Gesundheitspolitik

Wie sicher ist die Telematikinfrastruktur?

Chaos Computer Club beschafft sich Heilberufsausweise, Praxisausweise und elektronische Versicherungskarten

TRAUNSTEIN (cha) | Eine verspä­tete Weihnachtsüberraschung präsentierte der Chaos Computer Club (CCC) bei seinem Kongress am 27. Dezember. Dort wurde gezeigt, wie sich CCC-Sicherheitsforscher Zugangsberechtigungen für das Telematik-Netzwerk verschafften, an das über 115.000 Arztpraxen angeschlossen sind.

Die Digitalisierung des Gesundheitswesens wird in diesem Jahr gewaltige Fortschritte machen. Das E-Rezept und die elektronische Patientenakte stehen in den Startlöchern. Umso wichtiger ist, dass der Datenschutz für die sensiblen Gesundheitsdaten gewährleistet ist. Dass hier offenbar noch Nachholbedarf besteht, bewies einmal mehr der Chaos Computer Club bei seinem Kongress in Leipzig mit dem Vortrag „Hacker hin oder her: Die elektronische Patientenakte kommt!“ (kann auf der Website des CCC abgerufen werden). Dort wurde gezeigt, wie es CCC-Sicherheitsforschern gelang, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Damit konnten sie anschließend auf Anwendungen der Telematikinfrastruktur und Gesundheits­daten von Versicherten zugreifen.

Insbesondere kritisiert der CCC Mängel bei der Identifikation des Antragstellers. So wurde bei der Ausgabe der Praxisausweise (SMC-B) auf eine Identifikation des Antragstellers vollständig verzichtet und es war möglich, den Ausweis nicht zur Praxis, sondern an eine andere Adresse schicken zu lassen. Auch bei der Ausgabe der elektronischen Heilberufsausweise (HBA) kamen laut CCC völlig ungeeignete Identifikationsverfahren zum Einsatz. Als Folge dieser Sicherheitsmängel könnten Angreifer u. a. Inhalte der für diese Praxis freigegebenen Patientenakten lesen oder Rezepte signieren. Deshalb fordert der CCC die Entwertung schon ausgegebener Heilberufs- und Praxisausweise. „Es gibt keine Einzelperson oder Stelle in Deutschland, die weiß, wo sich die 115.000 Heilberufs­ausweise aktuell befinden – ob bei einem Arzt oder einem Kriminellen“, sagte Martin Tschirsich vom CCC dem „Handelsblatt“.

Gematik will mit dem CCC zusammenarbeiten

„Wir vernetzen das Gesundheitswesen. Sicher.“ – so steht es in großen Buchstaben auf der Website der Gematik, die für den Aufbau der Telematikinfrastruktur zuständig ist. In ihrer Presseerklärung zu den Enthüllungen des CCC wird betont, dass die auf­gedeckten Sicherheitsmängel „momentan KEINE GEFAHR für die Sicherheit der Patientendaten“ darstellten, da noch keine Behandlungsdaten gespeichert würden. Die Ausgabe von elektronischen Praxisausweisen sei gestoppt worden, bei den Heilberufsausweisen gelte das PostIdent-Verfahren nach aktuellem Kenntnisstand als sicher und könne weiter genutzt werden. Eine pauschale Kartensperre hält die Gematik derzeit für nicht erforderlich. Stattdessen will sie „zusammen mit den Kartenherausgebern prüfen, ob die gefundenen Schwachstellen bereits ausgenutzt wurden“. Zudem hat die Gematik alle Kartenherausgeber zu einem Treffen im Januar 2020 eingeladen, um gemeinsam „über Maßnahmen zur Verbesserung der Beantragungs- und Herausgabeprozesse“ zu entscheiden. Darüber hinaus kündigt die Pressemeldung an, die Gematik werde „aktiv auf die Mitglieder des Chaos Computer Clubs zugehen, um gemeinsam die Sicherheit der Telematikinfrastruktur weiter zu optimieren“.

Wie sicher sind die Ausweise der Apotheker?

Bei den Apothekern läuft die Ausgabe der Ausweise erst an. Doch offenbar ist man hier mehr auf Sicherheit bedacht als auf der Ärzteseite. So wird bei der Apothekerkammer Mecklenburg-Vorpommern erst einmal bei der zustän­digen Behörde geklärt, ob dem Antragsteller für einen Heilberufsausweis überhaupt eine Approbation erteilt wurde. Erst wenn dies bestätigt wurde, kann der Ausweis beim qualifizierten Vertrauensdiensteanbieter (qVDA) bestellt werden. Die dabei im Rahmen des Identifikationsverfahrens erfasste Adresse aus dem Personalausweis wird dann von der Kammer mit ihren eigenen Daten abgeglichen und eventuelle Unstimmigkeiten werden abgeklärt.

Auch bei der Landesapothekerkammer Baden-Württemberg sieht man keine Sicherheitsprobleme. Geschäftsführer Dr. Karsten Diers erklärte auf Nachfrage gegenüber der AZ, dass zur Sicherheitslücke bei der Ausgabe von HBA und SMC-B nur unzureichende Informationen vorlägen und sich angeblich die Identifizierungsverfahren Kammer-Ident und Bank-Ident als manipulierbar gezeigt hätten. „Ein solcher Hack ist aber im System der LAK unwahrscheinlich, da keins der genannten Ident-Verfahren zum Einsatz kommt und der Antrag ausschließlich auf der Seite der LAK BW gestellt werden kann, die einen Abgleich mit den vorhandenen Mitgliedsdaten vornimmt und den Antrag nur bei völliger Übereinstimmung zum qualifizierten Vertrauensdiensteanbieter (qVDA) weiterleitet. Bei Unstimmigkeiten wird der Antragsteller kontaktiert und ein Nachweis angefordert. Insofern dürften keine unrechtmäßigen Ausweise ausgestellt werden“, so Diers weiter. |

AZ 2020, Nr. 1-2, S. 3, 06.01.2020

Seite drucken
Startseite

Das könnte Sie auch interessieren

Wie wahrscheinlich sind Sicherheitslücken beim Apothekerausweis?

Nach Enthüllungen des CCC

Wie wahrscheinlich sind Sicherheitslücken beim Apothekerausweis?

Was passiert mit den schon ausgegebenen Arztausweisen?

Sicherheitslücken im Bestellprozess

Was passiert mit den schon ausgegebenen Arztausweisen?

Ausgabe der Institutionsausweise für die TI soll weitergehen

Nach Aufdeckung von Sicherheitslücken

Ausgabe der Institutionsausweise für die TI soll weitergehen

Startschuss für die TI-Karten

HBA und SMC-B jetzt bestellen

Startschuss für die TI-Karten

HBA für angestellte Apotheker – so geht’s

Antrag und Erstattung

HBA für angestellte Apotheker – so geht’s

Startschuss für den Gematik-Verzeichnisdienst

Digitales Adressbuch

Startschuss für den Gematik-Verzeichnisdienst

TI-Anbindung der Apotheken rückt näher

Heilberufsausweis und Institutionskarte

TI-Anbindung der Apotheken rückt näher

Ausgabe von Praxis- und Arztausweisen gestoppt

Wegen Datenleck

Ausgabe von Praxis- und Arztausweisen gestoppt

Institutionsausweis: Apobank-Tochter Medisign als Anbieter zugelassen

Telematikinfrastruktur

Institutionsausweis: Apobank-Tochter Medisign als Anbieter zugelassen

HBA nur in einem Kammerbezirk nutzbar?

TI-Anbindung

HBA nur in einem Kammerbezirk nutzbar?

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.

INTERPHARM

Real-World-Daten zeigen Mehrwert von Cineol gegenüber Nasenspray-Monotherapie bei Rhinosinusitis
Aktuelle Ausgabe
NR. 17
Cover Jetzt online lesen
Aktuelle Ausgabe
NR. 51-52
Cover Jetzt online lesen
Meist gelesen
Meist kommentiert

Meist gelesen

Seit Genusscannabis legal ist, ist die Nachfrage nach Medizinalcannabis in die Höhe geschnellt. (Foto: Schelbert)

Ansturm der Cannabis-Privatrezepte
Vielen Landapotheken droht die Schließung, weil sich keine Nachfolger für die Inhaber finden. (Foto: IMAGO / Funke Foto Services) 

Ist die Landapotheke ein Mythos?
Bei Schwangeren und Stillenden muss die tägliche Aufnahme von Estragol unter 0,05 mg/Person pro Tag liegen. (Symbolfoto: luna / AdobeStock)

Kein Fencheltee in Schwangerschaft, Stillzeit und unter vier Jahren
„Nicht die einfachen Wege gehen!“, das fordert der Verfassungsrechtler Prof. Udo Di Fabio. (Foto: ABDA/Wagenzik)

Ende des Präsenzapothekers: Staat würde gegen seine Schutzpflicht verstoßen
(Foto: IMAGO / Guido Schiefer)

Betriebsergebnis: Teils weniger als ein Krankenhausapothekergehalt

Meist kommentiert

Vielen Landapotheken droht die Schließung, weil sich keine Nachfolger für die Inhaber finden. (Foto: IMAGO / Funke Foto Services) 

Ist die Landapotheke ein Mythos?
Was fällt dem BMG als Antwort auf das Skonto-Urteil des Bundesgerichtshofs ein?  (Foto: IMAGO / photothek)

Was bewegt sich in der Skonto-Frage?
Wie stabil ist Paxlovid? Stabilitätsanalysen geben Auskunft. (Foto: Mike Mareen/AdobeStock)

Wie lange ist Paxlovid haltbar?
Die Ständige Impfkommission (STIKO) empfiehlt in Deutschland allen Personen ab 60 Jahren als Standardimpfung sich jährlich im Herbst gegen Influenza impfen zu lassen. (Foto: oneinchpunch / AdobeStock)

Ab Grippe-Saison 2024/2025: Lebendimpfstoffe am besten nur noch trivalent
Den Krankenkassen und damit der Solidargemeinschaft entstehen Jahr für Jahr beachtliche Schäden durch Betrug. (Foto: IMAGO / Funke Foto Services)

AOK Rheinland/Hamburg: Schaden von 4,87 Millionen durch Betrug und Korruption

Apotheken-Protest
Article teaser image

Schlafstörungen

» Zu den Artikeln
Handverkauf

Pharmazeutische Dienstleistungen

via-Studie

Bürokratiekosten bei 
GKV-Rezepten

Impfen in Apotheken
Article image

Rezeptur

In der Schwebe halten

Wirkstoffe in oralen Suspensionen optimal verarbeiten

» mehr
DAZ Abo

Lernen und Punkten »

Pädiatrie

Für eine unbeschwerte Kindheit

Für eine unbeschwerte Kindheit