Sicherheitsmängel in Kartenterminals aufgedeckt

Hannover. Die gute Nachricht vorweg: Die App-Angebote der Krankenkassen werden allmählich besser. Das haben IT-Experten des Computermagazins „c‘t“ in einer Untersuchung herausgefunden. Die Ergebnisse wurden am Freitag veröffentlicht. Im Vergleich der aktuellen Ergebnisse mit einer Untersuchung aus dem Jahr 2018 habe sich „vieles verbessert“, heißt es dort.

Und dennoch: Gegen den Angriff krimineller Hacker sind zahlreiche Krankenkassen-Apps auch 2020 noch nicht gefeit. Gleiches gilt für Kartenterminals in Arztpraxen, wie die „c‘t“-Experten berichten. Zwar seien die Sicherheitsvorkehrungen zuletzt gestiegen. Haben Kriminelle es jedoch darauf abgesehen, die Schutzvorkehrungen in den Kartenterminals gezielt auszusetzen, so könnten sie das mit etwas Übung schaffen.

Vereinfacht gesagt, verhält es sich mit digitalen Daten damit ähnlich wie mit analogen: Wer es gezielt darauf anlegt, kann sich womöglich Zugriff auf Daten Dritter verschaffen.

Krankenkassen reagieren auf Kritik

Zumindest im Falle der Krankenkassen-Apps, ist es aber nicht so einfach: Die IT-Experten des Computermagazins konnten auch ohne viel Aufwand Mängel in knapp zwei Dutzend Krankenkassen-Apps ausfindig machen. Dazu mussten sie, wie sie schreiben, nicht gesetzeswidrig handeln. Die Experten fanden „im Code der Android-Apps unter anderem Login-Daten und Passwörter im Klartext, veraltete Softwarebibliotheken sowie unverschlüsselte Datenübertragungen“.

Dem Sicherheitsscan unterzogen wurden den Angaben zufolge insgesamt 22 Krankenkassen-Apps, darunter Service-Apps, Ratgeber-Apps und Bonus-Apps von AOK, Barmer, DAK, BKK, und Techniker Krankenkasse (TK). Lediglich die TK-App konnte die Autoren überzeugen: „Die Kasse hat viele wichtige Funktionen in eine App integriert“, heißt es in dem Beitrag. Die AOK, raten die Autoren, sollte „ihr App-Sortiment gründlich ausmisten“, die Barmer „den Einsatz von Trackern überdenken“, und die BKK habe bei den digitalen Signaturen Nachholbedarf.

Die IT-Sicherheitsexperten haben nach eigenen Angaben die Krankenkassen über die Schwachstellen informiert. Diese hätten teils auch bereits reagiert. So habe beispielsweise die IKK durch ein Update der „Meine IKK“-App den gefundenen Fehler binnen 24 Stunden behoben. Auch die DAK habe die entdeckten Sicherheitsmängel sofort abgestellt.

Experten manipulieren Kartenterminal

In einem „Hacker-Experiment“ ist es den IT-Experten des „c‘t“-Magazins außerdem gelungen, das Kartenterminal „ORGA 6141 online“ des Herstellers Ingenico zu knacken, das sie zuvor „ohne Prüfung gebraucht auf eBay“ gekauft haben.

Über eine ungesicherte Klappe an der Unterseite des Terminals, die eigentlich vom Bundesinstitut für Sicherheit in der Informationstechnik (BSI) versiegelt sein müsste, gelang es einer beauftragten Expertin der TU Darmstadt, zu der dahinterliegenden Elektronik vorzudringen. Diese sei durch eine undurchsichtige Folie bedeckt, die mit kleinen stromdurchflossenen Leitungen durchzogen. Werden sie durchtrennt, zeige der Kartenleser auf dem Display eine Warnmeldung an und verweigere den Dienst, heißt es im „c‘t“-Beitrag.

Dennoch sei es der Expertin gelungen, binnen sieben Minuten an den Leitungen vorbei einen Schlitz in die Folie zu schneiden und so an die Elektronik heranzukommen. So könnten beispielsweise Kontakte installiert werden, die etwa das Abgreifen der PIN möglich machen. Auf diese Weise sei es möglich, Patientendaten abzugreifen und sogar gespeicherte Informationen zu verändern. Für eine solche Manipulation sei allerdings „eine sehr ruhige Hand nötig“, heißt es im Fazit des Beitrags.

Aufsichtspflicht einhalten

Vorgeschrieben ist es, dass Praxen die Geräte nicht länger als zehn Minuten unbeaufsichtigt lassen – für den manipulativen Eingriff könnten zehn Minuten aber bereits reichen. Angreifern mit hoher krimineller Energie könnte es also mit etwas Übung gelingen, Kartenterminals zu manipulieren.

Das Szenario, dass Kartenlesegeräte am Empfang unbeaufsichtigt stehen, dürfte in Hausarztpraxen tatsächlich nur selten vorkommen. Am ehesten wäre es noch in kleinen Psychotherapeutenpraxen vorstellbar, dass der Kartenleser über längere Zeit ohne Aufsicht bleibt – wenn er nicht gleich im Sprechzimmer aufgestellt ist.

Mit den medizinischen Anwendungen brauchen Praxen allerdings zusätzliche Kartenleser. Im Sprechzimmer könnten dann beispielsweise die Notfalldaten oder der Medikationsplan digital signiert werden.

Dann wird es komplizierter, die Vorschriften einzuhalten. Ein Patient, der bereits ins Zimmer geführt wurde, könnte die Wartezeit auf Arzt oder Ärztin nutzen, um die Manipulation vorzunehmen. Im Ernstfall sind Ärzte dann in der Pflicht nachzuweisen, dass ihr Kartenterminal nicht länger als zehn Minuten unbeaufsichtigt war.