CCC-Kongress in Leipzig

Sicherheitslücken bei E-Arztausweis und SMC-B aufgedeckt

Sind die Ausgabeprozesse von elektronischen Arzt- und Praxisausweisen sowie von Gesundheitskarten unsicher? Beim Kongress des Chaos Computer Clubs in Leipzig sind Sicherheitslücken aufgedeckt worden.

Veröffentlicht: 27.12.2019, 20:32 Uhr
Sicherheitslücken bei E-Arztausweis und SMC-B aufgedeckt

Kritisches Datenleck - bei den elektronischen Chipkarten für das Gesundheitssystem soll es inzwischen wieder gestopft worden sein, heißt es.

© phive2015 / stock.adobe.com

Leipzig. Die Bestellprozesse für elektronische Arztausweise, Praxis-Ausweise (SMC-B) und Gesundheitskarten scheinen erhebliche Lücken aufzuweisen. Sicherheitsexperten des Chaos Computer Clubs haben es geschafft, alle drei für den Zugang zur Telematikinfrastruktur (TI) relevanten Karten jeweils über einen Dritten zu bestellen und an eine Wunschadresse liefern zu lassen.

Die Experten konnten zudem einen Konnektor im Internet ordern. Der Konnektor dient dazu, die Verbindung von Primärsystemen wie der Praxis-EDV zur TI herzustellen. „Tagesschau.de“ und „spiegel.de“ haben zuerst über den Vorgang berichtet, der am Freitagnachmittag beim CCC-Kongress in Leipzig dargestellt worden ist.

Für die Ausgabe der Arztausweise sind die Ärztekammern zuständig, für die SMC-B die Kassenärztlichen Vereinigungen und für die Gesundheitskarten die Krankenkassen. Mit Hilfe der drei Karten kann auf Daten in der Telematikinfrastruktur zugegriffen werden. Zusammen mit einem zuvor manipulierten Konnektor wäre es eventuell sogar denkbar, Schadsoftware in die TI einzuschleusen.

Falsch konfigurierter Server

Nach dem Bericht haben die Experten unter anderem ein Datenleck bei medisign, einem Hersteller der elektronischen Chipkarten, entdeckt. Demnach seien an einem Tag im Oktober die persönlichen Daten von 168 Ärzten, die kurz zuvor ihren Antrag auf den elektronischen Arztausweis gestellt hatten, frei im Internet zugänglich gewesen.

Nach Informationen des CCC an den Anbieter sei das Leck dann sofort gestopft worden. Auf Anfrage bestätigte medisign-Geschäftsführer Armin Flender den Vorgang. Der Server sei falsch konfiguriert gewesen, das Problem habe dann „binnen Minuten“ gelöst werden können.

Sicherheitslücken struktureller Art, nicht nur bei einem Anbieter, gebe es aber auch beim PostIdent-, BankIdent- und KammerIdent-Verfahren, über das der Arztausweis bestellt werden kann.

Hier, so Armin Flender, handele es sich allerdings um einen „internen Angriff“, weil die Bestellung von Arztausweis und Praxiskarte vorgeblich über zwei tatsächlich existierende Ärzte gelaufen sei. Einer der beiden Ärzte, ein niedergelassener Anästhesist, ist Mitglied des Chaos Computer Clubs und gehörte beim CCC zu den Experten, die über die Sicherheitslücken beim Kongress berichteten.

Sicherheitslücke abweichende Lieferadresse

Die Karten seien auf Wunsch des vorgeblich bestellenden Arztes dann an eine abweichende Lieferadresse geschickt worden. „Tagesschau.de“ titelte daraufhin „Arztausweis landet an der Käsetheke“, wo der Postbote die Chipkarte dann tatsächlich abgeliefert habe.

Dieses Verfahren sei aus Gründen der komfortableren Handhabung für Ärzte für alle Kartenhersteller mit den Körperschaften abgestimmt gewesen, erläuterte Armin Flender im Gespräch mit der „Ärzte Zeitung“, „wir haben uns regelkonform verhalten“.

Die Kartenausgabe sei nun allerdings bis Jahresende gestoppt worden. Da über Arztwebsites, Privatrechnungen und mit einem Kassenrezept viele Daten von Ärzten transparent sind, bis hin zur Betriebsstättennummer der Praxis und der LANR des Arztes, berge die Angabe einer abweichenden Lieferadresse ein zu hohes Risiko für Missbrauch.

Derzeit noch begrenztes Missbrauchspotenzial

Bislang ist das Missbrauchspotenzial in der TI noch begrenzt, da zurzeit nur Versichertenstammdaten über das Netz gehen. Auch die E-Arztausweise von medisign lassen sich in der aktuell ausgegebenen Version noch nicht für Vorgänge in der Telematikinfrastruktur nutzen. Sobald die Feldversuche für den E-Medikationsplan und den Notfalldatensatz beginnen, würde das Missbrauchspotenzial allerdings deutlich wachsen.

Hingewiesen wurde beim CCC-Kongress auch auf die Gefahren durch Falschbestellungen bei elektronischen Gesundheitskarten. Die Bestellung bei der zuständigen Krankenkasse läuft bislang ohne PostIdent-Verfahren, der Versand erfolge ohne Einschreiben. Die Karte kann in Zukunft dazu genutzt werden, auf die medizinischen Daten des Inhabers zuzugreifen. (ger)

Mehr zum Thema

Ausgabe von SMC-B

Zahnärzte schneller als Kassenärzte

Sicherheit bei Telematikinfrastruktur

Spahn: CCC-Hacker sollen sich ePA vornehmen

Telematikinfrastruktur

Praxisausweise bald wieder verfügbar

Kommentare

Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Newsletter bestellen »

Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte, Medizinstudenten, MFA und weitere Personengruppen viele Vorteile.

Die Anmeldung ist mit wenigen Klicks erledigt.

Jetzt anmelden / registrieren »

Top-Meldungen
Mehr Spermien dank Fischöl?

Urologie

Mehr Spermien dank Fischöl?

Sturmlauf gegen Notfall-Reformpläne

Deutsche Krankenhausgesellschaft

Sturmlauf gegen Notfall-Reformpläne

Diese Website verwendet Cookies. Weitere Informationen zu Cookies und und insbesondere dazu, wie Sie deren Verwendung widersprechen können, finden Sie in unseren Datenschutzhinweisen.  Verstanden