Ein CCC-Projektteam hatte die Sicherheitsmängel gefunden, veröffentlicht wurden die Ergebnisse Ende Dezember auf der CCC-Jahrestagung in Leipzig. IT-Sicherheitsberater Martin Tschirsich zeigte dort, wie es als Außenstehender möglich war, an einen elektronischen Heilberufsausweis (eHBA), einen Praxisausweis (SMC-B) und an die Gesundheitskarte (eGK) eines Versicherten zu kommen.
Mithilfe der Karten und Ausweise konnten die Datenexperten mit diesen Identitäten und einem frei verkäuflichen Konnektor – wie legitimierte Nutzer – auf Anwendungen der TI und Gesundheitsdaten von Versicherten zugreifen. Dabei stellten sie grobe Mängel in den Zugangsprozessen fest und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können.
Der Arztausweis ließ sich an jede x-beliebige Adresse senden
IT-Experte André Zilch zeigte zudem einmal mehr, wie leicht es ist, sich durch eine fingierte Adressänderung eine fremde Gesundheitskarte zu erschleichen. In den vergangenen Jahren ist dies dem CCC nun sechsmal gelungen.
Hier das einstündige Erklärvideo vom Jahreskongress des CCC:
Ganz konkret bestellte das Team um Tschirsich online im Namen eines CCC-Mitglieds, der zugleich niedergelassener Anästhesist ist, einen elektronischen Arztausweis und einen Praxisausweis. Dabei fiel dem Team auf, dass beim BankIdent- und beim zeitversetzten KammerIdentverfahren für die Identifizierung kein erneutes persönliches Erscheinen nötig ist. Und sie entdeckten: Der Ausweis ließ sich an jede x-beliebige Adresse senden.
... auch an einen Käseladen!
Mit diesem Wissen trieben es Reporter des NDR und "Spiegel" auf die Spitze, indem sie in einer vergleichbaren Bestellung unter Ausnutzung der vom CCC aufgedeckten Sicherheitsmängel zeigten, dass dem Anbieter Medisign GmbH sogar dann keine Zweifel an der Identität des Empfängers kamen, als sie den Arztausweis an die Adresse eines Lüneburger Käseladens gesendet werden sollten.
Die persönlichen Daten von 168 Ärzten schwirrten frei im Netz
Bei der Überprüfung dieses Chipkarten-Anbieters stellten die IT-Experten des CCC zudem ein Datenleck fest; Demnach waren allein an einem Tag im Oktober die persönlichen Daten von 168 Ärzten frei im Internet zugänglich, die offenbar in den beiden Wochen zuvor ihren Antrag auf den elektronischen Arztausweis gestellt hatten.
Die Reaktionen
Die gematik GmbH, zuständig für Aufbau und Sicherheit der TI, bezeichnete die aufgedeckten Schwachstellen als "nicht hinnehmbar". Die Prozesse bei der Kartenausgabe sollen nun überprüft und keine weiteren Ausweise ausgegeben werden, "bis diese Prüfung abgeschlossen ist", wird die gematik in einer Berichterstattung der tagesschau zitiert. Man wolle auf den CCC zugehen, um die Sicherheit der TI "weiter zu optimieren", heißt es weiter. Und ganz lapidar: Da aktuell noch keine Behandlungsdaten gespeichert würden, seien derzeit ja keine Patientendaten in Gefahr. Laut Handelsblatt hat die gematik die Karten-Hersteller angewiesen, die betroffenen Identifizierungsverfahren für Arztausweise zu deaktivieren. Elektronische Praxisausweise dürfen derzeit nicht mehr ausgegeben werden. Eine Rückholaktion aller bereits ausgegeben Karten halte die gematik aber nicht für erforderlich.
Die Kassenärztliche Bundesvereinigung (KBV) erklärte auf Anfrage des Deutschen Ärzteblatts, das Missbrauchspotenzial beim elektronischen Praxisausweis sei derzeit sehr gering. Ein Unbefugter könne mit dem Ausweis alleine wenig anfangen, sondern müsste sich mit großen Anstrengungen weitere Komponenten unter falscher Identität besorgen. Nicht nur einen Konnektor, sondern auch einen Zugangsprovider zur TI. Man sei dem CCC dennoch dankbar, dass dieser offenbar eine potenzielle Schwachstelle im Prozessablauf entdeckt habe. Bislang seien noch keine konkreten Fälle bekannt. Trotzdem hat die KBV den Kassenärztlichen Vereinigungen empfohlen, den Bestätigungsprozess dahingehend sofort zu verändern, dass die SMC-B-Karten nur noch an die den KVen bekannten Praxisadressen verschickt werden.
Die Bundesärztekammer (BÄK) bestätigte dem Deutschen Ärzteblatt, dass es nach den ihr vorliegenden Informationen einer Testperson des CCC gelungen sei, einen elektronischen Heilberufsausweis (eHBA) eines Arztes zu beantragen und an die Privatanschrift der Testperson liefern zu lassen. Damit gelangte die Testperson in den Besitz eines eHBA, mit dem Bild, dem Namen sowie der Unterschrift des berechtigten Arztes. Der dadurch aufgedeckte Sicherheitsmangel sei für die Bundesärztekammer und die Landesärztekammern nicht hinnehmbar, heißt es weiter. Deshalb habe man die Identifizierungsverfahren BankIdent und KammerIdent mit sofortiger Wirkung ausgesetzt.
Das Datenleck sei inzwischen geschlossen, heißt es. Der CCC betonte jedoch, dass es sich bei ihren Funden nicht um Probleme eines einzelnen Anbieters handelt, sondern dass es strukturelle Sicherheitslücken bei der Herausgabe der Chipkarten gibt.
CCC: Das System zur Schlüsselvergabe ist löchrig
Fazit des Chaos Computer Clubs: Wenn keiner zuverlässig kontrolliert, wer sich hinter einer Bestellung eines Ausweises verbirgt und wohin die Chipkarten geliefert werden, ist das gesamte System zur Schlüsselvergabe löchrig. Tschirsich: "Das ist problematisch, weil die Sicherheit der Telematikinfrastruktur genau auf der Sicherheit dieser Kartenherausgabeprozesse basiert."
Der Chaos Computer Club (CCC)
Der CCC ist ein deutscher Verein, in dem sich Hacker zusammengeschlossen haben. Der Verein hat sich zu einer maßgebenden Nichtregierungsorganisation (NGO) in allen Fragen der Computersicherheit entwickelt. Der Club setzt sich nach eigener Aussage "grenzüberschreitend für Informationsfreiheit ein" und beschäftigt sich "mit den Auswirkungen von Technologien auf die Gesellschaft sowie das einzelne Lebewesen". Der CCC ist ein eingetragener Verein nach deutschem Recht mit Sitz in Hamburg und hat nach eigenen Angaben etwa 8.000 Mitglieder.
Der Verein fordert nun Schadensbegrenzung: Die gematik solle prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen. Im nächsten Schritt müsste die Beantragung, Identifikation und Ausgabe der Karten entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden. Die Computerspezialisten fordern die volle Umsetzung der eGK als Identitätsnachweis sowie eine Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von Gesundheitskarte, Heilberufs- und Praxisausweis führen sowie Kontrolle der Umsetzung.
"Prozesse müssen nicht nur vorgeben, sondern auch geprüft werden"
Und noch eine Botschaft hat der CCC an die Politik: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte die Prozesse dann nicht nur vorgeben – sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.
Keine Kommentare