Sicherheitslücken bei E-Arztausweis und SMC-B aufgedeckt

Leipzig. Die Bestellprozesse für elektronische Arztausweise, Praxis-Ausweise (SMC-B) und Gesundheitskarten scheinen erhebliche Lücken aufzuweisen. Sicherheitsexperten des Chaos Computer Clubs haben es geschafft, alle drei für den Zugang zur Telematikinfrastruktur (TI) relevanten Karten jeweils über einen Dritten zu bestellen und an eine Wunschadresse liefern zu lassen.

Die Experten konnten zudem einen Konnektor im Internet ordern. Der Konnektor dient dazu, die Verbindung von Primärsystemen wie der Praxis-EDV zur TI herzustellen. „Tagesschau.de“ und „spiegel.de“ haben zuerst über den Vorgang berichtet, der am Freitagnachmittag beim CCC-Kongress in Leipzig dargestellt worden ist.

Für die Ausgabe der Arztausweise sind die Ärztekammern zuständig, für die SMC-B die Kassenärztlichen Vereinigungen und für die Gesundheitskarten die Krankenkassen. Mit Hilfe der drei Karten kann auf Daten in der Telematikinfrastruktur zugegriffen werden. Zusammen mit einem zuvor manipulierten Konnektor wäre es eventuell sogar denkbar, Schadsoftware in die TI einzuschleusen.

Falsch konfigurierter Server

Nach dem Bericht haben die Experten unter anderem ein Datenleck bei medisign, einem Hersteller der elektronischen Chipkarten, entdeckt. Demnach seien an einem Tag im Oktober die persönlichen Daten von 168 Ärzten, die kurz zuvor ihren Antrag auf den elektronischen Arztausweis gestellt hatten, frei im Internet zugänglich gewesen.

Nach Informationen des CCC an den Anbieter sei das Leck dann sofort gestopft worden. Auf Anfrage bestätigte medisign-Geschäftsführer Armin Flender den Vorgang. Der Server sei falsch konfiguriert gewesen, das Problem habe dann „binnen Minuten“ gelöst werden können.

Sicherheitslücken struktureller Art, nicht nur bei einem Anbieter, gebe es aber auch beim PostIdent-, BankIdent- und KammerIdent-Verfahren, über das der Arztausweis bestellt werden kann.

Hier, so Armin Flender, handele es sich allerdings um einen „internen Angriff“, weil die Bestellung von Arztausweis und Praxiskarte vorgeblich über zwei tatsächlich existierende Ärzte gelaufen sei. Einer der beiden Ärzte, ein niedergelassener Anästhesist, ist Mitglied des Chaos Computer Clubs und gehörte beim CCC zu den Experten, die über die Sicherheitslücken beim Kongress berichteten.

Sicherheitslücke abweichende Lieferadresse

Die Karten seien auf Wunsch des vorgeblich bestellenden Arztes dann an eine abweichende Lieferadresse geschickt worden. „Tagesschau.de“ titelte daraufhin „Arztausweis landet an der Käsetheke“, wo der Postbote die Chipkarte dann tatsächlich abgeliefert habe.

Dieses Verfahren sei aus Gründen der komfortableren Handhabung für Ärzte für alle Kartenhersteller mit den Körperschaften abgestimmt gewesen, erläuterte Armin Flender im Gespräch mit der „Ärzte Zeitung“, „wir haben uns regelkonform verhalten“.

Die Kartenausgabe sei nun allerdings bis Jahresende gestoppt worden. Da über Arztwebsites, Privatrechnungen und mit einem Kassenrezept viele Daten von Ärzten transparent sind, bis hin zur Betriebsstättennummer der Praxis und der LANR des Arztes, berge die Angabe einer abweichenden Lieferadresse ein zu hohes Risiko für Missbrauch.

Derzeit noch begrenztes Missbrauchspotenzial

Bislang ist das Missbrauchspotenzial in der TI noch begrenzt, da zurzeit nur Versichertenstammdaten über das Netz gehen. Auch die E-Arztausweise von medisign lassen sich in der aktuell ausgegebenen Version noch nicht für Vorgänge in der Telematikinfrastruktur nutzen. Sobald die Feldversuche für den E-Medikationsplan und den Notfalldatensatz beginnen, würde das Missbrauchspotenzial allerdings deutlich wachsen.

Hingewiesen wurde beim CCC-Kongress auch auf die Gefahren durch Falschbestellungen bei elektronischen Gesundheitskarten. Die Bestellung bei der zuständigen Krankenkasse läuft bislang ohne PostIdent-Verfahren, der Versand erfolge ohne Einschreiben. Die Karte kann in Zukunft dazu genutzt werden, auf die medizinischen Daten des Inhabers zuzugreifen. (ger)