Sicherheitslücken bei der ePA?

Der Chaos Computer Club (CCC) ist eine ethische Hackervereinigung, die immer wieder Sicherheitslücken in der IT aufdeckt. Zum Jahresende nahm er sich die elektronische Patientenakte (ePA) vor. Über die dort gefundenen Mängel berichteten die IT-Experten Martin Tschirsich und Bianca Kastl auf dem Chaos Communication Congress in Hamburg. Sie testeten mehrere mögliche Szenarien, u. a diese:

1. Zugriff auf eine einzelne ePA:

„Der gezielte Zugriff auf eine bestimmte Akte gelang wie auch schon in den Jahren zuvor mit weniger als 20 Minuten Zeiteinsatz“, berichtet Martin Tschirsich. Grundlage war die Anforderung einer Ersatz-Gesundheitskarte bei einer „großen“ Krankenkasse. Als Adressat gab man die Adresse eines vermeintlichen Angreifers an, der sich vorab mit diesem Experiment natürlich einverstanden erklärte. „Zwei Telefonate haben wir dafür gebraucht“, sagt Martin Tschirsich. Man benötige zwar neben dem Namen des Versicherten auch dessen Krankenversicherungsnummer und das Geburtsdatum. Diese seien für Hacker jedoch leicht zu beschaffen. 

1. Zugriff auf Praxisakten

In diesem Fall versuchten Martin Tschirsich und Bianca Kastl, sich Zugang zu den Akten einer Arztpraxis zu verschaffen. Dafür stellten sie sich den Arztpraxen als IT-Dienstleister für den Support vor. Für diese schalten Praxen ihre Institutionsausweise frei, sodass sie Zugriff auf alle Patientenkonten haben.

Schwarze Schafe bei IT-Dienstleistern zu erkennen, sei für Ärzte nicht möglich, erklärt Martin Tschirsich. Er sieht diese Methode als Einfallstor Nr. 1. Davor schütze auch nicht die Liste zertifizierter Dienstleister der Kassenärztlichen Bundesvereinigung (KBV), denn die einzelnen Anbieter würden nicht in dem Maße überprüft, dass jemand mit unlauteren Absichten auffallen würde.

Eine weitere Möglichkeit, um an die Patientendaten einer Praxis zu kommen, sei der Gebrauchtwarenmarkt im Internet. Dort würden viele IT-Teile verkauft, die z. B. aus Praxisauflösungen stammten. Man könne sich auf diesem Weg Konnektoren samt Konnektor- und SMB-C-Karten kaufen. „Wenn man höflich fragt, bekommt man auch die Passwörter dazu“, berichten sie. So könnten Kriminelle Zugriff auf die TI erhalten. 

Zum Thema Passwörter empfehlen IT-Experten den Praxen, starke Logins- und Passwörter zu verwenden. Diese sollten aus mehreren Komponenten wie Groß- und Kleinbuchstaben, Zahlen und Satzzeichen bestehen. Je länger und komplexer, desto schwieriger sind sie zu hacken. Regelmäßig sollten die Passwörter gewechselt und natürlich nicht an Dritte weitergegeben werden.

Kein Grund zur Sorge?

Die gematik äußerte sich bereits zu den Vorwürfen. Sie hält die Angriffsszenarien zwar für technisch möglich, die reale Durchführung jedoch für nicht sehr wahrscheinlich. Nötige Voraussetzungen wie die illegale Beschaffung von Institutionsausweisen, der dazugehörigen PIN, des Vertrags mit einem Zugangsdienst sowie der komplexen Manipulation seien eher nicht umsetzbar. Sie wies darauf hin, dass solche unberechtigten Zugriffe auf die ePA strafbar seien und sogar Freiheitsstrafen nach sich ziehen könnten. Die ePA sei bereits jetzt mit den höchsten Sicherheitsstandards versehen, zusätzliche wären in Arbeit. 

Sicherheitslücken zu blauäugig betrachtet?

Das Bundesgesundheitsministerium (BMG) versicherte gegenüber der Ärzte Zeitung, dass diese theoretischen Probleme vor der Einführung der ePA gelöst sein würden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) werde dies „zu gegebener Zeit offiziell bestätigen“, so eine BMG-Sprecherin. Martin Tschirsich hält die Sichtweise für naiv. Er spricht sich u. a. dafür aus, dass Versicherte für ihre Gesundheitskarte einen PIN festlegen können, wenn sie das möchten. „Wir brauchen Lösungen, die alle glücklich machen.“ Bisher habe man eine ePA, deren Sicherheitsfaktor beim Schutz des Einzelnen versagt, sobald ein Angreifer zum Telefon greife.