Hacker verschaffen sich Zugangsberechtigungen zur TI
Die Sicherheitslücken im Zugang zur Telematik-Infrastruktur, die Sicherheitsexperte Martin Tschirsich und sein Team in den letzten Tagen des vergangenen Jahres auf einem Kongress* präsentierten, haben Gematik und die kartenausstellenden Organisationen Bundesärztekammer und Kassenärztliche Bundesvereinigung aufgeschreckt. Jetzt betonen alle, wie wichtig eine schnelle Klärung sei.
Die Mängel in den Identifizierungsverfahren seien nicht hinnehmbar, so die Bundesärztekammer. Beanstandete Prozesse wie das BankIdent- und das KammerIdent-Verfahren für die Arztausweise (eHBA) wurden mit sofortiger Wirkung ausgesetzt. Die zugelassenen Anbieter hätten die Antragsportale zunächst sogar komplett außer Betrieb genommen.
BÄK will nicht verifizierte Lieferadressen überprüfen
Darüber hinaus wird laut BÄK gerade im Detail analysiert, ob und welche bereits abgeschlossenen Anträge eine nicht verifizierte Lieferadresse in Anspruch genommen haben. Dann werde der Kontakt zu den Betroffenen gesucht, um die Gründe für die abweichende Lieferadresse zu klären. Kartenanbieter wie auch herausgebende Kammern könnten die Karten ggf. ohne Mitwirkung des Karteninhabers bei Bedarf sperren.
Auch die KBV drängt auf eine schnelle Lösung – ohne die SMC-B-Karte können die Praxen schließlich nicht an die TI angeschlossen werden. In einem ersten Schritt wurde den KVen noch im Dezember empfohlen, den Bestätigungsprozess umgehend so zu verändern, dass die SMC-B-Karten nur noch an die den KVen bekannten Praxisadressen verschickt werden.
Das Missbrauchspotenzial beim elektronischen Praxisausweis sei derzeit aber äußerst gering, so ein Sprecher der KBV. Ein Unbefugter könne mit dem Ausweis alleine wenig anfangen, sondern müsste sich weitere Komponenten unter falscher Identität besorgen, etwa den Konnektor sowie einen Zugangsprovider zur Telematik-Infrastruktur. Man sei aber dankbar dafür, dass der Chaos Computer Club (CCC) eine potenzielle Schwäche im Prozessablauf entdeckt hat.
Die Gematik will schnellstmöglich gemeinsam mit allen beteiligten Akteuren über Maßnahmen zur Verbesserung der Prozesse entscheiden. Die Gespräche dazu finden aktuell noch statt. Dabei wird sie auch entscheiden müssen, was mit bereits ausgestellten Ausweisen geschehen soll. Nach Informationen des Hacker-Teams hat allein jener Kartenaussteller, der von ihnen getestet wurde, über 80 000 Praxisausweise ohne Identifikation ausgegeben. In den Spezifikationen der Gematik steht dazu, dass möglicherweise kompromittierte Zertifikate zurückgezogen werden müssen.
Auch der Sicherheitsexperte Tschirsich betont, dass aktuell niemand wisse, in wessen Händen sich die ohne Identifikation ausgegebenen Ausweise befinden. Ein Arztausweis habe schließlich heute schon, auch ohne Missbrauchsmöglichkeit als Zugang zur TI, einen hohen Wert für bestimmte Personengruppen, z.B. für die unbefugte Beschaffung rezeptpflichtiger Medikamente. Und Mitte 2020 sollen bereits mit dem Praxisausweis signierte und verschlüsselte Nachrichten zwischen Leistungserbringern ausgetauscht werden können.
Er selbst findet die Ergebnisse seiner Sicherheitsanalyse zwar erschreckend, aber nicht unerwartet. Tschirsich ist Mitglied im Chaos Computer Club, genauso wie sein Mitstreiter, der Anästhesist Dr. Christian Brodowski. Unterstützt wurden sie im Team von Dr. André Zilch, einem Datenschutz- und Identitätsexperten, der seit vielen Jahren auch im Umfeld von Ärzteinitiativen vor Datendiebstählen mithilfe gestohlener eGK-Identitäten warnt (MT berichtete).
Eigentlich lag alles offen, man musste es nur lesen
Die Sicherheitsmängel hätten offen zu Tage gelegen, so Tschirsich. In einem Whitepaper der Gematik sei noch deutlich definiert, wie elementar die zweifelsfreie Identifikation der Teilnehmer des Gesundheitsnetzwerkes sei. In der Spezifikation der KBV ist dann schon keine Rede mehr von einer Identifikation der Antragsteller. Und der Anbieter der Heilberufsausweise medisign habe sogar damit geworben, dass der Bestellvorgang dank des ausgelassenen Identifikationsverfahrens besonders einfach sei. Das Team probierte sich zunächst darin, einen Praxisausweis (SMC-B) zu bestellen. In ihrem Vorgehen müssen Sicherheitstester rechtlich und ethisch einwandfrei arbeiten. Im Vergleich zu einem Angreifer mit kriminellen Absichten sind sie also stärker eingeschränkt. Für den Praxisausweis benötigten die Hacker aber nur den Namen eines Arztes, seine Arzt- und Betriebsstättennummer und eine Praxisadresse. Diese Angaben finden sich auf jedem Rezept. Das dann noch fehlende Geburtsdatum lässt sich z.B. für Gemeinschaftspraxen über das Partnerschaftsregister finden. Diese Angaben tippt man in die Antragsmaske eines der Trust-Service-Provider (TSP) und lässt sich dann den Ausweis an eine beliebige Lieferadresse schicken. Identifikationsnachweise muss man für die Übersendung an die Wunschadresse von Ausweis und PIN an keinem Punkt des Prozesses vorlegen. Die Möglichkeit, den Ausweis an eine Ausweichadresse zu schicken, erklärt die Kassenärztliche Bundesvereinigung gegenüber Medical Tribune damit, dass im Fall von Neugründungen oder Umzügen von Praxen nicht sofort die neuen Standortadressen genutzt werden könnten. Dr. Brodowski aus dem Team der IT-Experten kommentiert die guten Bedingungen für Hacker dagegen so: „Die KBV hat den Prozess falsch spezifiziert, der Trust-Service-Provider – in diesem Fall medisign – hat Fehler bei der Umsetzung gemacht und die Gematik hat den Prozess und den Service-Provider zugelassen.“ Dann versuchte das Team, einen neuen Heilberufeausweis auf den Namen des Arztes zu bestellen. Dazu muss sich ein Arzt eigentlich identifizieren. Außer er ist Kunde der Apobank und bedient sich des BankIdent-Verfahrens. Dann nämlich reicht dem TSP die Bestätigung der Bank, dass diese den Arzt kennt. Und wieder versendete der Kartenaussteller den Ausweis an eine Wunsch-Lieferadresse. Nach vergleichbarem Prinzip ist das Vorab-KammerIdent-Verfahren zu umgehen. Vom Unternehmen medisign, einem der drei ausstellenden TSP, ist bekannt, dass 2018 knapp ein Drittel der Ausweise auf diesem Weg ausgestellt wurden.Dass die eGK leicht zu klauen ist, weiß man schon lange
Dass auch ein Diebstahl einer elektronischen Gesundheitskarte – der Zugangsschlüssel des Versicherten zur TI-Infrastruktur – kein schweres Spiel ist, hatte der Datenschutzexperte Dr. Zilch in den vergangenen Jahren bereits mehrmals und bei verschiedenen Krankenkassen bewiesen. Allein – es veränderte nichts im System. Darauf konnte das Team des CCC vertrauen: Es änderte die Adresse eines (informierten) Versicherten der AOK Hessen per Mail. Einzige Sicherheitskontrolle: Die Kasse wollte eine eingescannte Unterschrift. Die war schnell erfunden und ebenso schnell traf auch die bestellte Gesundheitskarte bei der „neuen“ Adresse des Versicherten ein. Und dann gelang dem Team von Computersicherheits-Hackern auch die Bestellung eines TI-Konnektors. Ganz einfach, via Fax an medkonnekt, ohne Identifikation und mit einer digital von einem Rezept kopierten Unterschrift. Als eine Ursache dieser Sicherheitslücken haben die ITler das Konstrukt der Gematik identifiziert: Die Gesellschafter der Gematik seien eben gleichzeitig die von der Gematik zu kontrollierenden Organisationen. Relevante Prozessschritte seien nicht von der Gesellschaft geprüft worden. Zudem herrsche große Verantwortungsdiffusion: „Nicht nur im Bundesministerium für Gesundheit sprach man hinter vorgehaltener Hand von ‚organisierter Verantwortungslosigkeit‘, weil die beteiligten Organisationen sich gegenseitig die Schuld für Probleme zuschoben.“Gematik muss Kontrollsystem für Prozesse durchsetzen
Für die konkret identifizierten Mängel müssten jetzt die Gesellschafter der Gematik geradestehen. Deren eigene Interessen – Kosten sparen, Komfort bieten, Akzeptanz erhöhen – habe sie bislang gegen eine Prüfung der Umsetzung der Sicherheitsanforderungen sprechen lassen, erklärt Tschirsich. So konnte es seiner Meinung nach zu den offenliegenden Mängeln kommen. Doch die letztliche Verantwortung liege immer noch bei der Gematik. Die Mehrheitsstrukturen in der Gematik können auf jeden Fall nicht mehr als Ausrede gelten. Die wurden nämlich im Oktober geändert und machen Entscheidungen auch gegen den Willen einzelner Institutionen möglich. Die aktuelle Erklärung der Gematik, dass es jetzt Aufgabe der ausstellenden Organisationen sei, dafür zu sorgen, dass die Daten bei der Beantragung von Ausweisen sicher sind, ist damit zwar richtig – doch als verantwortende Stelle muss sie dann auch für die entsprechenden Prozesskontrollen sorgen.*36C3 - 36. Chaos Communication Congress
Medical-Tribune-Bericht