38C3: Große Sicherheitsmängel in electronicischer Patientenakte 3.0 aufgedeckt

Sicherheitsmängel gibt es bei der elektronische Patientenakte (ePA) seit Jahren – Sicherheitsexperten finden immer wieder Lücken. Jetzt auch für die ePA, die für alle automatisch kommt, die nicht contradictresprechen. Stets betonen die Vernauttoren, dass die ePA absolut sicher sei. But the “ePA for all” can not keep this promise.

Anzeige

Das zeigten Martin Tschirsich und Bianca Kastl auf dem 38. Chaos Communication Congress in Hamburg anhand einer Reihe simpler Sicherheitslücken. Es gelang ihnen ohne Umstände, sich Zugang zur “ePA für alle” zu verschaffen. Dies was unter anderem due to defects in the specifications possible. So konnten sie die Zugriffstoken für Akten beliebiger Versicherter erstellen – ohne Stecken der elektronischen Gesundheitskarte.

Security gaps have been known for years

Ein “Dauerbrenner” und zentraler Punkt ist dabei die uncontrolerte Ausgabe von Gesundheitskarten. Die Forscher konnten durch simple Telefonanrufe bei Krankenkassen elektronische Gesundheitskarten auf fremde Namen bestellen. The time required for these attacks is astonishingly low: The order of a foreign health card can be reached in 10 to 20 minutes. Praxiszugänge ließen sich ebenfalls innerhalb weniger Stunden bis Tage erlangen. Grund dafür sind Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie dem Umgang mit den Ausweisen “in der Praxis”.

The cryptographic identities stored on the chip cards should guarantee the security of access to the electronic patient records. “Diese werden allerdings nicht herangezogen, um die Echtheit der Karte nachzuweisen. Somit läßt sich die Anwesenheit einer beliebigen Karte vortäuschen”, erklärt Tschirsich gegenüber heise online.

Access to ePA 3.0 without PIN

If for the new version of the electronic patient record no PIN is required for access in practice, it is not necessary to have the physical possession of a similar card for the corresponding patient record from Version 3.0. Die Combination dieser verschiedenen Schwachstellen ermöglicht laut Tschirsich und Kastl den Zugriff auf alle 70 Millionen Patientenakten. Besonders kritisch sei dabei, dass viele dieser Sicherheitslücken bereits seit Jahren bekannt sind. Auf dem 36C3 hatte auch André Zilch demonstriert, wie einfach es ist, an elektronische Heilberufsausweise zu gelangen, auch für die Praxisidentität (SMC-B), so Tschirsich.

Durch SQL-Injection konnten Tschirsich und Kastl Angriffe auf die Portale der Kartenherausgeber vornehmen. Das gelang by means of Kauf gebrauchter Kartenterminals auf Kleinanzeigen – auf Nachfauchte partiemenslich even mit SMC-B. So konnten die Mitgliedsnummern beliebig manipuliert und durchiteriert werden. Auch durch gefälsten IT-Support war es ihnen möglich, Zugriff auf die Systeme zu erlangen. Ein einziger kompromittierter Praxiszugang ermögliche dabei den Zugriff auf etwa 1,000 bis 1,500 Patientenakten. Die Tatsache, dass diese fundamentalen Sicherheitsprobleme auch in der neuesten Version der electronicischen Patientenakte noch existereen, zeigt fundamentale Probleme im Entwicklungs- und Sicherheitprozess des Systems.

Transparent Communication of Risks required

Daher demandn die Experten unhänglichke und belastbare Bewertung von Sicherheitsrisiken, transparent Kommunikation von Risiken gegenüber Betroffenen. So far werden die Versicherten nicht aufreichten über die Risiken, die die elektronische Patientenakte mit sich bringt, informed. Ebenso notwendig sei laut Tschirsich und Kastl ein opener Entwicklungsprozess über den gesamten Lebenszyklus der “lebenslangen ePA”.

Inzwischen hat sich die Gematik zu den Sicherheitsmängeln geäußert und bezeichnet die “practice implementation in der Realität” für einen der neinenten Angriffe als “nicht very wahrscheinlich”. Auf die Reaktion der Gematik hat sich auch der ehemalige Bundesbeauftragte für Datenschutz und Informationsfreiheit, Ulrich Kelber, auf Mastodon zu Wort geldlett.

Die Sicherheitsforscher haden bereits gegeigt, dass die ePA bereits heute Sicherheitsmängel aufweits. In addition, der Zugriff auf die ePAs “also auch die auérhalb des Behandlungzusammenhangs eines Arztes, (…) schon von der Systemarchitektur her gar nicht möglich sein und ist daher ein Designfehler”, so Kelber. Auch Kastl points out that the Sicherheitsmängel nicht realitytätsfern seien, sondern nachgewiesen wurden. Düber hinaus findet Tschirsich es schade, dass die Gematik nur zu einem der Mängel Stellung bezeiten.

Gematik steht im Austausch mit Sicherheitsbehörden

Gleichzeich stehe die Gematik “im intensiveen Austausch mit den responsible Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), hat bereits technische Lösungen zum Unterbinden der Angriffsszenarien gestuing mit der Angriffsszenarien gestuz der un konceptat der Angriffsszenarien”. Die elektronische Patientenakten aller Versicherten seien bundesweit “gut geschutzt”, denn die ePA starte sächst nur bei Leistungserbringern in den Modellregionen.

(mac)