8 months ago
8
Die elektronische Patientenakte (ePA) ist in dieser Woche offiziell breit in Deutschland gestartet. Wer ihr nicht widersprochen hat, erhält automatisch eine. Das Bundesgesundheitsministerium sprach zuletzt davon, dass die ePA inzwischen sicher sei und vorherige Lücken der Vergangenheit angehören. Doch Sicherheitsforscher bzw. der Chaos Computer Club (CCC) sehen das weiterhin anders. Sie unterstellen den Verantwortlichen „Flickschusterei“ und Provisorien statt dauerhafter Lösungen.
Bundesgesundheitsminister Karl Lauterbach hatte zuvor betont, die ePA werde erst starten, wenn alle Hackerangriffe unmöglich gemacht worden seien. Dieses Versprechen halte er laut CCC-Sprechern allerdings keinesfalls ein. Die Sicherheitsforscher Martin Tschirsich und Bianca Kastl, welche im Dezember 2024 die deutlichen Mängel aufzeigten, haben zuletzt immer noch Wege gefunden, Schwachstellen auszunutzen. Diese Methoden führte man dem Spiegel vor. Sie konstatieren, dass die elektronische Patientenakte weiterhin nicht die Sicherheitsanforderungen des BSIs erfülle.
So vergleichen Tschirsch und Kastl die zusätzlichen Sicherheitsmaßnahmen damit, dass jemand ein zusätzliches Vorhängeschloss an einer Tür angebracht habe, den Schlüssel dafür aber zu den anderen unter die Fußmatte lege. Sie wiesen eine Methode nach, um weiterhin an Patientendaten zu gelangen. Nachdem die verantwortliche Gematik Mittwoch informiert wurde, ergriff diese immerhin direkt eine Notmaßnahme.
Diese Angriffsmethoden wurden verkompliziert
Grundsätzlich hat die Gematik Rate Limits eingeführt: So dürfen Ärzte, Apotheken, Krankenhäuser und Co. pro Stunde und pro Monat nur eine begrenzte Menge an zeitlich eingeschränkten Zugriffsbefugnissen einfordern. Krankenhäuser können z. B. maximal 200.000 Befugnisse im Monat einfordern. 10.000 sind es bei einer kleineren Zahnarztpraxis. Grundsätzlich hebelt das aber Angriffe nicht aus, sondern beschränkt nur quantitativ den möglichen Schaden durch eine Attacke.
Um auf die ePA zuzugreifen, sind dabei vier Dinge notwendig:
- Zugang zur Telematik-Infrastruktur, also auf das gesicherte Netzwerk
- die Gesundheitskartennummer eines Versicherten
- die Krankenversichertennummer des jeweiligen Versicherten
- den Hash Check Value (HCV) als Prüfwert
Letzterer wird nach einem öffentlich dokumentierten Verfahren errechnet – und zwar aus Datum des Versicherungsbeginns sowie Straße und Hausnummer der Wohnadresse des Versicherten. Am schwierigsten wäre es da, das Datum des Versicherungsbeginns zu erlangen, so zumindest war die Annahme der Gematik. Doch die erwähnten Sicherheitsforscher Tschirsch und Kastl fanden eine Methode, dies auszuhebeln: über die sogenannte elektronische Ersatzbescheinigung, welche diese Information enthält. Diese dient eigentlich dazu, dass z. B. Arztpraxen einen Versicherten temporär abrechnen können, wenn er seine Gesundheitskarte vergessen oder verloren hat.
Die Sicherheitsforscher entwickelten da innerhalb weniger Stunden eine App, mit der sie solche elektronischen Ersatzbescheinigungen automatisiert von Krankenkassen abfragen konnten, wenn sie bereits die Krankenversichertennummer einer Person sowie die öffentliche Kennziffer ihrer Krankenkasse kannten. So konnte quasi in Sekundenschnelle der letzte, fehlende Wert zur Berechnung des HCV ergaunert werden. Dies führte man dem Spiegel am Beispiel eines eigenen Redakteurs vor.
ePA: Angriffe sind zwar kompliziert, aber dennoch für Hacker lohnenswert
Dabei geben die Sicherheitsexperten zu, dass die Schnittstelle für elektronische Ersatzbescheinigungen noch recht jung und für Praxen optional sei. Das werde sich aber mittelfristig ändern, sodass es sich hier um einen gangbaren Angriffsvektor handele. Die notwendige Hardware samt Zugangsdaten und Zubehör für den Zugriff auf die Telematik-Infrastruktur könne man teilweise einfach auf Portalen wie Kleinanzeigen.de kaufen. Eine Hürde ist natürlich, direkt an die Gesundheitskartennummer und die Krankenversichertennummer einer Person zu kommen, die direkt auf Krankenkassenkarten vermerkt sind. Allerdings lassen sich da teilweise Kundendienstmitarbeiter von Krankenkassen am Telefon einlullen. Tschirsch ließ sich so beispielsweise einfach die Karte seines Vaters zuschicken – und erhielt sogar von der Krankenkasse später dessen PIN frei Haus. Auch da muss man aber natürlich zumindest einige Angaben des Versicherten kennen.
Einfacher haben es Kriminelle, wenn sie sich der durchgesickerten Kartendaten von Versicherten bedienen. 2023 gelangten etwa aufgrund eines Hacks des IT-Dienstleisters Bitmarck die Daten von 300.000 Versicherten ins Netz. Wie ihr seht, gibt es aber eben dennoch einige Hürden, um wirklich auf die ePA von Dritten zuzugreifen. Die Gematik hat nun erst einmal in dieser Woche als Reaktion auf die neuen Erkenntnisse die Anforderung der erwähnten, elektronischen Ersatzbescheinigung deaktiviert. Der CCC-Sprecher Linus Neumann attestiert den Zuständigen jedoch aktuell, mit „Flickschusterei“ provisorische Lösungen aufzubauen, ohne den Kern des Problems anzugehen.
Kastl und Tschirsch bemängeln, dass man in der Entwicklung und Kommunikation zur ePA seitens der Zuständigen zu intransparent geblieben sei und sich um unabhängige Risikobewertungen gedrückt habe. Letzten Endes hätte das alles nicht so laufen müssen. Zu betonen ist: Es gibt bisher keine Anzeichen auf die erfolgreiche Durchführung von Angriffen durch Kriminelle und die Wahrscheinlichkeit ist eher gering, dass demnächst eure Gesundheitsdaten im Netz landen – sie ist aber eben vorhanden. Da gilt es also abzuwägen: Was ist größer, der Nutzen, den ihr aus der ePA ziehen könnt, oder euer Sicherheitsbedürfnis?
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
