Telematik-Schwachstellen nicht akzeptabel
Schwachstellen bei der Ausgabe von elektronischen Ausweisen und Komponenten der Telematikinfrastruktur im Gesundheitswesen
Mitglieder des Chaos Computer Clubs haben Schwachstellen in den Ausgabeprozessen für Heilberufsausweis, Praxisausweis und elektronische Gesundheitskarte bei den Kartenherausgebern identifiziert – Bundesregierung: "Zu keinem Zeitpunkt waren dabei medizinische Daten gefährdet"
Beim Aufbau der Telematikinfrastruktur (TI) haben nach Aussage der Bundesregierung Datenschutz und Datensicherheit Priorität. Daher seien Schwachstellen, wie sie unlängst der Chaos Computer Club (CCC) aufgedeckt habe, nicht akzeptabel, heißt es in der Antwort (19/17218) der Bundesregierung auf eine Kleine Anfrage (19/16949) der Grünen-Fraktion. Der Club habe Schwachstellen in den Ausgabeprozessen für den Heilberufeausweis, den Praxisausweis und die elektronische Gesundheitskarte (eGK) bei den Kartenherausgebern identifiziert. Zu keinem Zeitpunkt seien dabei medizinische Daten gefährdet gewesen, heißt es in der Antwort weiter.
Die Gesellschaft für Telematik (gematik) und die zuständigen Aufsichtsbehörden hätten schnell reagiert und die Ausgabe der Arzt- und Praxisausweise temporär gestoppt. Inzwischen seien die Schwachstellen behoben und die Ausgabe wieder aufgenommen worden.
Der TI-Aufbau befinde sich immer noch in einer frühen Phase. Noch würden keine medizinischen Behandlungsdaten gespeichert. Es sei daher zu begrüßen, wenn Schwachstellen entdeckt und behoben würden.
Vorbemerkung der Fragesteller
Mitglieder des Chaos Computer Clubs (CCC) haben am 27. Dezember 2019 beim 36. Chaos Communication Congress in Leipzig Schwachstellen und Sicherheitslücken beim Ausgabeprozess für verschiedene in der Telematikinfrastruktur (TI) genutzte Komponenten und Smartcards demonstriert. Sie konnten zeigen, wie es für Unbefugte problemlos möglich war, einzelne Smartcards und Komponenten der TI durch die jeweiligen beteiligten Service Provider zu beziehen. Es gelang den CCC-Mitgliedern, sich u. a. unautorisiert einen elektronischen Heilberufeausweis und einen Praxisausweis (SMC-B) zu bestellen. Auch ein Konnektor wurde den CCC-Mitgliedern unautorisiert ausgehändigt. Zusätzlich waren bei einem beauftragten Service Provider die Kartenanträge von 168 Ärztinnen und Ärzten zeitweise online zugänglich.
Außerdem war es den Mitgliedern des CCC gelungen, unautorisiert eine elektronische Gesundheitskarte der AOK Hessen zu bestellen. Vor dem Hintergrund, dass bereits 2015 Recherchen des ZDF Schwachstellen bei der Ausgabe der elektronischen Gesundheitskarte offengelegt haben (vgl. Deutsche Apothekerzeitung vom 25. Juni 2015, "Massives Sicherheitsleck bei Gesundheitsdaten", stellt sich die Frage, warum es noch immer zu derartigen Problemen bei der Ausgabe von elektronischen Ausweisen und Komponenten der Telematikinfrastruktur kommt, die auch im Stande sind, die Akzeptanz der Digitalisierung des Gesundheitswesens zu gefährden.(Deutsche Bundesregierung: ra)
eingetragen: 21.03.20
Newsletterlauf: 14.05.20