PolitikPolitikTele­ma­tik­infra­struk­tur: Zugang mit Identitätsdiebstahl
Politik

POLITIK

Tele­ma­tik­infra­struk­tur: Zugang mit Identitätsdiebstahl

Dtsch Arztebl 2020; 117(1-2): A-7 / B-7 / C-7

Schmedt, Michael

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Die Ausgabeprozesse der für den Zugang zur Tele­ma­tik­infra­struk­tur notwendigen Karten, des Praxisausweises, des Heilberufsausweises und der Gesundheitskarte weisen Schwachstellen auf. So können auch Unbefugte Zugang zur TI erlangen, wie der Chaos Computer Club festgestellt hat.

Kurz nach Weihnachten haben die Bemühungen von Bun­des­ge­sund­heits­mi­nis­ter Jens Spahn (CDU), die Digitalisierung voranzutreiben, einen empfindlichen Dämpfer erhalten. Das Identitätsmanagement für den Zugang zur Tele­ma­tik­infra­struk­tur (TI) weist erhebliche Mängel auf, wie Experten des Chaos Computer Clubs (CCC) aufzeigten. CCC-Sicherheitsforschern gelang es, sich die drei für den Zugang zur TI relevanten Karten – elektronischer Praxisausweis (SMC-B), elektronischer Heilberufsausweis (eHBA) und elektronische Gesundheitskarte (eGK) – mithilfe fremder Identitäten zu verschaffen. Damit hatten sie Zugang zu Anwendungen der TI und damit auch zur elektronischen Patientenakte, die 2021 starten soll. Patientendaten waren aktuell nicht in Gefahr, da bislang keine Behandlungsdaten gespeichert werden. Für die Ausgabe der eHBA sind die Lan­des­ärz­te­kam­mern zuständig, für die SMC-B die Kassenärztlichen Vereinigungen und für die eGK die Krankenkassen. Dem CCC gelang es zum sechsten Mal, in den Besitz einer Gesundheitskarte zu gelangen. Dazu war nur eine einfache Online-Adressänderung notwendig.

Kartensperre nicht notwendig

Anzeige

Die für den Aufbau und Sicherheit der TI verantwortliche gematik, deren Hauptgesellschafter seit Mai 2019 das Bun­des­ge­sund­heits­mi­nis­ter­ium ist, bezeichnete die Schwachstellen in den Antrags- und Ausgabeprozessen der Karten als nicht hinnehmbar. Die Beantragung und Ausgabe der Praxisausweise sei vollständig gestoppt. Dazu habe man in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anbieter von Praxisausweisen angewiesen. Eine pauschale Kartensperre sei aber nicht notwendig.

Die Kassenärztliche Bundesvereinigung (KBV) erklärte auf Anfrage, das Missbrauchspotenzial beim elektronischen Praxisausweis sei derzeit sehr gering. Ein Unbefugter könne mit dem Ausweis alleine wenig anfangen, sondern müsste sich mit großen Anstrengungen weitere Komponenten unter falscher Identität besorgen. Nicht nur einen Konnektor, sondern auch einen Zugangsprovider zur TI. Die KBV sei dennoch dem CCC dankbar, dass dieser offenbar eine potenzielle Schwachstelle im Prozessablauf entdeckt habe. Bislang seien noch keine konkreten Fälle bekannt. Sobald hier Informationen vorlägen, wolle die KBV gemeinsam mit allen anderen Beteiligten die Prozesswege optimieren. In einem ersten Schritt hatte die KBV den Kassenärztlichen Vereinigungen empfohlen, den Bestätigungsprozess dahingehend sofort zu verändern, dass die SMC-B-Karten nur noch an die den KVen bekannten Praxisadressen verschickt werden. Ausweichadressen seien bislang zulässig gewesen, da bei Standortwechseln oder Neugründungen nicht sofort die neuen Standortadressen genutzt werden könnten.

Für die Ausgabe der eHBA sind die Identifizierungsverfahren BankIdent und KammerIdent mit sofortiger Wirkung ausgesetzt worden, wie die Bundes­ärzte­kammer mitteilte. Im jetzigen Fall hatte der CCC per BankIdent-Verfahren einen eHBA eines Arztes beantragen und an die Privatanschrift der Testperson liefern lassen können. Die vom CCC aufgedeckten Sicherheitsmängel bezeichnete die BÄK als nicht hinnehmbar. Derzeit werde analysiert, ob und welche bereits abgeschlossenen Antragsvorgänge von dem optionalen Versand an nicht verifizierte Lieferadressen betroffen sind. Nach einer ersten Prüfung läge die Zahl von Anträgen mit einer nicht verifizierten Lieferadresse im einstelligen Bereich, hieß es vonseiten der BÄK. Die vom CCC aufgedeckte Möglichkeit, den eHBA an Unberechtigte ausgeben zu lassen, müsse der BÄK zufolge schnellstmöglich unterbunden werden. Dabei sei auch zu prüfen, ob eine persönliche Entgegennahme des eHBAs durch den antragstellenden Arzt ein sinnvoller Weg sei. CCC und gematik bewerten die Ausgabe des eHBA per PostIdent-Verfahren weiterhin als sicher.

Positive Aspekte

Der CCC wies auch darauf hin, dass es durchaus positive Aspekte der derzeitigen Infrastruktur gebe. Die gesetzlichen Rahmenbedingungen seien geschaffen, die gematik habe in ihren Spezifikationen viel richtig gemacht und es sei gut, dass staatliche Stellen die Infrastruktur und die Basisanwendungen kontrollieren würden. Von der gematik fordet der CCC, die Kartenbeantragungs- und Herausgabeprozesse zu überprüfen und entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchzuführen. Grundvoraussetzung für die Sicherheit sei die zweifelsfreie Identifikation der Teilnehmer zur TI.

Die gematik hat alle Kartenherausgeber für Anfang Januar (nach Redaktionschluss) eingeladen, um gemeinsam über Maßnahmen zur Verbesserung der Beantragungs- und Herausgabeprozesse zu entscheiden. Den geplanten Start der elektronischen Patientenakte zum 1. Januar 2021 sieht die gematik nach derzeitigem Kenntnisstand nicht in Gefahr. Michael Schmedt

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Avatar #805678
Maghein
am Dienstag, 7. Januar 2020, 19:24

Telematik-Infrastruktur und ärztliche Schweigepflicht

Die zentrale Speicherung der Gesundheits- und Sozialdaten von über 70 Millionen gesetzlich Krankenversicherten ohne deren Einwilligung und ohne Widerspruchsmöglichkeit verstösst nicht nur gegen das im Grundgesetz verankerte Recht auf informationelle Selbstbestimmung, sondern auch gegen die DSGVO und gegen die ärztliche Schweigepflicht nach Paragraph 203 StGB. Deshalb verweigern viele Ärztinnen und Ärzte den Zwangsanschluss an die Telematik-Infrastruktur und nehmen Honorarkürzungen und ggf. weitere Sanktionen in Kauf. Wer etwas tun möchte, unterzeichne und teile die Online-Petition 98780 des Bundestages. Bei mehr als 50.000 Unterschriften MUSS sich der Petitionsausschuss mit dem Anliegen befassen. 40.000 Unterschriften auf Papier liegen bereits vor.

https://epetitionen.bundestag.de/petitionen/_2019/_09/_02/Petition_98780.html

Text der Petition:
Der Bundestag möge beschließen, dass Patienten keine Nachteile erleiden dürfen, die ihre Daten nicht in elektronischen Patientenakten (ePA) auf zentralen Servern außerhalb der Praxen speichern lassen wollen. Die Telematik-Infrastruktur (TI) für Ärzte und Psychotherapeuten sowie die Nutzung der ePA für Ärzte und Patienten müssen freiwillig sein. Strafen gegen Ärzte und Psychotherapeuten, die sich nicht an die TI anschließen lassen, dürfen nicht verschärft, sondern müssen abgeschafft werden.

Zum Artikel

Anzeige