Telematikinfrastruktur
Chaos Computer Club fordert neue Prozesse für Kartenausgabe
Sicherheitsexperten des Chaos Computer Clubs haben beim eigenen Kongress Sicherheitslücken bei der Ausgabe von Heilberufeausweisen, Praxiskarten und Gesundheitskarten aufgedeckt. Nun fordert der CCC Gegenmaßnahmen.
Veröffentlicht:Leipzig. Ein Praxisausweis ohne Identifikation des Antragsstellers, eine neue Gesundheitskarte ohne Prüfung nur auf Meldung einer Adressänderung hin oder ein Arztausweis ohne Nachweis der Identität: Die vom Chaos Computer Club (CCC) aufgedeckten Sicherheitsprobleme für die Telematikinfrastruktur basieren nicht auf technischen Sicherheitslücken.
Vielmehr sind sie auf Organisationsmängel bei den jeweils zuständigen Institutionen zurückzuführen, also bei der Kassenärztlichen Bundesvereinigung (KBV) beziehungsweise den Kassenärztlichen Vereinigungen (KVen) in Bezug auf den Praxisausweis (SMC-B), bei den Krankenkassen für die Gesundheitskarten der Versicherten und bei den Landesärztekammern, die die Ausgabe der Arztausweise verantworten.
Das hat der CCC-Kongress des Chaos Computer Clubs in Leipzig zwischen den Jahren gezeigt. Die eigentlichen Sicherheitsanker der Telematikinfrastruktur (TI), die Karten zur Authentifizierung ihrer Nutzer, funktionieren nicht, wenn die Prozesse ihrer Ausgabe nicht so abgesichert sind, dass nur berechtigte Personen in ihren Besitz kommen.
Als Konsequenz aus den entdeckten Sicherheitslücken hat der CCC jetzt einen Forderungskatalog zur „schnellen Genesung“ des deutschen Gesundheitswesens aufgestellt:
- Zur Schadensbegrenzung empfiehlt der CCC der Betreibergesellschaft gematik, genau zu prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen.
- Neuaufstellung der Ausgabeprozesse: Die Beantragung, die Identifikation der Antragsteller und die Ausgabe der Karten (Gesundheitskarte, Praxisausweis, Heilberufeausweis) müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden, das heißt, wesentlich besser als bisher abgesichert werden.
- Gesundheitskarte: Die elektronische Gesundheitskarte (eGK) sollte als vollwertiger Identitätsnachweis eingesetzt werden.
- Kontrolle der Umsetzung: Die Neuplanung und saubere Implementierung der Prozesse, die zur Ausstellung von eGK, HBA und SMC-B führen, sowie die Umsetzung sollten gut kontrolliert werden.
- Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Der CCC fordert außerdem eine unabhängige zentrale Stelle, die für die Informationssicherheit der Telematikinfrastruktur verantwortlich ist. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern – anders als bisher – auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.
Die gematik hatte bereits vor Weihnachten, als die Schwachstellen vom CCC aufgedeckt wurden, die Ausgabe der Praxiskarten gestoppt, die in Zukunft den Zugang zur elektronischen Patientenakte gewährleisten werden. Die Kassenärztliche Bundesvereinigung (KBV)
hatte zwischen den Jahren darauf hingewiesen, dass sie froh sei, dass die Schwachstellen bereits jetzt aufgedeckt worden seien. Denn bislang sei das Missbrauchspotenzial noch sehr gering, da noch keine medizinischen Daten über die TI laufen.