CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können. Im Falle der eGK gelang dies bereits zum wiederholten Male.

Die Diagnose

• Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation des Antragstellers vollständig verzichtet. Ein Angreifer kann so Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit Einführung der elektronischen Patientenakte kann der Angreifer die vollständigen Inhalte der für diese Praxis freigegebenen Patientenakten einsehen.
• Bei Ausgabe der elektronischen Heilberufsausweise (HBA) kommen völlig ungeeignete Identifikationsverfahren zum Einsatz. Angreifer im Besitz eines eHBA können damit nicht nur Rezepte, sondern beliebige Dokumente signieren.
• Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die Identifikation des Antragstellers ebenfalls völlig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen möglich, in der die durchgeführten ärztlichen Leistungen verzeichnet sind. Schon in naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den elektronischen Medikationsplan und den Notfalldatensatz sowie die elektronische Patientenakte ermöglicht werden.

Die Ergebnisse präsentiert der CCC-Sicherheitsexperte Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim diesjährigen Chaos Communication Congress (36C3) in Leipzig. Der Vortrag kann im Live-Stream verfolgt werden und ist anschließend unter media.ccc.de verfügbar.

Die Ursachen

• Das Konstrukt der gematik: Die Gesellschafter der gematik sind gleichzeitig von der gematik zu kontrollierenden Unternehmen.
• Nachlässigkeit: Vernachlässigung der Sicherheit organisatorischer Abläufe bei Umsetzung und Zulassung.
• Mangelnde Prüfung: Relevante Prozessschritte wurden nicht durch die gematik geprüft.
• Verantwortungsdiffusion bei den beteiligten Unternehmen und Institutionen: Nicht nur im Bundesministerium für Gesundheit sprach man hinter vorgehaltener Hand von "organisierter Verantwortungslosigkeit", weil die beteiligten Unternehmen sich gegenseitig die Schuld für Probleme zuschoben.

Der CCC verschreibt

• Schadensbegrenzung: Die gematik muss jetzt prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen.
• Zuverlässige Kartenbeantragungs- und herausgabeprozesse: Beantragung, Identifikation und Ausgabe müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden.
• Volle Umsetzung der eGK als Identitätsnachweis.
• Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von eGK, HBA und SMC-B führen sowie Kontrolle der Umsetzung.
• Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.

Wir wünschen dem deutschen Gesundheitswesen eine schnelle Genesung!

Hintergrundinformation

Was ist die Telematik-Infrastruktur

Weitgehend unbemerkt von der Öffentlichkeit ist inzwischen die digitale Vernetzung des deutschen Gesundheitswesens weit fortgeschritten. Über 115.000 Arzt- und Zahnarztpraxen sind inzwischen an ein virtuelles Netzwerk – die sogenannte Telematik-Infrastruktur – angeschlossen. Dazu wurden diese Praxen mit Spezialhardware und elektronischen Praxisausweisen ausgestattet.

Damit ist der Weg frei für die Einführung weiterer Anwendungen: Ab der ersten Jahreshälfte 2020 werden die elektronischen Notfalldaten, der elektronische Medikationsplan sowie das sichere Kommunikationsverfahren zwischen Leistungserbringern erwartet. Am 1. Januar 2021 folgt dann die elektronische Patientenakte und somit der Einstieg in die vollständige Digitalisierung unserer Gesundheitsdaten.

Technische Details

Zur Gewährleistung der Sicherheit der Telematikinfrastruktur und dar­auf aufbauender Anwendungen wie der elektronischen Patientenakte ist die „zuverlässige und eindeu­tige Identifikation“ aller Teilnehmer „zwingend notwendig“.

Teilnehmer sind insbesondere Versi­cherte, Leistungserbringer wie Ärzte und Leistungserbringerinstitutionen wie Arztpraxen und künftig Krankenhäuser und Apotheken.

Sämtliche Zugriffe auf die Telematik-Infrastruktur werden anhand kryptografischer Identitäten gesichert.

Hierzu soll ein Trust Service Provider (TSP) nach sicherer Identitätsprüfung eines Teilnehmers dessen kryptographische Identität - bestehend aus privatem Schlüssel und Zertifikat - erzeugen und rechtsverbindlich mit dessen realer Identität verknüpfen. Die kryptographische Identität wird auf einer Chipkarte wie der Gesund­heitskarte (eGK), dem Praxisausweis (SMC-B) oder dem Heilberufsausweis (eHBA) gespeichert.

Identitätsmissbrauch auf Grundlage erschlichener kryptographischer Identitäten stellt eine unmit­telbare Bedrohung für den Vertrauensraum der TI und somit für die Sicherheit der auf der TI aktu­ell und zukünftig laufenden Anwendungen wie der elektronischen Patientenakte (ePA) dar: „Die Korrektheit der Kartenherausgabeprozesse ist – wie bei nahezu allen digitalen Pro­zessen in der TI – notwendige Voraussetzung“ schreibt die gematik in ihrer Spezifikation.

Dass diese notwendige Vorraussetzung nicht erfüllt ist, konnten die Sicherheitsforscher des CCC mit einfachen, rein nichttechnischen Mitteln zeigen.