CCC-Kongress in Leipzig

Sicherheitslücken bei E-Arztausweis und SMC-B aufgedeckt

Sind die Ausgabeprozesse von elektronischen Arzt- und Praxisausweisen sowie von Gesundheitskarten unsicher? Beim Kongress des Chaos Computer Clubs in Leipzig sind Sicherheitslücken aufgedeckt worden.

Veröffentlicht:
Kritisches Datenleck - bei den elektronischen Chipkarten für das Gesundheitssystem soll es inzwischen wieder gestopft worden sein, heißt es.

Kritisches Datenleck - bei den elektronischen Chipkarten für das Gesundheitssystem soll es inzwischen wieder gestopft worden sein, heißt es.

© phive2015 / stock.adobe.com

Leipzig. Die Bestellprozesse für elektronische Arztausweise, Praxis-Ausweise (SMC-B) und Gesundheitskarten scheinen erhebliche Lücken aufzuweisen. Sicherheitsexperten des Chaos Computer Clubs haben es geschafft, alle drei für den Zugang zur Telematikinfrastruktur (TI) relevanten Karten jeweils über einen Dritten zu bestellen und an eine Wunschadresse liefern zu lassen.

Die Experten konnten zudem einen Konnektor im Internet ordern. Der Konnektor dient dazu, die Verbindung von Primärsystemen wie der Praxis-EDV zur TI herzustellen. „Tagesschau.de“ und „spiegel.de“ haben zuerst über den Vorgang berichtet, der am Freitagnachmittag beim CCC-Kongress in Leipzig dargestellt worden ist.

Für die Ausgabe der Arztausweise sind die Ärztekammern zuständig, für die SMC-B die Kassenärztlichen Vereinigungen und für die Gesundheitskarten die Krankenkassen. Mit Hilfe der drei Karten kann auf Daten in der Telematikinfrastruktur zugegriffen werden. Zusammen mit einem zuvor manipulierten Konnektor wäre es eventuell sogar denkbar, Schadsoftware in die TI einzuschleusen.

Falsch konfigurierter Server

Nach dem Bericht haben die Experten unter anderem ein Datenleck bei medisign, einem Hersteller der elektronischen Chipkarten, entdeckt. Demnach seien an einem Tag im Oktober die persönlichen Daten von 168 Ärzten, die kurz zuvor ihren Antrag auf den elektronischen Arztausweis gestellt hatten, frei im Internet zugänglich gewesen.

Nach Informationen des CCC an den Anbieter sei das Leck dann sofort gestopft worden. Auf Anfrage bestätigte medisign-Geschäftsführer Armin Flender den Vorgang. Der Server sei falsch konfiguriert gewesen, das Problem habe dann „binnen Minuten“ gelöst werden können.

Sicherheitslücken struktureller Art, nicht nur bei einem Anbieter, gebe es aber auch beim PostIdent-, BankIdent- und KammerIdent-Verfahren, über das der Arztausweis bestellt werden kann.

Hier, so Armin Flender, handele es sich allerdings um einen „internen Angriff“, weil die Bestellung von Arztausweis und Praxiskarte vorgeblich über zwei tatsächlich existierende Ärzte gelaufen sei. Einer der beiden Ärzte, ein niedergelassener Anästhesist, ist Mitglied des Chaos Computer Clubs und gehörte beim CCC zu den Experten, die über die Sicherheitslücken beim Kongress berichteten.

Sicherheitslücke abweichende Lieferadresse

Die Karten seien auf Wunsch des vorgeblich bestellenden Arztes dann an eine abweichende Lieferadresse geschickt worden. „Tagesschau.de“ titelte daraufhin „Arztausweis landet an der Käsetheke“, wo der Postbote die Chipkarte dann tatsächlich abgeliefert habe.

Dieses Verfahren sei aus Gründen der komfortableren Handhabung für Ärzte für alle Kartenhersteller mit den Körperschaften abgestimmt gewesen, erläuterte Armin Flender im Gespräch mit der „Ärzte Zeitung“, „wir haben uns regelkonform verhalten“.

Die Kartenausgabe sei nun allerdings bis Jahresende gestoppt worden. Da über Arztwebsites, Privatrechnungen und mit einem Kassenrezept viele Daten von Ärzten transparent sind, bis hin zur Betriebsstättennummer der Praxis und der LANR des Arztes, berge die Angabe einer abweichenden Lieferadresse ein zu hohes Risiko für Missbrauch.

Derzeit noch begrenztes Missbrauchspotenzial

Bislang ist das Missbrauchspotenzial in der TI noch begrenzt, da zurzeit nur Versichertenstammdaten über das Netz gehen. Auch die E-Arztausweise von medisign lassen sich in der aktuell ausgegebenen Version noch nicht für Vorgänge in der Telematikinfrastruktur nutzen. Sobald die Feldversuche für den E-Medikationsplan und den Notfalldatensatz beginnen, würde das Missbrauchspotenzial allerdings deutlich wachsen.

Hingewiesen wurde beim CCC-Kongress auch auf die Gefahren durch Falschbestellungen bei elektronischen Gesundheitskarten. Die Bestellung bei der zuständigen Krankenkasse läuft bislang ohne PostIdent-Verfahren, der Versand erfolge ohne Einschreiben. Die Karte kann in Zukunft dazu genutzt werden, auf die medizinischen Daten des Inhabers zuzugreifen. (ger)

Ihr Newsletter zum Thema
Das könnte Sie auch interessieren
Ein Roboter, der Akten wälzt? Künstliche Intelligenz kann bereits mit Leitlinien umgehen – jedenfalls wenn sie so gut strukturiert sind wie die der DEGAM.

© Iaroslav / stock.adobe.com

Digitalisierung in der Medizin

Kollegin Dr. ChatGPT? Wie Künstliche Intelligenz Ärzten helfen könnte

Digital und innovativ: Klinikum Siegen überzeugt von Fluency Direct

© Solventum Germany GmbH

Solventum Spracherkennung

Digital und innovativ: Klinikum Siegen überzeugt von Fluency Direct

Anzeige | 3M Healthcare Germany GmbH
Innovationsforum für privatärztliche Medizin

© Tag der privatmedizin

Tag der Privatmedizin 2024

Innovationsforum für privatärztliche Medizin

Kooperation | In Kooperation mit: Tag der Privatmedizin
Eine Sanduhr, durch die Geldstücke fall

© fotomek / stock.adobe.com

Tag der Privatmedizin 2024

Outsourcing: Mehr Zeit für Patienten!

Kooperation | In Kooperation mit: Tag der Privatmedizin
Buch mit sieben Siegeln oder edles Werk? KI-Idee einer in Leder eingebundenen neuen Gebührenordnung für Ärzte (GOÄ)

© KI-generiert mit ChatGPT 4o

Exklusiv Entwurf unter der Lupe

Das brächte Ihnen die neue GOÄ

Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen
Lesetipps
Krankenkassen haben zum Jahreswechsel schlechte Botschaften für ihre Mitglieder: die Zusatzbeiträge steigen stark. Die Kritik an versäumten Reformen der Ampel-Koalition ist einhellig.

© Comugnero Silvana / stock.adobe.com

Update

62 Kassen im Beitragssatz-Check

Höhere Zusatzbeiträge: So teuer wird Ihre Krankenkasse 2025