![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Recherchen des Hamburger Chaos Computer Clubs (CCC), des NDR und des Spiegel haben schwere Sicherheitsl\u00fccken im deutschen Gesundheitsdatennetz aufgedeckt. Wegen der Schwachstellen wurde die Ausgabe von Arztausweisen vorerst gestoppt. Die Erkenntnisse wurden auf dem CCC-Kongress 2020 vorgestellt.<\/p>\n
<\/p>\n
Wegen Sicherheitsl\u00fccken im deutschen Gesundheitsdatennetz wird die Vergabe von Praxis- und Arztausweisen zun\u00e4chst gestoppt. Zuvor hatten der NDR und der \"Spiegel\" \u00fcber Schw\u00e4chen wie Datenlecks im digitalen Gesundheitsdatennetz berichtet, die IT-Experten des Chaos Computer Clubs aufgesp\u00fcrt hatten.<\/p><\/blockquote>\n Ein Rechercheverbund von NDR, Spiegel und den IT-Experten des Chaos Computer Clubs hatten die Schw\u00e4chen aufgesp\u00fcrt.<\/p>\n Es sollte das R\u00fcckgrat der digitalen Patientenakte werden: Die Telematikinfrastruktur oder das Gesundheitsdatennetz. \u00dcber dieses Gesundheitsdatennetzwerk steht f\u00fcr \u00c4rzte, Kliniken und Krankenkassen eine Telematikinfrastruktur bereit, um die Daten der elektronischen Patientenakte auszutauschen.<\/p>\n Unbemerkt von der \u00d6ffentlichkeit ist die digitale Vernetzung des deutschen Gesundheitswesens weit fortgeschritten. \u00dcber 115.000 Arzt- und Zahnarztpraxen sind inzwischen an ein virtuelles Netzwerk \u2013 die sogenannte Telematikinfrastruktur \u2013 angeschlossen. Dazu wurden diese Praxen mit Spezialhardware und elektronischen Praxisausweisen ausgestattet.<\/p>\n Damit ist der Weg f\u00fcr die Einf\u00fchrung weiterer Anwendungen frei: Ab der ersten Jahresh\u00e4lfte 2020 werden die elektronischen Notfalldaten, der elektronische Medikationsplan sowie das sichere Kommunikationsverfahren zwischen Leistungserbringern erwartet. Am 1. Januar 2021 folgt dann die elektronische Patientenakte und somit der Einstieg in die vollst\u00e4ndige Digitalisierung unserer Gesundheitsdaten.<\/p>\n Zur Gew\u00e4hrleistung der Sicherheit der Telematikinfrastruktur und dar\u00adauf aufbauender Anwendungen wie der elektronischen Patientenakte ist die \u201ezuverl\u00e4ssige und eindeu\u00adtige Identifikation\" aller Teilnehmer \u201ezwingend notwendig\". Teilnehmer sind in diesem Verbund insbesondere Versi\u00adcherte<\/em>, Leistungserbringer<\/em> wie \u00c4rzte und Leistungserbringerinstitutionen<\/em> wie Arztpraxen und k\u00fcnftig Krankenh\u00e4user und Apotheken.<\/p>\n S\u00e4mtliche Zugriffe auf die Telematikinfrastruktur werden anhand kryptografischer Identit\u00e4ten gesichert. Hierzu soll ein Trust Service Provider<\/em> (TSP) nach sicherer Identit\u00e4tspr\u00fcfung eines Teilnehmers dessen kryptographische Identit\u00e4t – bestehend aus privatem Schl\u00fcssel und Zertifikat – erzeugen und rechtsverbindlich mit dessen realer Identit\u00e4t verkn\u00fcpfen. Die kryptographische Identit\u00e4t wird auf einer Chipkarte wie der Gesund\u00adheitskarte (eGK), dem Praxisausweis (SMC-B) oder dem Heilberufsausweis (eHBA) gespeichert.<\/p>\n F\u00fcr den Zugriff auf das Gesundheitsdatennetz werden daher diese elektronischen Arztausweise, Praxisausweise und auch die Gesundheitskarte des Patienten ben\u00f6tigt. Eigentlich eine gut abgesicherte Infrastruktur. Und am 1. Januar 2021 sollte es eigentlich losgehen, mit der digitalen Patientenakte.<\/p>\n Identit\u00e4tsmissbrauch auf Grundlage erschlichener kryptographischer Identit\u00e4ten stellt eine unmit\u00adtelbare Bedrohung f\u00fcr den Vertrauensraum der TI und somit f\u00fcr die Sicherheit der auf der TI aktu\u00adell und zuk\u00fcnftig laufenden Anwendungen wie der elektronischen Patientenakte (ePA) dar: \u201eDie Korrektheit der Kartenherausgabeprozesse ist \u2013 wie bei nahezu allen digitalen Pro\u00adzessen in der TI \u2013 notwendige Voraussetzung\" schreibt die gematik in ihrer Spezifikation<\/a>.<\/p>\n IT-Sicherheitsexperten des Chaos Computer Clubs (CCC) wollten wissen, wie sicher der Versand dieser Ausweise, die zum Zugriff auf die Gesundheitsdaten erforderlich sind, eigentlich ist. In einer Mitteilung<\/a> geben die IT-Experten des CCC an, dass es ihnen gelungen sei, sich g\u00fcltige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identit\u00e4ten Dritter zu verschaffen.<\/p>\n F\u00fcr die elektronische Gesundheitskarte (eGK) reicht ein Anruf bei der Krankenkasse. Man braucht im Prinzip nur das Geburtsdatum des Versicherten bzw. dessen Versicherungsnummer und kann sich die Karte zustellen lassen. Nennt man eine neue Adresse, an die man umgezogen ist, wird die Karte dort hin geschickt \u2013 \u00fcberpr\u00fcft wird nichts. Das ist letztendlich ein Kompromiss zwischen Nachweis der Versicherung bei der Krankenkasse und der Unterst\u00fctzung der Versicherten bei einer verlorenen Gesundheitskarte. Nun kommt dieser eGK aber eine weitere Funktion der Freischaltung der elektronischen Daten zu. Da reicht der bisherige Ansatz eigentlich nicht mehr aus.<\/p>\n Auch die Beschaffung eines Arztausweises, wie er f\u00fcr Heilberufe gefordert wurde, war recht einfach m\u00f6glich. Die notwendigen Daten bekamen die Hacker von einem \u00e4rztlichen Rezept, das Geburtsdatum des Arztes aus dem Gewerberegister. Alles in einem Antrag eingetragen und ausgedruckt. Das Ganze unleserlich mit einem 'Arzt-Krakel' unterschrieben. Und schon landeten der Arztausweis und das Schreiben mit einem PIN, ausgestellt auf einen Dr. med. Cyber, bei den Hackern. Dazu hatten die Hacker (laut Tagesschau<\/a>) die Erlaubnis eines Augenarztes, dessen Identit\u00e4ten zu benutzen. Als Lieferadresse wurde eine K\u00e4setheke in L\u00fcneburger Fu\u00dfg\u00e4ngerzone ausgew\u00e4hlt. Das Bank-Indent-Verfahren zur Pr\u00fcfung der Person wurde ohne Verifikation der Adresse durchgef\u00fchrt.<\/p>\n Selbst eine Online-Bestellung eines Konnektors war ohne Verifizierung der Adresse m\u00f6glich. Das Ganze wurde vom CCC auf der CCC-Konferenz 2019 vorgestellt. Mit diesen Identit\u00e4ten konnten sie anschlie\u00dfend auf Anwendungen der Telematikinfrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker des CCC stellten grobe M\u00e4ngel in den Zugangsprozessen fest. In Beispielangriffen konnten sie demonstrieren, wie sich Kriminelle Identit\u00e4ten erschleichen k\u00f6nnen. Im Falle der eGK gelang dies bereits zum wiederholten Male. Die Pannen lassen sich nur mit ungl\u00e4ubigem Staunen zur Kenntnis nehmen. Hier die Aussagen des CCC:<\/p>\n Auch bei der Ausgabe der elektronischen Gesundheitskarte (eGK) kommen, laut CCC, f\u00fcr die Identifikation des Antragstellers ebenfalls v\u00f6llig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen m\u00f6glich, in der die durchgef\u00fchrten \u00e4rztlichen Leistungen verzeichnet sind. Schon in naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den elektronischen Medikationsplan und den Notfalldatensatz sowie die elektronische Patientenakte erm\u00f6glicht werden<\/p>\n Spiegel Online berichtet hier<\/a>, von der Tagesschau gibt es diesen Bericht<\/a> und heise hat hier berichtet<\/a>. Dort finden sich noch einige Details zu den Vorg\u00e4ngen. Aktuell wurde die Ausgabe der betreffenden Ausweise gestoppt, um auf Basis der CCC-Erkenntnisse die Kette zum Versand der Ausweise zu verifizieren.<\/p>\n \u00c4hnliche Artikel:<\/strong> Recherchen des Hamburger Chaos Computer Clubs (CCC), des NDR und des Spiegel haben schwere Sicherheitsl\u00fccken im deutschen Gesundheitsdatennetz aufgedeckt. Wegen der Schwachstellen wurde die Ausgabe von Arztausweisen vorerst gestoppt. Die Erkenntnisse wurden auf dem CCC-Kongress 2020 vorgestellt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-226520","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=226520"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226520\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=226520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=226520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=226520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Ich wurde schon von Christoph W. per Mail darauf<\/a> aufmerksam gemacht (danke daf\u00fcr), hatte aber auch in einer NDR-Meldung bereits gesehen, dass die Vergabe von Arztausweisen gestoppt sei. Zitat:<\/p>\n
![\"Arzt\"](\"https:\/\/i.imgur.com\/J3cUMGL.jpg\" "\\"Arzt\\"")
\n(Quelle: Pexels\/Pixabay CC0 Lizenz)<\/p>\nWorum geht es?<\/h2>\n
Alles gesichert?<\/h2>\n
Die Schwachstelle: Fehlende Adressverifikation<\/h2>\n
\n
\nDatenleck: Old-School-'Hack' f\u00fcr Gesundheitskarte<\/a>
\nDatenschutz-GAU: Finger weg von der Gesundheits-App Vivy<\/a>
\nN\u00e4chstes Sicherheitsdesaster bei Vivy-Gesundheits-App<\/a>
\nTechnikerkrankenkasse: Aus f\u00fcr Ada-Kooperation<\/a>
\nBericht: 60 % mehr Angriffe auf das Gesundheitswesen<\/a>
\nGesundheitswesen besonders anf\u00e4llig f\u00fcr Hacker-Angriffe<\/a>
\nGesundheitsdaten ziehen Kriminelle besonders an<\/a>
\nSingapurs gr\u00f6\u00dfter Gesundheitskonzern gehackt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"