1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
|
title: CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk
date: 2019-12-27 14:53:06
updated: 2019-12-27 14:53:06
author: erdgeist
tags: update, pressemitteilung, gematik, 36c3
Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen. An das Netz sind über 115.000 Praxen angeschlossen. Über das System sollen in naher Zukunft verpflichtend digitale Patientendaten und elektronische Rezepte ausgetauscht werden.
<!-- TEASER_END -->
CCC-Sicherheitsforschern ist es gelungen, sich gültige
Heilberufsausweise, Praxisausweise, Konnektorkarten und
Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen
Identitäten konnten sie anschließend auf Anwendungen der
Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen.
Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und
demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten
erschleichen können. Im Falle der eGK gelang dies bereits zum
wiederholten Male.
### Die Diagnose
- Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation
des Antragstellers vollständig verzichtet. Ein Angreifer kann so
Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit
Einführung der elektronischen Patientenakte kann der Angreifer die
vollständigen Inhalte der für diese Praxis freigegebenen
Patientenakten einsehen.
- Bei Ausgabe der elektronischen Heilberufsausweise (HBA) kommen
völlig ungeeignete Identifikationsverfahren zum Einsatz. Angreifer
im Besitz eines eHBA können damit nicht nur Rezepte, sondern
beliebige Dokumente signieren.
- Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die
Identifikation des Antragstellers ebenfalls völlig ungeeignete
Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf
die jeweiligen Patientenquittungen möglich, in der die
durchgeführten ärztlichen Leistungen verzeichnet sind. Schon in
naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den
elektronischen Medikationsplan und den Notfalldatensatz sowie die
elektronische Patientenakte ermöglicht werden.
Die Ergebnisse präsentiert der [CCC-Sicherheitsexperte Martin
Tschirsich](https://media.ccc.de/v/35c3-9992-all_your_gesundheitsakten_are_belong_to_us)
zusammen mit dem Arzt Christian Brodowski und dem Experten für
Identitätsmanagement André Zilch [beim diesjährigen Chaos Communication
Congress (36C3) in
Leipzig](https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10595.html).
Der Vortrag [kann im Live-Stream
verfolgt](https://streaming.media.ccc.de) werden und [ist anschließend
unter media.ccc.de](https://media.ccc.de/) verfügbar.
### Die Ursachen
- Das Konstrukt der gematik: Die Gesellschafter der gematik sind
gleichzeitig von der gematik zu kontrollierenden Unternehmen.
- Nachlässigkeit: Vernachlässigung der Sicherheit organisatorischer
Abläufe bei Umsetzung und Zulassung.
- Mangelnde Prüfung: Relevante Prozessschritte wurden nicht durch die
gematik geprüft.
- Verantwortungsdiffusion bei den beteiligten Unternehmen und
Institutionen: Nicht nur im Bundesministerium für Gesundheit sprach
man hinter vorgehaltener Hand von "organisierter
Verantwortungslosigkeit", weil die beteiligten Unternehmen sich
gegenseitig die Schuld für Probleme zuschoben.
### Der CCC verschreibt
- Schadensbegrenzung: Die gematik muss jetzt prüfen, inwieweit
unberechtigte Zulassungen entzogen und falsch ausgestellte
Zertifikate zurückgenommen werden müssen.
- Zuverlässige Kartenbeantragungs- und herausgabeprozesse:
Beantragung, Identifikation und Ausgabe müssen entsprechend dem
Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden.
- Volle Umsetzung der eGK als Identitätsnachweis.
- Neuplanung und saubere Implementierung der Prozesse die zur
Ausstellung von eGK, HBA und SMC-B führen sowie Kontrolle der
Umsetzung.
- Organisierte Verantwortung statt organisierter
Verantwortungslosigkeit: Eine unabhängige zentrale Stelle sollte für
die Informationssicherheit der Telematikinfrastruktur verantwortlich
sein. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern auch
ihre ordnungsgemäße Umsetzung unabhängig prüfen.
Wir wünschen dem deutschen Gesundheitswesen eine schnelle Genesung!
## Hintergrundinformation
### Was ist die Telematik-Infrastruktur
Weitgehend unbemerkt von der Öffentlichkeit ist inzwischen die digitale
Vernetzung des deutschen Gesundheitswesens weit fortgeschritten. Über
115.000 Arzt- und Zahnarztpraxen sind inzwischen an ein virtuelles
Netzwerk – die sogenannte Telematik-Infrastruktur – angeschlossen. Dazu
wurden diese Praxen mit Spezialhardware und elektronischen
Praxisausweisen ausgestattet.
Damit ist der Weg frei für die Einführung weiterer Anwendungen: Ab der
ersten Jahreshälfte 2020 werden die elektronischen Notfalldaten, der
elektronische Medikationsplan sowie das sichere Kommunikationsverfahren
zwischen Leistungserbringern erwartet. Am 1. Januar 2021 folgt dann die
elektronische Patientenakte und somit der Einstieg in die vollständige
Digitalisierung unserer Gesundheitsdaten.
### Technische Details
Zur Gewährleistung der Sicherheit der Telematikinfrastruktur und darauf
aufbauender Anwendungen wie der elektronischen Patientenakte ist die
„zuverlässige und eindeutige Identifikation“ aller Teilnehmer „zwingend
notwendig“.
Teilnehmer sind insbesondere *Versicherte*, *Leistungserbringer* wie
Ärzte und *Leistungserbringerinstitutionen* wie Arztpraxen und künftig
Krankenhäuser und Apotheken.
Sämtliche Zugriffe auf die Telematik-Infrastruktur werden anhand
kryptografischer Identitäten gesichert.
Hierzu soll ein *Trust Service Provider* (TSP) nach sicherer
Identitätsprüfung eines Teilnehmers dessen kryptographische Identität -
bestehend aus privatem Schlüssel und Zertifikat - erzeugen und
rechtsverbindlich mit dessen realer Identität verknüpfen. Die
kryptographische Identität wird auf einer Chipkarte wie der
Gesundheitskarte (eGK), dem Praxisausweis (SMC-B) oder dem
Heilberufsausweis (eHBA) gespeichert.
Identitätsmissbrauch auf Grundlage erschlichener kryptographischer
Identitäten stellt eine unmittelbare Bedrohung für den Vertrauensraum
der TI und somit für die Sicherheit der auf der TI aktuell und
zukünftig laufenden Anwendungen wie der elektronischen Patientenakte
(ePA) dar: „Die Korrektheit der Kartenherausgabeprozesse ist – wie bei
nahezu allen digitalen Prozessen in der TI – notwendige Voraussetzung“
[schreibt die gematik in ihrer
Spezifikation](https://www.vesta-gematik.de/standard/formhandler/324/gemSpec_SGD_ePA_V1_2_0.pdf).
Dass diese notwendige Vorraussetzung nicht erfüllt ist, konnten die
Sicherheitsforscher des CCC mit einfachen, rein nichttechnischen Mitteln
zeigen.
|