Vorsicht bei PIN und PUK Daran kann die Installation des eHBA scheitern
Ein Allgemeinmediziner aus dem Ruhrgebiet hat sich an Medical Tribune gewandt: Er hatte bei D-Trust einen elektronischen Heilberufsausweis (eHBA) beantragt. Die Installation sollte von einem lokalen IT-Dienstleister ausgeführt werden. Doch dann informierte ihn dieser während der Installation, dass offenbar die mitgelieferten PINs des Arztausweises falsch bzw. ungültig seien und die Installation nicht ausgeführt werden könne. Die PINs und PUKs, die die Bundesdruckerei geschickt hatte, würden jedesmal die Meldung auslösen, das Passwort sei falsch oder ungültig.
Daraufhin kontaktierte der Arzt die Firma D-Trust. Diese stellte jedoch nicht wie gewünscht neue PINs aus, sondern erklärte, bei der Installation wären die Codes falsch eingegeben worden. Der Arzt müsse einen neuen elektronischen Arztausweis beantragen und bezahlen. Denn: „Nach dreimaliger Falscheingabe der PIN.CH Transport-PIN oder PIN.QES Transport-PIN wird der eHBA gesperrt. Eine Entsperrung mit der PUK.CH oder PUK.QES ist nicht möglich.“ Es müsse ein Reklamationsantrag für die betroffene Karte gestellt werden, um eine Austauschkarte zu erhalten. „Für Ihre alte Karte haben Sie die Möglichkeit, eine Kulanzanfrage zu stellen.“
Der Arzt war sauer: Er konnte seine Praxis nicht zum Stichtag für die eAU fit machen und die 500 Euro sollten vielleicht auch noch futsch sein. Dabei könne man ja wohl kaum seine Praxis für das Geschehen verantwortlich machen. Der Arzt glaubt, dass die Firma D-Trust nicht rechtskonform mit ihm umgegangen ist.
Vielleicht wurden sogar nur die PINs verwechselt
Eric Sesterhenn, Principal Security Consultant des IT-Unternehmens X41 D-SEC aus Aachen, ist spezialisiert auf Chipkarten. Er erklärt, dass es natürlich nie ausgeschlossen sei, dass eine Karte tatsächlich defekt ist bzw. etwas im Druck schiefgegangen ist. Das ließe sich allerdings nur mit sehr großem Aufwand eindeutig herausfinden. Der konkrete Fall berge allerdings eine gewisse Wahrscheinlichkeit, dass bei der Installation etwas schiefgelaufen ist. Möglicherweise seien auch verschiedene PINs miteinander verwechselt worden.
Grundsätzlich – so beschreibt es auch D-Trust in ihrer Freischaltungsanleitung – gebe es Transport-PINs für die erstmalige Aktivierung des eHBA. Nach der Freischaltung über diese Aktivierung-PINs würden neue PINs gesetzt. Während diese mit den entsprechenden PUKs jedoch zurücksetzbar seien, gilt das für die Transport-PINs nicht: Nach dreimaliger Falscheingabe werden sie endgültig gesperrt und können auch durch die PUKs nicht zurückgesetzt bzw. entsperrt werden. Das müsse aber nicht unbedingt so sein, erkärt der ITler.
Transport-PINs werden nach Falscheingabe gesperrt
Es sei abhängig vom Hersteller, ob eine PUK eine Transport-PIN zurücksetzen kann oder nicht. Das beschriebene Verhalten, dass die Transport-PINs nicht über die PUKs zurückgesetzt werden können, sei durchaus nicht unüblich. Neue Transport-PINs für eine vorhandene Karte auszustellen, sei technisch weder möglich noch beabsichtigt, erklärt Sesterhenn weiter. Es brauche also an dieser Stelle tatsächlich eine neue Karte. Habe sich die Karte erst einmal gesperrt, sei es auch nicht mehr möglich, zu überprüfen, wie die PINs hätten sein müssen – wäre das möglich, wäre die Karte für bestimmte Angriffe verwundbar. Der Praxis-Rat des ITlers ist simpel: Bei einer zweimaligen Fehlermeldung auf eine PIN oder PUK innehalten und die Hotline des Anbieters kontaktieren.
Medical-Tribune-Recherche