Ärzte Zeitung, 27.05.2011

Sicherheitslücke bei Kartenlesern: Jetzt wird die PIN geprüft

"Unter Hochdruck" will die gematik die Voraussetzungen für die mögliche Sicherheitslücke finden. Erste Hersteller geben indes Entwarnung.

Sicherheitslücke bei Kartenlesern: Jetzt wird die PIN geprüft

Wird der Heilberufeausweis mit den neuen stationärenTerminals genutzt, könnte theoretisch die PIN des Arztes ausgespäht werden.

© Deutsche Telekom

NEU-ISENBURG (reh). Die mögliche Sicherheitslücke bei den neuen stationären Kartenlesern hat in den vergangenen Tagen für viel Wirbel gesorgt.

Am Freitag meldete dann auch die gematik, die für die Tests und Bereitsstellung der Telematikinfrastruktur für die Gesundheitskarte zuständig ist, dass sie "unter Hochdruck" prüfe, unter welchen Bedingungen und bei welchen Anwendungen diese Schwachstelle auftrete.

Den Auftrag dazu habe sie von der Gesellschafterversammlung, in der unter anderem KBV, BÄK und GKV-Spitzenverband vertreten sind, erhalten, nachdem vergangene Woche bekannt geworden war (wir berichteten), dass es nach Aussagen der gematik bei den derzeit am Markt befindlichen stationären eHealth-BCS-Terminals eine potentielle Schwachstelle gebe.

Über diese solle es theoretisch möglich sein, über die Praxis-EDV die PIN des ärztlichen Heilberufeausweises (HBA) auszuspähen. Bei den nun laufenden Prüfungen würden auch das Bundesgesundheitsministerium sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) einbezogen.

Zudem sei die gematik beauftragt worden, über die Funktionen des Basis-Rollouts hinaus in ihre derzetigen Tests auch die Funktionalität der PIN-Nutzung einzubeziehen.

Die ersten Hersteller, die CCV Deutschland GmbH und die ZF Electronics GmbH, die die Cherry-Geräte vertreibt, gaben indes Entwarnung. Die genannte Sicherheitslücke basiere nicht auf einer fehlerhaften Firmware der Terminals, sondern auf den für eHealth-BCS-Geräte vorgeschriebenen Spezifikationen.

Die Sicherheit der Terminals sei mit gematik und BSI abgestimmt. Spätestens mit dem für die Online-Phase nötigen Update werde die mögliche Lücke geschlossen. Zudem sollten Ärzte, die den HBA für die Online-Abrechnung einsetzten laut ZF ohnehin auf ein für die Signatur zugelassenes Zweitgerät ausweichen.

Dieses Vorgehen nutzen etwa 95 Prozent der Online-Abrechner in Nordrhein, wie die KV Nordrhein (KVNo) mitteilt. KV-Vize Dr. Peter Potthoff fordert aber gerade für seine Region, dass den Ärzten schnellstmöglich und kostenfrei ein Update zur Verfügung gestellt werde.

Denn in Nordrhein, wo der Basis-Rollout seit 2009 abgeschlossen sei, verfügten zwei Drittel der Praxen bereits über die neuen Geräte. "Die Kosten für diese Anpassung können keinesfalls die Praxen tragen", sagte Potthoff. Er wolle darüber in Kürze mit den Kassen verhandeln.

Bis zu einer technischen Lösung empfiehlt Potthoff den wenigen nordrheinischen Ärzten, die die eHealth-BCS-Terminals für den elektronischen Heilberufeausweis mitnutzen, bei der Online-Abrechnung auf die HBA-signierte elektronische Gesamtaufstellung zu verzichten und die Online-Abrechnung mit papierner Gesamtaufstellung einzureichen.

Schreiben Sie einen Kommentar

Überschrift

Text

Gefälschter Gentest-Befund narrt Ärzte

Auch einem Gentest darf man nicht immer glauben, zumindest nicht dem Papier mit dem Befund. Denn das lässt sich leicht manipulieren. So machte eine Patientin aus "keine Mutation" mal eben "eine Mutation". mehr »

Wenn Kinder zu erwachsenen Patienten werden

Die bessere Vernetzung spezialisierter Zentren ist nur ein Schritt, um junge Patienten mit seltenen Erkrankungen optimal zu behandeln. Zu selten wird noch ein strukturierter Übergang von der Kinder- in die Erwachsenenmedizin bedacht. mehr »

Fasten wird immer beliebter

Noch sind viele im Faschingstaumel. Doch wenn am Aschermittwoch die Fastenzeit beginnt, sind viele Deutsche bereit, sich sieben Wochen im Verzichten zu üben. Fasten-Favorit ist Alkohol. mehr »