Reaktionen auf CCC-Veröffentlichung

TI-Sicherheitsmängel – erste Konsequenzen

Unsicherheiten unter anderem beim Bestellprozesse für elektronische Praxisausweise waren Thema beim Kongress des Chaos Computer Clubs in der vergangenen Woche in Leipzig. Die KBV sieht dennoch bislang nur geringes Missbrauchpotenzial.

Ruth NeyVon Ruth Ney Veröffentlicht:
Der Prozess zur Beantragung und Ausgabe der Heilberufsausweise über das PostIdent-Verfahren ist nach aktuellem Kenntnisstand sicher, so die gematik.

Der Prozess zur Beantragung und Ausgabe der Heilberufsausweise über das PostIdent-Verfahren ist nach aktuellem Kenntnisstand sicher, so die gematik.

© [M] Marc D. / panthermedia

Berlin. „Das Missbrauchspotenzial beim elektronischen Praxisausweis (SMC-B) ist derzeit äußerst gering“, betont Roland Stahl, Pressesprecher der Kassenärztlichen Bundesvereinigung (KBV), in einer Stellungnahme gegenüber der „Ärzte Zeitung“. Ein Unbefugter könne mit dem Ausweis allein wenig anfangen, sondern müsste sich mit großen Anstrengungen weitere Komponenten unter falscher Identität besorgen. Dazu gehörten etwa ein Konnektor sowie ein Zugangsprovider zur Telematikinfrastruktur.

Sicherheitsexperten des Chaos Computer Clubs hatten es geschafft, alle drei für den Zugang zur Telematikinfrastruktur (TI) relevanten Karten – elektronische Arztausweise, Praxis-Ausweise (SMC-B) und Gesundheitskarten – jeweils über einen Dritten zu bestellen und an eine Wunschadresse liefern zu lassen. Die Experten konnten zudem einen Konnektor im Internet ordern. Die Berichte hatten daher für erheblichen Wirbel gesorgt und erneut Fragen nach der Sicherheit der Daten aufgeworfen.

Auch Stahl räumte ein, man sei „dankbar dafür, dass der Chaos Computer Club offenbar eine potenzielle Schwäche im Prozessablauf entdeckt hat“. Es lägen der KBV allerdings derzeit keine konkreten Fälle vor. Sobald es entsprechende Informationen gebe, würden gemeinsam mit allen anderen Beteiligten (weiteren Sektoren, Herausgebern der Praxisausweise) die Prozesswege optimiert werden.

Erste Sicherheitsmaßnahmen für Ausweise

Stahl rechtfertigte auch den Versand von Ausweisen an andere Adressen als die der Praxis. „Da im Falle von Neugründungen oder Umzügen von Praxen nicht sofort die neuen Standortadressen genutzt werden können, dürfen Ausweichanschriften benannt werden“, sagte er. In einem ersten Schritt sei dennoch nun den Kassenärztlichen Vereinigungen empfohlen worden, den Bestätigungsprozess dahingehend sofort zu verändern, dass die SMC-B-Karten nur noch an die den KVen bekannten Praxisadressen verschickt werden.

Die gematik kritisiert die aufgedeckten Schwachstellen als nicht hinnehmbar. In einer Information hat sie inzwischen darauf hingewiesen dass der Prozess zur Beantragung und Ausgabe der Heilberufsausweise über das PostIdent-Verfahren nach aktuellem Kenntnisstand sicher sei und daher weiterhin genutzt werden könne. Es seien vermutlich bei der Ausgabe von Heilberufsausweisen lediglich die Verfahren Kammer- und BankIdent betroffen. Diese Verfahren sein auch bereits deaktiviert.

Nur Praxisausweisausgabe vollständig gestoppt

Vorsorglich vollständig gestoppt sei der Prozess zur Beantragung und Ausgabe von Praxisausweisen. Dazu habe die gematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anbieter von Praxisausweisen angewiesen. Ein Einzug aller bereits ausgegeben Karten ist derzeit kein Thema.

Zur vom CCC aufgezeigten Möglichkeit, einen Konnektor via Internet zu ordern, merkt die gematik an, dass dieser an sich kein Sicherheitsmerkmal für die Berechtigung zum Zugang in die Telematikinfrastruktur darstelle. Die Berechtigung, um auf die Telematikinfrastruktur zuzugreifen, werde erst mithilfe des elektronischen Praxisausweises gewährt. Daher sei die sichere Identifikation bei der Ausgabe des Praxisausweises ausschließlich an berechtigte Teilnehmer im Gesundheitswesen das entscheidende Sicherheitsmerkmal.

Grundsätzlich stellten die vom Chaos Computer Club entdeckten Sicherheitsmängel bei der Ausgabe von Heilberufsausweisen, Praxisausweisen und Gesundheitskarten – zumindest momentan – auch keine Gefahr für die Sicherheit der Patientendaten dar, da noch keine Behandlungsdaten gespeichert würden. Es biete sich nun aber die Chance, Mängel bei der Kartenausgabe frühzeitig zu beheben.

Die gematik hat alle Kartenherausgeber außerdem zu einem Treffen im Januar 2020 eingeladen. Nach eigenen Angaben soll dabei gemeinsam über Maßnahmen zur Verbesserung der Beantragungs- und Herausgabeprozesse entschieden werden. Außerdem wolle man auf die Mitglieder des CCC zugehen, um die Sicherheit der Telematikinfrastruktur weiter zu optimieren.

Sicherheitsmängel: Grünen sprechen von „ernüchternder Realität“

Zu den vom CCC gefundenen Sicherheitslücken im Zusammenhang mit der Telematik-Infrastruktur im Gesundheitswesen hatte sich am Wochenende auch Maria Klein-Schmeink, Sprecherin für Gesundheitspolitik, geäußert.„Das digitale Gesundheitsnetz ist nur sicher, wenn bei allen seinen Teilen gleich hohe Standards eingehalten werden.“ Sie forderte das Gesundheitsministerium auf, die Recherchen des CCC daher zum Anlass zu nehmen, alle Prozesse im Zusammenhang mit der Ausgabe von Karten sowie die Kartenhersteller auf Schwachstellen zu überprüfen.

Und Konstantin von Notz, Stellvertretender Fraktionsvorsitzender, bekräftigte: „Hinter der Fassade so vieler IT-Sicherheitsversprechen liegt die ernüchternde Realität der immer komplexeren Digitalisierung und ihrer Unübersichtlichkeiten. Es ist wichtig, dass der CCC uns diesen Spiegel vorhält. Und es ist gut, dass die gematik sich offen zeigt für den Dialog und sich nicht wegduckt.“ Für das Projekt Gesundheitskarte müssten die Test-Versuche des CCC als eine sehr dringende Warnung verstanden werden.

Ihr Newsletter zum Thema
Mehr zum Thema

Adenomdetektionsraten

Nach KI-Unterstützung das Koloskopieren verlernt?

Abschaltung am 20. Oktober

Bye KV-Connect: KIM übernimmt

Das könnte Sie auch interessieren
Der Gesundheitsdialog

© Janssen-Cilag GmbH

J&J Open House

Der Gesundheitsdialog

Kooperation | In Kooperation mit: Johnson & Johnson Innovative Medicine (Janssen-Cilag GmbH)
Impulse für den medizinischen Fortschritt: Welches Mindset braucht Deutschland?

© Springer Medizin

Johnson & Johnson Open House-Veranstaltung am 26. Juni 2025 beim Hauptstadtkongress

Impulse für den medizinischen Fortschritt: Welches Mindset braucht Deutschland?

Kooperation | In Kooperation mit: Johnson & Johnson Innovative Medicine (Janssen-Cilag GmbH)
J&J Open House beim Hauptstadtkongress

© [M] Springer Medizin Verlag

Video zur Veranstaltung

J&J Open House beim Hauptstadtkongress

Kooperation | In Kooperation mit: Johnson & Johnson Innovative Medicine (Janssen-Cilag GmbH)
Innovationsforum für privatärztliche Medizin

© Tag der privatmedizin

Tag der Privatmedizin 2025

Innovationsforum für privatärztliche Medizin

Kooperation | In Kooperation mit: Tag der Privatmedizin
Klaus Reinhardt, Präsident der Bundesärztekammer und Vizepräsident der Ärztekammer Westfalen-Lippe, hofft, dass das BMG mit der Prüfung des Kompromisses zur GOÄneu im Herbst durch ist (Archivbild).

© picture alliance / Jörg Carstensen | Joerg Carstensen

Novelle der Gebührenordnung für Ärzte

BÄK-Präsident Reinhardt: Die GOÄneu könnte 2027 kommen

Kommentare
Sonderberichte zum Thema
Mehr als ein oberflächlicher Eingriff: Die Krankenhausreform verändert auch an der Schnittstelle ambulant-stationär eine ganze Menge.

© Tobilander / stock.adobe.com

Folgen der Krankenhausreform für niedergelassene Ärztinnen und Ärzte

Die Klinikreform bringt Bewegung an der Schnittstelle zwischen Praxen und Krankenhäusern

Sonderbericht | Mit freundlicher Unterstützung von: der Deutschen Apotheker- und Ärztbank (apoBank)
Manchmal kommt Künstliche Intelligenz ziemlich abstrakt daher. Doch es gibt zunehmend auch konkrete Anwendungen, sogar für Arztpraxen.

© 3dkombinat - stock.adobe.com

Praxisorganisation

Mit KI zu mehr Entlastung fürs Praxisteam

Sonderbericht | Mit freundlicher Unterstützung von: Doctolib GmbH
Leitliniengerechte Therapie mit DiGA

© Paolese / stock.adobe.com (Model mit Symbolcharakter)

Neuer Therapieansatz bei erektiler Dysfunktion

Leitliniengerechte Therapie mit DiGA

Sonderbericht | Mit freundlicher Unterstützung von: Kranus Health GmbH, München
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Jetzt neu jeden Montag: Der Newsletter „Allgemeinmedizin“ mit praxisnahen Berichten, Tipps und relevanten Neuigkeiten aus dem Spektrum der internistischen und hausärztlichen Medizin.

Top-Thema: Erhalten Sie besonders wichtige und praxisrelevante Beiträge und News direkt zugestellt!

Newsletter bestellen »

Top-Meldungen

Review mit Metaanalyse

Invasive Pneumokokken-Infektionen: Wer besonders gefährdet ist

Vermögensforscher im Interview

Welche Eigenschaften helfen, reich zu werden

Lesetipps
Eine Kaffeetasse und ein Hörnchen.

© hana creative studio / Generated

Chronobiologisch sinnvoll

Deshalb gehören Glukokortikoide in die Morgenmedikation

Ein Arzt untersucht das Knie eines Patienten.

© gilaxia / Getty Images / iStock

Kniegelenk

Neue Gonarthrose-Leitlinie setzt mehr auf Eigeninitiative

Collage von Bildern

© Frau: nenetus / stock.adobe.com | Rücken links: Dr. P. Marazzi / Science Photo Library | Arm: ZOKO / stock.adobe.com | Rücken rechts: Eva Valesky (2) | HG: Phokin / stock.adobe.com

Falsches Label?

Verdacht auf Betalaktam-Allergie: Was tun, wenn die Patientin ein Antibiotikum braucht?