind. Schon in naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den elektronischen Medikationsplan und den Notfalldatensatz sowie die elektronische Patientenakte ermöglicht werden.

Die Ergebnisse präsentiert der CCC-Sicherheitsexperte Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim diesjährigen Chaos Communication Congress (36C3) in Leipzig. Der Vortrag kann im Live-Stream verfolgt werden und ist anschließend unter media.ccc.de verfügbar.

Die Ursachen

Das Konstrukt der gematik: Die Gesellschafter der gematik sind gleichzeitig von der gematik zu kontrollierenden Unternehmen.
Nachlässigkeit: Vernachlässigung der Sicherheit organisatorischer Abläufe bei Umsetzung und Zulassung.
Mangelnde Prüfung: Relevante Prozessschritte wurden nicht durch die gematik geprüft.
Verantwortungsdiffusion bei den beteiligten Unternehmen und Institutionen: Nicht nur im Bundesministerium für Gesundheit sprach man hinter vorgehaltener Hand von "organisierter Verantwortungslosigkeit", weil die beteiligten Unternehmen sich gegenseitig die Schuld für Probleme zuschoben.

Der CCC verschreibt

Schadensbegrenzung: Die gematik muss jetzt prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen.
Zuverlässige Kartenbeantragungs- und herausgabeprozesse: Beantragung, Identifikation und Ausgabe müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden.
Volle Umsetzung der eGK als Identitätsnachweis.
Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von eGK, HBA und SMC-B führen sowie Kontrolle der Umsetzung.
Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.

Wir wünschen dem deutschen Gesundheitswesen eine schnelle Genesung!

Hintergrundinformation

Was ist die Telematik-Infrastruktur

Weitgehend unbemerkt von der Öffentlichkeit ist inzwischen die digitale Vernetzung des deutschen Gesundheitswesens weit fortgeschritten. Über 115.000 Arzt- und Zahnarztpraxen sind inzwischen an ein virtuelles Netzwerk - die sogenannte Telematik-Infrastruktur - angeschlossen. Dazu wurden diese Praxen mit Spezialhardware und elektronischen Praxisausweisen ausgestattet.

Damit ist der Weg frei für die Einführung weiterer Anwendungen: Ab der ersten Jahreshälfte 2020 werden die elektronischen Notfalldaten, der elektronische Medikationsplan sowie das sichere Kommunikationsverfahren zwischen Leistungserbringern erwartet. Am 1. Januar 2021 folgt dann die elektronische Patientenakte und somit der Einstieg in die vollständige Digitalisierung unserer Gesundheitsdaten.

Technische Details

Zur Gewährleistung der Sicherheit der Telematikinfrastruktur und darauf aufbauender Anwendungen wie der elektronischen Patientenakte ist die "zuverlässige und eindeutige Identifikation" aller Teilnehmer "zwingend notwendig".

Teilnehmer sind insbesondere Versicherte, Leistungserbringer wie Ärzte und Leistungserbringerinstitutionen wie Arztpraxen und künftig Krankenhäuser und Apotheken.

Sämtliche Zugriffe auf die Telematik-Infrastruktur werden anhand kryptografischer Identitäten gesichert.

Hierzu soll ein Trust Service Provider (TSP) nach sicherer Identitätsprüfung eines Teilnehmers dessen kryptographische Identität - bestehend aus privatem Schlüssel und Zertifikat - erzeugen und rechtsverbindlich mit dessen realer Identität verknüpfen. Die kryptographische Identität wird auf einer Chipkarte wie der Gesundheitskarte (eGK), dem Praxisausweis (SMC-B) oder dem Heilberufsausweis (eHBA) gespeichert.

Identitätsmissbrauch auf Grundlage erschlichener kryptographischer Identitäten stellt eine unmittelbare Bedrohung für den Vertrauensraum der TI und somit für die Sicherheit der auf der TI aktuell und zukünftig laufenden Anwendungen wie der elektronischen Patientenakte (ePA) dar: "Die Korrektheit der Kartenherausgabeprozesse ist - wie bei nahezu allen digitalen Prozessen in der TI - notwendige Voraussetzung" schreibt die gematik in ihrer Spezifikation.

Dass diese notwendige Vorraussetzung nicht erfüllt ist, konnten die Sicherheitsforscher des CCC mit einfachen, rein nichttechnischen Mitteln zeigen.

Pressekontakt:

Office des CCC
office@ccc.de


 

Immer aktuell - der kostenfreie GKV-Newsletter:

GKV-Newsletter

Info|Hilfe|Datenschutzerklärung


CCC

 

Chaos Computer Club e. V.:

 

Weitere Mitteilungen

Derzeit liegen keine weiteren Mitteilungen dieser Institution vor.

Neue Mitteilungen per E-Mail?