IT-Sicherheitslücke in eHealth-Kartenterminal
Der erste Schritt des unbefugten Zugriffs auf ein Kartenterminal einer Arztpraxis ist offenbar gar nicht schwer: Man muss die Klappe auf der Rückseite des Geräts öffnen. Die ist nämlich weder versiegelt noch verschlossen – entgegen der Angaben des betreffenden Herstellers ingenico. Der schreibt zwar in seinem Handbuch zu dem in Arztpraxen weit verbreiteten Kartenlesegerät ORGA 6141, die Klappe sei mit der Gehäuseunterseite verklebt, ein Öffnen würde das Gerät beschädigen. Doch das stimmt so nicht, schreibt Hartmut Gieselmann vom c't-Magazin.
Das weitere Vorgehen, um sich Zugang ins System hinein zu verschaffen, hat sich der Sicherheitsexperte Thomas Maus bis ins Detail angeschaut. Konkrete Hinweise auf die untersuchte Sicherheitslücke lassen sich übrigens bereits seit 2019 frei im Internet finden. Maus beschreibt, wie sich die elektronische Schutzfolie, die vor einer Manipulation des Gerätes schützen soll, ohne Alarm auszulösen durchdringen lässt. „Was sich für Laien kompliziert anhört, wie etwa die exakten Schnitte in die Folie an den genau richtigen Punkten, ist für einen halbwegs erfahrenen Hacker keine wirkliche Kunst“, sagt er. Das Auslesen z.B. der PIN des Heilberufsausweises sei dann über eine kleine Wanze, die ohne größere Schwierigkeiten ihren Platz im Gerät findet, mittels eines Logik-Analysator kein Hexenwerk mehr.
Unter zehn Minuten für den Zugang, drei Minuten für den Einsatz der Wanze
Auch Dr.-Ing. Jiska Classen der TU Darmstadt konnte auf Veranlassung des Computermagazins die Operation minutiös nachvollziehen und fand einen Weg, in weniger als 10 Minuten die Folie so einzuschneiden, dass sich die darunter liegenden Kontakte erreichen ließen. In weiteren drei bis vier Minuten könne man dann, so ihre Einschätzung, auch einen Mikro-Rechner mit WLAN platzieren (Kosten: ca. 5 Euro) und so nicht nur PINs abgreifen, sondern – mit einem etwas größerem Aufwand – sogar Kommandos injizieren.
Wie in solchen Fällen üblich, informierten die Pentester – „die guten Hacker“ – den Hersteller, die Gematik und das Bundesamt für Sicherheit in der Informationstechnik (BSI) über ihr Wissen um die Schwachstellen. Die Reaktion: Ein solcher Angriff sei in der Praxis kaum durchführbar. Man glaube weder den Bildern der Hacker, noch dass diese tatsächlich durch die Sicherheitsfolie schneiden konnten, ohne Alarm auszulösen, sei die Antwort gewesen, berichtet das Magazin.
Nach Einschätzung des Sicherheitsexperten Eric Sesterhenn vom IT-Security-Unternehmen X41, den wir um eine erste Bewertung des Sachverhaltes gebeten haben, erfordert ein solcher Angriff zwar ein ambitioniertes Vorgehen und gute Planung. Grundsätzlich sei das Vorgehen aber durchaus vorstellbar, auch mit kleinen Mitteln. Das Risiko bestünde in erster Linie darin, mit Skalpell am Gerät erwischt zu werden. „Ich halte einen solchen Einsatz aber z.B. in der Mittagspause, wenn die Praxis leer ist, für machbar.“
Dazu kommt: Wer zielstrebig ist, kann sich natürlich auch bessere Werkzeuge basteln, z.B. mit Schnittmarkierungen und -führungen. Damit lässt sich die benötigte Zeit wohl deutlich reduzieren. Auch die Implantierung der Wanze lässt sich offenbar beschleunigen. Und ambitionierte Angreifer könnte es sehr wohl geben - auch solche, deren kriminelle Energie ausreicht, einen älteren Patienten im Treppenhaus stürzen zu lassen, sodass Arzt und MFA erstmal den Notfall versorgen müssen, während ein Komplize in der Praxis freie Bahn hat.
Kartenterminal darf nicht länger als zehn Minuten ohne Aufsicht sein
Der Hersteller hat sich gegen solche Szenarien – ganz den Vorgaben des BSI folgend – abgesichert. Zwar hat man die Bodenplatte nicht verklebt, doch die Sicherheitsvorgaben geben dem Arzt vor, das Terminal in der Arztpraxis maximal zehn Minuten ohne Aufsicht zu lassen. Davon abgesehen, dass einige Dinge vorstellbar sind, die im Notfall zu ungeplanter Abwesenheit führen könnten, und dass ein solcher Hackerangriff zumindest in Schritten von weniger als zehn Minuten Erfolg verspricht – es bleibt die Frage: Wie beweist eine Arztpraxis nach einer Manipulation am Kartenterminal, dass dieses niemals länger als zehn Minuten unbeaufsichtigt war?
Sicherheitsvorgaben für das Gerät gibt es etliche. Im betreffenden Handbuch steht zum Beispiel auch: „Insbesondere vor der Inbetriebnahme zu Dienstbeginn und nach Mittagspausen sowie nach längeren Abwesenheiten vom Einsatzort des Terminals, sind die Siegel auf Unversehrtheit und Echtheit zu überprüfen.“ Der Hersteller bezieht sich damit auf Siegel am Gerät, die an der relevanten Unterseite des Gerätes ja sogar ausgespart wurden. „Ob ein Terminal dagegen über die beschriebene Technik angegriffen wurde, kann der Laie eigentlich gar nicht feststellen", gibt Thomas Maus zu bedenken.
Wie realistisch ist die lückenlose Einhaltung der Sicherheitsvorgaben? Und wie nachweisbar?
Darüber hinaus gibt der Hersteller vor, dass sich keine technischen Geräte mit Kamera oder Mikrofon, also auch keine Mobil- oder Festnetztelefone, im Umkreis von einem Meter um das Terminal befinden dürfen. Das Gerät soll mindestens einen Meter Abstand zur Wand zum Nachbarn haben. Es soll nach jeder Abwesenheit, morgens, nach Mittagspausen und regelmäßig vor der Nutzung auf Manipulation hin untersucht werden. Und das Maskierungsrauschen beim Eintippen einer PIN muss auf die höchstmögliche Lautstärke eingestellt sein für einen zertifizierten und zugelassenen Betriebszustand.
Kennen die Praxisteams diese Vorschriften? Wie umfassend kann man sich im Praxisalltag überhaupt an solche Vorschriften halten? Und werden die Praxen das im Falle eines Falles nachweisen können? Das Problem: Versäumen Praxisverantwortliche die lückenlose Einhaltung von Sicherheitsvorgaben, könnte ihnen das unter Umständen zur Haftungsfalle werden.