Am Tag nach dem Start der ePA muss die Gematik melden, dass sie mit einer “Sofortmaßnahme” eine weitere Sicherheitslücke geschlossen hat.
Trotz zusätzlicher Sicherheitsmaßnahmen weist die seit Dienstag für alle gesetzlich Versicherten verfügbare elektronische Patientenakte (ePA) weiterhin Schwachstellen auf. Am Mittwoch teilte die Gematik mit, sie habe mit einer “Sofortmaßnahme” eine weitere Sicherheitslücke geschlossen.
Hintergrund sind neue Erkenntnisse von Sicherheitsexperten aus dem Umfeld des Chaos Computer Clubs (CCC). Zusammen mit Christoph Saatjohann, Professor für IT-Sicherheit an der FH Münster, hatten Bianca Kastl und Martin Tschirsich entdeckt, dass sich die Anschrift und der Versicherungsbeginn über die elektronische Ersatzbescheinigung (eEB) abfragen lassen. Diese ist für Patienten gedacht, die ihre Gesundheitskarte vergessen haben. Damit ließ sich eine Sicherungsmaßnahme umgehen, die den unbefugten Zugriff verhindern soll.
Daten für Hashwert abrufbar
Um auf eine Patientenakte zuzugreifen, benötigt man neben einem Zugang zur Telematikinfrastruktur die Krankenversichertennummer und die Gesundheitskartennummer des Patienten sowie einen Hashwert. Diese “Hash Check Value” (HCV) wird aus dem Versicherungsbeginn, der Straße und Hausnummer des Versicherten errechnet. Die Idee ist, dass diese Daten nur über den Chip auf der Gesundheitskarte zugänglich sind. Dem ist aber offenbar nicht so: Die Daten werden unter anderem über den KIM-Dienst versendet.
Saatjohann erstellte laut einem Bericht des Spiegel ein Programm, mit dem diese Daten bei mehreren Krankenkassen abrufbar waren, darunter die Techniker Krankenkasse und die Barmer. Die Schnittstelle für elektronische Ersatzbescheinigungen ist relativ neu und bisher optional, daher unterstützen viele Praxisanwendungen sie bisher nicht. Saatjohann erwartet, dass sich dies ändern wird, wodurch Angreifer fertige Software nutzen könnten, um den Aufwand zu verringern.
Tschirsich sagte gegenüber heise online: “Gerade die großen Kassen bieten das Verfahren [die elektronische Ersatzbescheinigung, Anm. d. R.] schon seit vergangenem Jahr an. Vor dem Hintergrund, dass die elektronische Ersatzbescheinigung ab Juli 2025 von Krankenkassen verpflichtend anzubieten ist, haben die meisten Kassen diese bereits umgesetzt”. Das Verfahren für die Ersatzbescheinigungen sei seit 2023 bekannt, sodass Angreifer genug Vorlauf gehabt hätten. Betroffenen, deren Anschrift und Versicherungsbeginn Dritten bekannt würden, bliebe nur der Umzug oder Kassenwechsel. “Das kann es nicht sein”, meint Tschirsich.
CCC spricht von Flickschusterei
Die Gematik, die für die Digitalisierung des Gesundheitswesens und damit auch für die ePA verantwortlich ist, hat nach eigenen Angaben unmittelbar nach Bekanntwerden der Vorwürfe gehandelt. “Laut CCC ist es möglich gewesen, über elektronische Ersatzbescheinigungen von Versichertenkarten den Behandlungskontext einer versicherten Person zu fälschen. In Kombination mit der Versichertennummer, einem Codierungsschlüssel sowohl einem illegal beschafften Praxisausweis (SMC-B) und einem Anschluss an die Telematikinfrastruktur (TI) wäre damit theoretisch der Zugriff auf Patientenakten vereinzelt möglich”, heißt es seitens der Gematik. Sie gehe nicht davon aus, dass Versichertendaten tatsächlich abgeflossen seien.
Im Spiegel-Bericht bezeichnen die Sicherheitsforscher den zentralen neuen Sicherungsmechanismus als “nachgewiesen wirkungslos”. Tschirsich wird mit den Worten zitiert: “Man hat ein zusätzliches Vorhängeschloss an die Tür gemacht, doch der Schlüssel liegt weiterhin unter der Fußmatte.” CCC-Sprecher Linus Neumann kritisiert gegenüber dem Spiegel den gewählten Sicherheitsansatz grundsätzlich als “Flickschusterei”, die “die Komplexität erhöht, ohne den Schutz zu verbessern.”
Bundesgesundheitsminister Karl Lauterbach erklärte in der Stellungnahme der Gematik: “In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen. Ich bin der Gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen hat. Die elektronische Patientenakte muss sehr gut geschützt bleiben. Massenangriffe auf Patientendaten müssen ausgeschlossen bleiben.”