Chaos Computer Club entdeckt eklatante Sicherheitslücken

Kartenausgabe: Arztausweis landet an der Käsetheke

Experten des Chaos Computer Clubs (CCC) ist es gelungen, sich im Namen Dritter einen Arzt- und Praxisausweis sowie eine Gesundheitskarte zu bestellen. Dazu waren nicht einmal besondere IT-Kenntnisse nötig.

Der Chaos Computer Club zeigte es auf seinem Jahreskongress: Wer an den Schlüssel – hier den Heilberufs- und Praxisausweis oder die Gesundheitskarte eines Versicherten – kommt, braucht sich gar nicht erst die Mühe machen, die Verschlüsselung der elektronischen Patientenakte anzugreifen. AdobeStock_Maksim Kabakou

Ein CCC-Projektteam hatte die Sicherheitsmängel gefunden, veröffentlicht wurden die Ergebnisse Ende Dezember auf der CCC-Jahrestagung in Leipzig. IT-Sicherheitsberater Martin Tschirsich zeigte dort, wie es als Außenstehender möglich war, an einen elektronischen Heilberufsausweis (eHBA), einen Praxisausweis (SMC-B) und an die Gesundheitskarte (eGK) eines Versicherten zu kommen.

Mithilfe der Karten und Ausweise konnten die Datenexperten mit diesen Identitäten und einem frei verkäuflichen Konnektor – wie legitimierte Nutzer – auf Anwendungen der TI und Gesundheitsdaten von Versicherten zugreifen. Dabei stellten sie grobe Mängel in den Zugangsprozessen fest und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können.

Der Arztausweis ließ sich an jede x-beliebige Adresse senden

IT-Experte André Zilch zeigte zudem einmal mehr, wie leicht es ist, sich durch eine fingierte Adressänderung eine fremde Gesundheitskarte zu erschleichen. In den vergangenen Jahren ist dies dem CCC nun sechsmal gelungen.

Hier das einstündige Erklärvideo vom Jahreskongress des CCC:

Ganz konkret bestellte das Team um Tschirsich online im Namen eines CCC-Mitglieds, der zugleich niedergelassener Anästhesist ist, einen elektronischen Arztausweis und einen Praxisausweis. Dabei fiel dem Team auf, dass beim BankIdent- und beim zeitversetzten KammerIdentverfahren für die Identifizierung kein erneutes persönliches Erscheinen nötig ist. Und sie entdeckten: Der Ausweis ließ sich an jede x-beliebige Adresse senden.

... auch an einen Käseladen!

Mit diesem Wissen trieben es Reporter des NDR und "Spiegel" auf die Spitze, indem sie in einer vergleichbaren Bestellung unter Ausnutzung der vom CCC aufgedeckten Sicherheitsmängel zeigten, dass dem Anbieter Medisign GmbH sogar dann keine Zweifel an der Identität des Empfängers kamen, als sie den Arztausweis an die Adresse eines Lüneburger Käseladens gesendet werden sollten.

Die persönlichen Daten von 168 Ärzten schwirrten frei im Netz

Bei der Überprüfung dieses Chipkarten-Anbieters stellten die IT-Experten des CCC zudem ein Datenleck fest; Demnach waren allein an einem Tag im Oktober die persönlichen Daten von 168 Ärzten frei im Internet zugänglich, die offenbar in den beiden Wochen zuvor ihren Antrag auf den elektronischen Arztausweis gestellt hatten.


Die Reaktionen

Die gematik GmbH, zuständig für Aufbau und Sicherheit der TI, bezeichnete die aufgedeckten Schwachstellen als "nicht hinnehmbar". Die Prozesse bei der Kartenausgabe sollen nun überprüft und keine weiteren Ausweise ausgegeben werden, "bis diese Prüfung abgeschlossen ist", wird die gematik in einer Berichterstattung der tagesschau zitiert. Man wolle auf den CCC zugehen, um die Sicherheit der TI "weiter zu optimieren", heißt es weiter. Und ganz lapidar: Da aktuell noch keine Behandlungsdaten gespeichert würden, seien derzeit ja keine Patientendaten in Gefahr. Laut Handelsblatt hat die gematik die Karten-Hersteller angewiesen, die betroffenen Identifizierungsverfahren für Arztausweise zu deaktivieren. Elektronische Praxisausweise dürfen derzeit nicht mehr ausgegeben werden. Eine Rückholaktion aller bereits ausgegeben Karten halte die gematik aber nicht für erforderlich.

Die Kassenärztliche Bundesvereinigung (KBV) erklärte auf Anfrage des Deutschen Ärzteblatts, das Missbrauchspotenzial beim elektronischen Praxisausweis sei derzeit sehr gering. Ein Unbefugter könne mit dem Ausweis alleine wenig anfangen, sondern müsste sich mit großen Anstrengungen weitere Komponenten unter falscher Identität besorgen. Nicht nur einen Konnektor, sondern auch einen Zugangsprovider zur TI. Man sei dem CCC dennoch dankbar, dass dieser offenbar eine potenzielle Schwachstelle im Prozessablauf entdeckt habe. Bislang seien noch keine konkreten Fälle bekannt. Trotzdem hat die KBV den Kassenärztlichen Vereinigungen empfohlen, den Bestätigungsprozess dahingehend sofort zu verändern, dass die SMC-B-Karten nur noch an die den KVen bekannten Praxisadressen verschickt werden.

Die Bundes­ärzte­kammer (BÄK) bestätigte dem Deutschen Ärzteblatt, dass es nach den ihr vorliegenden Informationen einer Testperson des CCC gelungen sei, einen elektronischen Heilberufsausweis (eHBA) eines Arztes zu beantragen und an die Privatanschrift der Testperson liefern zu lassen. Damit gelangte die Testperson in den Besitz eines eHBA, mit dem Bild, dem Namen sowie der Unterschrift des berechtigten Arztes. Der dadurch aufgedeckte Sicherheitsmangel sei für die Bundes­ärzte­kammer und die Landes­ärztekammern nicht hinnehmbar, heißt es weiter. Deshalb habe man die Identifizierungsverfahren BankIdent und KammerIdent mit sofortiger Wirkung ausgesetzt.


Das Datenleck sei inzwischen geschlossen, heißt es. Der CCC betonte jedoch, dass es sich bei ihren Funden nicht um Probleme eines einzelnen Anbieters handelt, sondern dass es strukturelle Sicherheitslücken bei der Herausgabe der Chipkarten gibt.

CCC: Das System zur Schlüsselvergabe ist löchrig

Fazit des Chaos Computer Clubs: Wenn keiner zuverlässig kontrolliert, wer sich hinter einer Bestellung eines Ausweises verbirgt und wohin die Chipkarten geliefert werden, ist das gesamte System zur Schlüsselvergabe löchrig. Tschirsich: "Das ist problematisch, weil die Sicherheit der Telematikinfrastruktur genau auf der Sicherheit dieser Kartenherausgabeprozesse basiert."

Der Chaos Computer Club (CCC)

Der CCC ist ein deutscher Verein, in dem sich Hacker zusammengeschlossen haben. Der Verein hat sich zu einer maßgebenden Nichtregierungsorganisation (NGO) in allen Fragen der Computersicherheit entwickelt. Der Club setzt sich nach eigener Aussage "grenzüberschreitend für Informationsfreiheit ein" und beschäftigt sich "mit den Auswirkungen von Technologien auf die Gesellschaft sowie das einzelne Lebewesen". Der CCC ist ein eingetragener Verein nach deutschem Recht mit Sitz in Hamburg und hat nach eigenen Angaben etwa 8.000 Mitglieder.

Der Verein fordert nun Schadensbegrenzung: Die gematik solle prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen. Im nächsten Schritt müsste die Beantragung, Identifikation und Ausgabe der Karten entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden. Die Computerspezialisten fordern die volle Umsetzung der eGK als Identitätsnachweis sowie eine Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von Gesundheitskarte, Heilberufs- und Praxisausweis führen sowie Kontrolle der Umsetzung.

Patientendaten werden im Darknet zum Teil bereits teurer als Kreditkartendaten gehandelt. Das eröffnet auch neue potenzielle Betrugsmethoden, warnt das Cybersicherheitsunternehmen Kaspersky.

mehr

"Prozesse müssen nicht nur vorgeben, sondern auch geprüft werden"

Und noch eine Botschaft hat der CCC an die Politik: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte die Prozesse dann nicht nur vorgeben – sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.

25108962502232250223325022342500007 2510897 2502236
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare