Ärzte Zeitung online, 25.05.2011

Sicherheitsmängel bei der E-Card?

BERLIN (dpa/reh). Bei der elektronischen Gesundheitskarte gibt es nach einem Zeitungsbericht womöglich eine neue Sicherheitslücke.

Sicherheitsmängel bei der E-Card?

Sicherheitsprobleme im Kartenleser? Zunächst gilt Entwarnung.

© dpa

Computer-Hacker könnten im schlimmsten Fall sensible Patientendaten ausspähen, schreibt der "Münchner Merkur" am Mittwoch unter Berufung auf einen ihm vorliegenden internen Bericht der Betreibergesellschaft Gematik. Schwachstelle sei offenbar die Software der neuen Kartenlesegeräte in den Arztpraxen, berichtete die Zeitung.

Sollte es Angreifern gelingen, dort Spionage-Programme zu installieren, könnten sie die persönliche PIN-Nummer des Patienten ausspähen und auf dessen Daten etwa über Vorerkrankungen zugreifen.

Allerdings wird die PIN-Eingabe im Basis-Rollout der elektronischen Gesundheitskarte (eGK), der ab Oktober bundesweit startet, noch gar nicht genutzt. Ganz einfach, weil im ersten Gang des Rollouts die Kartenleser nicht mehr machen, als die neue Karte einzulesen und die Versichertenstammdaten wie gewohnt ans Praxisverwaltungssystem (PVS) weiterzugeben.

Erst wenn die Online-Anwendungen der eGK kommen, etwa die elektronische Patientenakte, wird eine Berechtigung des Zugriffs durch die Eingabe der Versicherten-PIN notwendig. Das heißt, es bleibt noch ausreichend Zeit, eine mögliche Software-Lücke zu schließen.

Zumal die neuen Kartenleser ohnehin später durch Software-Updates überhaupt online-fähig gemacht werden. Und: Kommen die Online-Anwendungen wird zusätzlich ein Konnektor, der eine sichere Verbindung zur Telematik-Infrastruktur herstellt, zwischengeschaltet.

Außerhalb von sicheren Verbindungen sollten die Praxisrechner aber auch sonst nicht online gehen, so der ausdrückliche Hinweis der KBV in ihren "Anforderungen an die Hard- und Software in der Praxis".

Nach Auskunft der KBV sind offenbar Patientendaten durch die Lücke gar nicht betroffen. Wie Kassenärztliche Bundesvereinigung (KBV), Bundesärztekammer (BÄK), Kassenzahnärztliche Bundesvereinigung (KZBV) und Bundeszahnärztekammer (BZÄK) in einer gemeinsamen Mitteilung klarstellen, hätten Routinetests eine Schwachstelle bei den eHealth-BCS-Terminals aufgedeckt.

Über diese könnten Hacker theoretisch von außen an die PIN des Arztes gelangen - allerdings müssten sie den Weg über den Praxis-PC gehen.

Ausschließlich, wenn ein Angreifer zusätzlich in den Besitz des Heilberufeausweises des Arztes gelange, könne er Geschäfte in dessen Namen tätigen, heißt es weiter. Patientendaten seien überhaupt nicht betroffen. Bislang sei diese Schwachstelle aber folgenlos geblieben.

Nichtsdestotrotz fordern KBV, BÄK, KZBV und BZÄK von den Herstellern der Kartenleser, die Schwachstelle umgehend zu beheben. Den Ärzten, Zahnärzten und Psychotherapeuten dürften dadurch keine Zusatzkosten entstehen.

Womit allerdings auch nicht zu rechnen ist, wenn sich die Lücke durch ein Update schließen lässt. Zumal die Mehrheit der Ärzte die neuen Terminals ja noch gar nicht in den Praxen hat. Ärztevertreter sagen, dass etwa zehn Prozent der Praxen bereits über die neuen Geräte verfügen. Und nur ein sehr geringer Anteil dieser Ärzte und Zahnärzte nutze diese zusammen mit einem Heilberufeausweis.

Das heißt, die Hersteller können problemlos Updates aufspielen bzw. schon im Produktionsprozess eine Software ohne Lücken aufspielen. Dass sie deshalb die Preise der Geräte erhöhen, ist unwahrscheinlich, denn hier orientieren sich die Hersteller an den Pauschalen die die Ärzte von den Kassen erhalten - und die sind in ihrer Höhe fix und bleiben es auch.

Druck machen die Ärztevertreter trotzdem: Sollte sich abzeichnen, dass eine der beiden Bedingungen nicht erfüllt werden könne, müsse man einen Stopp des Basis-Rollouts der Terminals prüfen, schreiben sie in ihrer Mitteilung.

[26.05.2011, 09:52:25]
Dr. Gunter Pollanz 
Sicherheitsmängel bei der eGK?
Die uns vorliegenden Unterlagen, wie das gematik System in Zukunft mit Patientendaten umgehen wird (dabei handelt es sich um noch nicht erstellte oder veröffentlichte und schon gar nicht installierte Applikationen innerhalb des gematik IT Systems)schliesst eine Gefahr für die Daten, sofern diese beim Arzt System, auf der Online Akte oder auf dem dezentralen Datenträger in Besitz des Patienten verschlüsselt vorgehalten werden, aus.
Die KBV spricht korrekt davon, dass die Patientendaten von dem technichen Problem bei den Kartenlesegeräten gar nicht betroffen sind.
In der nun im Auftrag des BMG gemeinsam mit der BÄK und Fraunhofer in der Entwicklung befindlichen Systematik der Eingliederung des dezentralen Datenträgers in den Händen der Patienten wird dieses Problem explizit berücksichtig.
Das schließt zugleich die Binsenwahrheit ein, dass Daten die auf einem dezentralen Datenträger in der Brieftasche des Patienten lagern, grundsätzlich sicher und nicht angreifbar sind.
GP  zum Beitrag »

Schreiben Sie einen Kommentar

Überschrift

Text

Im Sushi war der Wurm drin

Der Hinweis aufs Sushi brachte die Ärzte auf die richtige Spur. Statt den Patienten wegen Verdachts auf akutes Abdomen zu operieren, führten sie eine Gastroskopie durch. mehr »

Berichte, Videos und Tweets rund um den Deutschen Ärztetag

Begleiten Sie den 120. Deutschen Ärztetag in Freiburg mit uns online. Die "Ärzte Zeitung" berichtet vom 23.-26.5. live und aktuell über alle wichtigen Ereignisse und Debatten. mehr »

Importierte Infektionen führen leicht zu Diagnosefehlern

Wann muss ein Arzt für eine Fehldiagnose gerade stehen? In einem aktuellen Fall entschied das Oberlandesgericht Frankfurt gegen einen Arzt. mehr »