Handelsblatt App
Jetzt 4 Wochen für 1 € Alle Inhalte in einer App
Anzeigen Öffnen
MenüZurück
Wird geladen.

30.12.2019

01:38

Chaos Computer Club

Sicherheitslücke bei Gesundheitsausweisen – Diskussion um die Folgen

Von: Julian Olk, Britta Rybicki

IT-Experten ist es gelungen, sich als Ärzte auszugeben und sich so Zugang zum Gesundheitsdatennetz zu verschaffen. Was passiert jetzt mit den bereits ausgegebenen Ausweisen?

Rund 115.000 Ärzte sind bereits an das TI-Netz angeschlossen. Imago/Westend61

Arztpraxis

Rund 115.000 Ärzte sind bereits an das TI-Netz angeschlossen.

Die TI soll das zentrale Datennetz im deutschen Gesundheitswesen werden. Mit der elektronischen Patientenakte sollen ab 2021 alle Gesundheitsdaten der 73 Millionen in Deutschland gesetzlich Krankenversicherten darin gespeichert werden können — also hochsensible Daten. Um in das System zu gelangen und die dort befindlichen Anwendungen nutzen zu können, braucht ein Arzt zwei Karten: einen Heilberufeausweis und einen Praxisausweis. Patienten brauchen eine elektronische Gesundheitskarte.

Den CCC-Experten war es gelungen, Zugang zur Telematikinfrastruktur zu erlangen, ohne dafür Netzwerke hacken zu müssen. Sie nutzten lediglich Lücken im Bestellprozess der Karten. Anschließend konnten sie unbefugt Ausweise besorgen, indem sie sich als Ärzte ausgaben und die Ausweise an falsche Adressen liefern ließen.

IT-Experten diskutieren nun die Möglichkeit, bestimmte Ausweise zu entwerten: „Es gibt keine Einzelperson oder Stelle in Deutschland, die mit Sicherheit weiß, wo sich die 115.000 Praxisausweise aktuell befinden — ob bei einem Arzt oder einem Kriminellen“, sagte Martin Tschirsich, der für die CCC-Recherchen verantwortlich ist, dem Handelsblatt.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Aufgrund des hohen ökonomischen Schadens sieht Tschirsich die Suche nach sicheren, aber pragmatischen Lösungen geboten. So müsse geprüft werden, ob statt einer Kartensperrung eine Reidentifikation der Karteninhaber in Betracht käme. So könnte ein Arzt den Erhalt seines Ausweises persönlich in der regionalen Ärztekammer bestätigen.

    In Bezug auf die Praxisausweise kommt verhaltener Zuspruch von der Kassenärztlichen Bundesvereinigung (KBV), deren Landesorganisationen für die Ausgabe der Praxisausweise zuständig sind. Die KBV teilte dem Handelsblatt mit, ein Austausch betroffener Praxisausweise sei „ein gangbares Verfahren, um Sicherheit und Praktikabilität in ein sinnvolles Verhältnis zu bringen“.

    Die für die TI verantwortliche Gesellschaft Gematik, die sich mehrheitlich im Besitz des Bundes befindet, erklärte, eine „pauschale Kartensperre“ sei nicht erforderlich: „Die Gematik wird zusammen mit den Kartenherausgebern prüfen, ob die gefundenen Schwachstellen bereits ausgenutzt wurden.“

    Für die Heilberufeausweise, die die Ärztekammern ausgeben, liegt dem Handelsblatt eine erste Schätzung der Bundesärztekammer (BÄK) zum Missbrauchspotenzial vor: „Nach erster Analyse liegt die Zahl von Anträgen mit einer nicht verifizierten Lieferadresse im einstelligen Bereich.“ Es sind also bereits Heilberufeausweise ausgegeben worden, bei denen die Verantwortlichen nicht sicher sein können, ob sie bei einem Arzt oder bei einem Unbefugten angekommen sind.

    Die Gematik betont, dass sich keine Gesundheitsdaten in Gefahr befänden, weil sich die TI noch im Aufbau befände. Rund 115.000 Ärzte sind aber bereits an das TI-Netz angeschlossen. Und die Gematik hatte bereits Mitte Dezember gemeinsam mit der Bundesnetzagentur die Kartenanbieter angewiesen, vorübergehend keinerlei Praxisausweise mehr auszugeben. Das zeigt ein Schreiben, das dem Handelsblatt vorliegt. Zudem wurden bei der Ausgabe der Heilberufeausweise bestimmte Identifizierungsverfahren gestoppt, bei denen die Sicherheitslücken aufgetaucht waren.

    Sylvia Thun, Vorsitzende des Spitzenverbands IT-Standards im Gesundheitswesen (SITiG), sagt, die Lücken, über die der „Spiegel“ und der NDR zuerst berichtet hatten, seien zum Teil schon seit 2004 bekannt: „Schon da haben wir auf unzureichende Authentifizierungsmechanismen von elektronischer Gesundheitskarte und Heilberufeausweis hingewiesen.“ Bei einem Treffen am 7. Januar will die Gematik eine Lösung mit den Kartenanbietern erarbeiten.

    In einer vorherigen Version dieses Artikels hatte es gehießen, der CCC fordere einen Austausch aller Gesundheitsausweise. Das ist so nicht korrekt.

    Mehr: Die Digitalisierung des Gesundheitswesens soll durch die Telematikinfrastruktur vorangetrieben werden. Nun hat der Chaos Computer Club Sicherheitslücken dabei aufgedeckt.

    Handelsblatt Inside Digital Health

    Dieser Beitrag ist ein Auszug aus dem exklusiven Fachbriefing Handelsblatt Inside Digital Health. Zweimal in der Woche analysieren wir dort die neuesten Entwicklungen im Bereich digitale Gesundheit.

    Zur Anmeldung geht es hier.

    Direkt vom Startbildschirm zu Handelsblatt.com

    Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

    Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

    ×