Telematikinfrastruktur

Chaos Computer Club fordert neue Prozesse für Kartenausgabe

Sicherheitsexperten des Chaos Computer Clubs haben beim eigenen Kongress Sicherheitslücken bei der Ausgabe von Heilberufeausweisen, Praxiskarten und Gesundheitskarten aufgedeckt. Nun fordert der CCC Gegenmaßnahmen.

Von Hauke Gerlof Veröffentlicht: 03.01.2020, 16:33 Uhr

Leipzig. Ein Praxisausweis ohne Identifikation des Antragsstellers, eine neue Gesundheitskarte ohne Prüfung nur auf Meldung einer Adressänderung hin oder ein Arztausweis ohne Nachweis der Identität: Die vom Chaos Computer Club (CCC) aufgedeckten Sicherheitsprobleme für die Telematikinfrastruktur basieren nicht auf technischen Sicherheitslücken.

Vielmehr sind sie auf Organisationsmängel bei den jeweils zuständigen Institutionen zurückzuführen, also bei der Kassenärztlichen Bundesvereinigung (KBV) beziehungsweise den Kassenärztlichen Vereinigungen (KVen) in Bezug auf den Praxisausweis (SMC-B), bei den Krankenkassen für die Gesundheitskarten der Versicherten und bei den Landesärztekammern, die die Ausgabe der Arztausweise verantworten.

Das hat der CCC-Kongress des Chaos Computer Clubs in Leipzig zwischen den Jahren gezeigt. Die eigentlichen Sicherheitsanker der Telematikinfrastruktur (TI), die Karten zur Authentifizierung ihrer Nutzer, funktionieren nicht, wenn die Prozesse ihrer Ausgabe nicht so abgesichert sind, dass nur berechtigte Personen in ihren Besitz kommen.

Als Konsequenz aus den entdeckten Sicherheitslücken hat der CCC jetzt einen Forderungskatalog zur „schnellen Genesung“ des deutschen Gesundheitswesens aufgestellt:

  • Zur Schadensbegrenzung empfiehlt der CCC der Betreibergesellschaft gematik, genau zu prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen.
  • Neuaufstellung der Ausgabeprozesse: Die Beantragung, die Identifikation der Antragsteller und die Ausgabe der Karten (Gesundheitskarte, Praxisausweis, Heilberufeausweis) müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden, das heißt, wesentlich besser als bisher abgesichert werden.
  • Gesundheitskarte: Die elektronische Gesundheitskarte (eGK) sollte als vollwertiger Identitätsnachweis eingesetzt werden.
  • Kontrolle der Umsetzung: Die Neuplanung und saubere Implementierung der Prozesse, die zur Ausstellung von eGK, HBA und SMC-B führen, sowie die Umsetzung sollten gut kontrolliert werden.
  • Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Der CCC fordert außerdem eine unabhängige zentrale Stelle, die für die Informationssicherheit der Telematikinfrastruktur verantwortlich ist. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern – anders als bisher – auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.

Die gematik hatte bereits vor Weihnachten, als die Schwachstellen vom CCC aufgedeckt wurden, die Ausgabe der Praxiskarten gestoppt, die in Zukunft den Zugang zur elektronischen Patientenakte gewährleisten werden. Die Kassenärztliche Bundesvereinigung (KBV)

hatte zwischen den Jahren darauf hingewiesen, dass sie froh sei, dass die Schwachstellen bereits jetzt aufgedeckt worden seien. Denn bislang sei das Missbrauchspotenzial noch sehr gering, da noch keine medizinischen Daten über die TI laufen.

Mehr zum Thema

Praxis-IT

KVWL gibt Broschüre zu Datensicherheit heraus

Nach Ausgabestopp

Praxisausweise dürfen wieder ausgegeben werden

Kommentare

Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Newsletter bestellen »

Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte, Medizinstudenten, MFA und weitere Personengruppen viele Vorteile.

Die Anmeldung ist mit wenigen Klicks erledigt.

Jetzt anmelden / registrieren »

Top-Meldungen
Wo es Lepra-Fälle in Deutschland gab

Welt-Lepra-Tag

Wo es Lepra-Fälle in Deutschland gab

Manche Patienten brauchen nur einen kleinen Schubser

Organspende

Manche Patienten brauchen nur einen kleinen Schubser

Diese Website verwendet Cookies. Weitere Informationen zu Cookies und und insbesondere dazu, wie Sie deren Verwendung widersprechen können, finden Sie in unseren Datenschutzhinweisen.  Verstanden