Antwort auf Kleine Anfrage der Grünen

Bundesregierung dementiert Schwachstellen bei Ausgabe von HBA-Ausweisen

Bei dem vom Chaos Computer Club aufgedeckten Schwachstellen bei Ausweisen und Komponenten der Telematikinfrastuktur (TI) seien zu keinem Zeitpunkt medizinische Daten gefährdet gewesen. Das antwortet die Bundesregierung auf eine Kleine Anfrage der Grünen.

Experten des Chaos Computer Clubs (CCC) war es im Dezember gelungen, sich im Namen Dritter einen Arzt- und Praxisausweis sowie eine Gesundheitskarte zu bestellen. Medizinische Daten seien aber zu keinem Zeitpunkt gefährdet gewesen, heißt es jetzt in der Antwort der Bundesregierung auf eine Kleine Anfrage der Grünen. Adobe Stock_elizaliv

Die Bundestagsfraktion Bündnis 90/Die Grünen bezog sich auf den Kongress des Chaos Computer Clubs (CCC) Ende Dezember. Dort hatten Mitglieder Schwachstellen in den Ausgabeprozessen für elektronischen Heilberufsausweis, Praxisausweis und elektronische Gesundheitskarte bei den Kartenherausgebern identifiziert. Die Grünen fragten die Bundesregierung vor diesem Hintergrund besonders nach der Bewertung der Vorfälle und nach beabsichtigten Maßnahmen.

„Medizinische Daten zu keinem Zeitpunkt gefährdet“

Zu keinem Zeitpunkt seien medizinische Daten gefährdet gewesen, heißt es jetzt in der Antwort der Bundesregierung (BT-Drucksache 19/17218). Die Gesellschaft für Telematik (gematik) und die zuständigen Aufsichtsbehörden hätten schnell und entschlossen reagiert und die Ausgabe der Arzt- und Praxisausweise temporär gestoppt. Nach Behebung der Schwachstellen hätten die Ausgabeprozesse in der Zwischenzeit wiederaufgenommen werden können. Datenschutz und Datensicherheit hätten für die Bundesregierung beim Aufbau der TI oberste Priorität. Deshalb seien Schwachstellen, wie sie der Chaos Computer Club aufgedeckt habe, nicht akzeptabel.

Chaos Computer Club entdeckt eklatante Sicherheitslücken

Experten des Chaos Computer Clubs (CCC) ist es gelungen, sich im Namen Dritter einen Arzt- und Praxisausweis sowie eine Gesundheitskarte zu bestellen. Dazu waren nicht einmal besondere IT-Kenntnisse nötig.

mehr
Der Aufbau der TI befinde sich immer noch in einer recht frühen Phase, heißt es in der Antwort weiter. Noch würden keine medizinischen Behandlungsdaten gespeichert. Deshalb begrüße die Bundesregierung ausdrücklich, dass die Schwachstellen entdeckt und behoben worden seien. Bundesgesundheitsministerium und gematik hätten zum Jahreswechsel zudem im direkten Austausch mit Mitgliedern des CCC gestanden, um die Angriffe nachzuvollziehen und Maßnahmen ableiten zu können.

Die Bundesregierung zählt konkrete Maßnahmen ein, die eingeleitet worden sind:

  • Elektronische Gesundheitskarte (eGK): Der Ausgabeprozess der elektronischen Gesundheitskarte (eGK) unterliege seit dem 6. Februar 2020 der Richtlinie nach § 217f SGB V. Im Rahmen des geplanten Patientendaten-Schutzgesetzes (PDSG) beabsichtige das BMG, der gematik eine zentrale Rolle bei der sicheren Ausgestaltung der Ausgabeprozesse (eGK, Institutionskarte SMC-B, HBA) zu übertragen und die Anforderungen an die Richtlinie nach § 217f SGB V zu verschärfen.
  • Kartenterminal und Konnektor: Diese würden einer sicheren Lieferkette unterliegen, die zur Vermeidung von Manipulationen während der Auslieferung und gegebenenfalls einer Zwischenlagerung diene. Wie dieser Lieferprozess ausgestaltet ist, sei herstellerspezifisch und in den Handbüchern der Hersteller beschrieben.
  • gSMC-KT: Die Sicherheitskarte gSMC-KT werde mit dem Kartenterminal ausgeliefert. Sie sei nicht spezifisch auf den Verwender personalisiert. Insofern sei in diesem Fall kein Beantragungsprozess notwendig. Kartenterminal und Konnektor seien prinzipiell von jedermann bestellbar. Der reine Besitz dieser Geräte berechtige nicht zum Zugang zur TI.
  • Ausgabeprozesse der eGK, des HBA und der SMC-B: Diese seien zurzeit durch die jeweiligen Kartenherausgeber verantwortet und würden deren Zulassungsbestimmungen unterliegen. Zukünftig werde die Identifizierung des Antragstellers innerhalb des Antrags-, Herausgabe- und Freischaltungsprozesses jedoch durch die gematik festgelegt, direkt bei den Anbietern umgesetzt und durch die gematik geprüft. Die Identifizierung des Antragstellers liege dann nicht mehr in der Verantwortung der Sektoren.
  •  Serviceprovider: Die bei der Ausgabe der Karten beteiligten Serviceprovider (Medisign, Bundesdruckerei, T-Systems) seien auf die auf der gematik-Internetseite veröffentlichten Zulassungskriterien, einschließlich der Sicherheitsvorgaben, vor ihrer Zulassung geprüft worden. „Diese Vorgaben umfassten in der Vergangenheit jedoch nicht die vom Chaos Computer Club berechtigterweise beanstandeten Antrags- und Ausgabeprozesse, da diese in der Verantwortung der Kartenherausgeber lagen“, erklärt die Bundesregierung.
  • Zulassungsentzug: Sofern Zulassungsbedingungen nicht mehr erfüllt seien, könnte zugelassenen Anbietern die Zulassung wieder entzogen werden. Das BMG habe im Rahmen des PDSG eine deutliche Erhöhung des Bußgeldrahmens vorgesehen.
  • Zudem gibt die Bundesregierung an, dass aus ihrer Sicht die Durchführung von regelmäßigen Penetrationstests „eine sehr gute Möglichkeit zur Überprüfung der bereits vorhanden und in Entwicklung befindlichen Software- und Hardwarekomponenten“ ist. Im Kontext der TI würden Penetrationstests mit spezialisierten externen Dienstleistern gegen alle Komponenten und Dienste der TI durchgeführt.

Auf die Frage, wie häufig es Unbefugten bisher gelungen sei, an bestimmte Karten und Komponenten zu gelangen, erklärt die Bundesregierung, dass die Untersuchungen für die Heilsberufsausweise (eHBA) abgeschlossen seien. Es wurden nur die beiden aus den Medien bekannten und zu Demonstrationszwecken durchgeführten Fälle identifiziert, bei denen jeweils der Karteninhaber sein Einverständnis gab. Die Untersuchungen für den Kartentyp SMC-B durch die Gesellschaft für Telematik dauerten noch an. In Bezug auf die elektronische Gesundheitskarte (eGK) lägen der Bundesregierung keine Erkenntnisse vor.

Zahnarzt-Praxisausweise

„Das digitale Gesundheitsnetzwerk für Ärzte, Kliniken und Krankenkassen weist schon vor dem Start der elektronischen Patientenakte große Sicherheitslücken auf.“ So oder so ähnlich hallte das Echo in...

mehr
Die Grünen wollten auch wissen, ob es zutrifft, dass die Bundesnetzagentur unsichere Verfahren wie „BankIdent“ und „KammerIdent“ inzwischen deaktiviert hat. Und wenn ja, warum dies erst nach den Berichten über die Rechercheergebnisse des CCC geschehen sei. Die Antwort der Regierung lautet, dass die von akkreditierten Konformitätsbewertungsstellen überprüften und positiv bewerteten, bislang unauffälligen Verfahren in Absprache mit den Anbietern am gleichen Tag beziehungsweise am Folgetag, nach der Information durch den Chaos Computer Club, abgeschaltet wurden. Das sei also bereits vor den Berichten über die Rechercheergebnisse auf dem Chaos Communication Congress gewesen.

Ob und inwieweit es sich bei den Verfahren um konzeptuell unsichere Verfahren handelt oder ob und inwieweit mangelhafte Anwendung vorhandener Sicherheitsmaßnahmen vorliegen, sei gegenwärtig in der Prüfung.

Zum Hintergrund

Mitglieder des Chaos Computer Clubs (CCC) hatten am 27. Dezember beim 36. Chaos Communication Congress in Leipzig Schwachstellen und Sicherheitslücken beim Ausgabeprozess für verschiedene in der TI genutzte Komponenten und Smartcards ausgemacht.

Sie konnten zeigen, wie es für Unbefugte problemlos möglich war, einzelne Smartcards und Komponenten der TI durch die jeweiligen beteiligten Serviceprovider zu beziehen. Es gelang den CCC-Mitgliedern, sich unter anderem unautorisiert einen elektronischen Heilberufeausweis und einen Praxisausweis (SMC-B) zu bestellen. Auch ein Konnektor wurde den CCC-Mitgliedern unautorisiert ausgehändigt. Zusätzlich waren bei einem beauftragten Serviceprovider die Kartenanträge von 168 Ärzten zeitweise online zugänglich.

Außerdem war es den Mitgliedern des CCC gelungen, unautorisiert eine elektronische Gesundheitskarte der AOK Hessen zu bestellen. Vor dem Hintergrund, dass bereits 2015 Recherchen des ZDF Schwachstellen bei der Ausgabe der elektronischen Gesundheitskarte offengelegt hatten, stellte sich für die Grünen die Frage, warum es noch immer zu derartigen Problemen bei der Ausgabe von elektronischen Ausweisen und Komponenten der TI komme, die auch im Stande seien, die Akzeptanz der Digitalisierung des Gesundheitswesens zu gefährden.

30424173020171302017230201733042418 3042419 3020174
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare