Bundesregierung dementiert Schwachstellen bei Ausgabe von HBA-Ausweisen
Die Bundestagsfraktion Bündnis 90/Die Grünen bezog sich auf den Kongress des Chaos Computer Clubs (CCC) Ende Dezember. Dort hatten Mitglieder Schwachstellen in den Ausgabeprozessen für elektronischen Heilberufsausweis, Praxisausweis und elektronische Gesundheitskarte bei den Kartenherausgebern identifiziert. Die Grünen fragten die Bundesregierung vor diesem Hintergrund besonders nach der Bewertung der Vorfälle und nach beabsichtigten Maßnahmen.
„Medizinische Daten zu keinem Zeitpunkt gefährdet“
Zu keinem Zeitpunkt seien medizinische Daten gefährdet gewesen, heißt es jetzt in der Antwort der Bundesregierung (BT-Drucksache 19/17218). Die Gesellschaft für Telematik (gematik) und die zuständigen Aufsichtsbehörden hätten schnell und entschlossen reagiert und die Ausgabe der Arzt- und Praxisausweise temporär gestoppt. Nach Behebung der Schwachstellen hätten die Ausgabeprozesse in der Zwischenzeit wiederaufgenommen werden können. Datenschutz und Datensicherheit hätten für die Bundesregierung beim Aufbau der TI oberste Priorität. Deshalb seien Schwachstellen, wie sie der Chaos Computer Club aufgedeckt habe, nicht akzeptabel.
Der Aufbau der TI befinde sich immer noch in einer recht frühen Phase, heißt es in der Antwort weiter. Noch würden keine medizinischen Behandlungsdaten gespeichert. Deshalb begrüße die Bundesregierung ausdrücklich, dass die Schwachstellen entdeckt und behoben worden seien. Bundesgesundheitsministerium und gematik hätten zum Jahreswechsel zudem im direkten Austausch mit Mitgliedern des CCC gestanden, um die Angriffe nachzuvollziehen und Maßnahmen ableiten zu können.
Die Bundesregierung zählt konkrete Maßnahmen ein, die eingeleitet worden sind:
Elektronische Gesundheitskarte (eGK): Der Ausgabeprozess der elektronischen Gesundheitskarte (eGK) unterliege seit dem 6. Februar 2020 der Richtlinie nach § 217f SGB V. Im Rahmen des geplanten Patientendaten-Schutzgesetzes (PDSG) beabsichtige das BMG, der gematik eine zentrale Rolle bei der sicheren Ausgestaltung der Ausgabeprozesse (eGK, Institutionskarte SMC-B, HBA) zu übertragen und die Anforderungen an die Richtlinie nach § 217f SGB V zu verschärfen.
Kartenterminal und Konnektor:Diese würden einer sicheren Lieferkette unterliegen, die zur Vermeidung von Manipulationen während der Auslieferung und gegebenenfalls einer Zwischenlagerung diene. Wie dieser Lieferprozess ausgestaltet ist, sei herstellerspezifisch und in den Handbüchern der Hersteller beschrieben.
gSMC-KT:Die Sicherheitskarte gSMC-KT werde mit dem Kartenterminal ausgeliefert. Sie sei nicht spezifisch auf den Verwender personalisiert. Insofern sei in diesem Fall kein Beantragungsprozess notwendig. Kartenterminal und Konnektor seien prinzipiell von jedermann bestellbar. Der reine Besitz dieser Geräte berechtige nicht zum Zugang zur TI.
Ausgabeprozesse der eGK, des HBA und der SMC-B: Diese seien zurzeit durch die jeweiligen Kartenherausgeber verantwortet und würden deren Zulassungsbestimmungen unterliegen. Zukünftig werde die Identifizierung des Antragstellers innerhalb des Antrags-, Herausgabe- und Freischaltungsprozesses jedoch durch die gematik festgelegt, direkt bei den Anbietern umgesetzt und durch die gematik geprüft. Die Identifizierung des Antragstellers liege dann nicht mehr in der Verantwortung der Sektoren.
Serviceprovider: Die bei der Ausgabe der Karten beteiligten Serviceprovider (Medisign, Bundesdruckerei, T-Systems) seien auf die auf der gematik-Internetseite veröffentlichten Zulassungskriterien, einschließlich der Sicherheitsvorgaben, vor ihrer Zulassung geprüft worden. „Diese Vorgaben umfassten in der Vergangenheit jedoch nicht die vom Chaos Computer Club berechtigterweise beanstandeten Antrags- und Ausgabeprozesse, da diese in der Verantwortung der Kartenherausgeber lagen“, erklärt die Bundesregierung.
Zulassungsentzug: Sofern Zulassungsbedingungen nicht mehr erfüllt seien, könnte zugelassenen Anbietern die Zulassung wieder entzogen werden. Das BMG habe im Rahmen des PDSG eine deutliche Erhöhung des Bußgeldrahmens vorgesehen.
Zudem gibt die Bundesregierung an, dass aus ihrer Sicht die Durchführung von regelmäßigen Penetrationstests „eine sehr gute Möglichkeit zur Überprüfung der bereits vorhanden und in Entwicklung befindlichen Software- und Hardwarekomponenten“ ist. Im Kontext der TI würden Penetrationstests mit spezialisierten externen Dienstleistern gegen alle Komponenten und Dienste der TI durchgeführt.
Auf die Frage, wie häufig es Unbefugten bisher gelungen sei, an bestimmte Karten und Komponenten zu gelangen, erklärt die Bundesregierung, dass die Untersuchungen für die Heilsberufsausweise (eHBA) abgeschlossen seien. Es wurden nur die beiden aus den Medien bekannten und zu Demonstrationszwecken durchgeführten Fälle identifiziert, bei denen jeweils der Karteninhaber sein Einverständnis gab. Die Untersuchungen für den Kartentyp SMC-B durch die Gesellschaft für Telematik dauerten noch an. In Bezug auf die elektronische Gesundheitskarte (eGK) lägen der Bundesregierung keine Erkenntnisse vor.
Die Grünen wollten auch wissen, ob es zutrifft, dass die Bundesnetzagentur unsichere Verfahren wie „BankIdent“ und „KammerIdent“ inzwischen deaktiviert hat. Und wenn ja, warum dies erst nach den Berichten über die Rechercheergebnisse des CCC geschehen sei. Die Antwort der Regierung lautet, dass die von akkreditierten Konformitätsbewertungsstellen überprüften und positiv bewerteten, bislang unauffälligen Verfahren in Absprache mit den Anbietern am gleichen Tag beziehungsweise am Folgetag, nach der Information durch den Chaos Computer Club, abgeschaltet wurden. Das sei also bereits vor den Berichten über die Rechercheergebnisse auf dem Chaos Communication Congress gewesen.
Ob und inwieweit es sich bei den Verfahren um konzeptuell unsichere Verfahren handelt oder ob und inwieweit mangelhafte Anwendung vorhandener Sicherheitsmaßnahmen vorliegen, sei gegenwärtig in der Prüfung.
Zum Hintergrund
Zum Hintergrund