TI-Sicherheitslücke: Gematik zieht Konsequenzen Tobias Lau, 02.01.2020 12:31 Uhr
2020 soll das Jahr der Digitalisierung im Gesundheitswesen werden. Der Start ist aber schon mal holprig: Die Gematik hat „im Rahmen ihrer Verantwortung für den sicheren Betrieb der Teleamtikinfrastruktur (TI)“ angewiesen, dass bis auf Weiteres keine elektronischen Institutionenausweise (SMC-B) für den Zugang zur Telematikinfrastruktur (TI) mehr ausgegeben werden. Hintergrund sind die Sicherheitslücken, die der Chaos Computer Club (CCC) kurz nach Weihnachten aufgedeckt hatte. Vertretern des CCC geht das nicht weit genug.
Im Laufe des Jahres sollen sich so gut wie alle Heilberufler an die TI anschließen, sonst drohen ihnen Honorarstrafen, die erst im Dezember nochmal erhöht wurden. Doch vorerst könnte das schwierig werden: Denn Internetanschluss und Konnektor mit VPN-Zugangsdienst bringen nicht viel, wenn man keine freigeschaltete Institutionenkarte (SMC-B) und keinen elektronischen Heilberufsausweis (HBA) hat. An jene beiden Karten zu kommen, ist derzeit jedoch schwierig, denn die Gematik hat die Ausgabe der SMC-B gestoppt. Bei den HBA konnte sie das nicht, da die gemäß SGB V nicht in ihrem Verantwortungsbereich liegen. Hier sind die Kammern zuständig.
Damit reagiert die mehrheitlich bundeseigene Gesellschaft auf die Sicherheitslücken, die der CCC kurz nach Weihnachten öffentlich gemacht hatte. Den Aktivisten war es gelungen, eine Gesundheitskarte, einen HBA und eine SMC-B zu beschaffen, die ihnen nicht zustanden. Dazu mussten sie weder einen Computer hacken, noch eine Verschlüsselung knacken, sondern lediglich das Identifikationsverfahren austricksen. Den Praxisausweis ließen sie sich an ein Käsefachgeschäft in Lüneburg schicken. Gleichzeitig hat der CCC ein Datenleck bei Kartenanbieter Medisign aufgedeckt: Demnach sollen allein an einem Tag im Oktober die persönlichen Daten von 168 Ärzten, die in den zwei davorliegenden Wochen einen Antrag auf eine SMC-B-Karte gestellt haben, frei im Internet zugänglich gewesen sein. Mit diesen Daten könnten sich Unbefugte die Karten erschleichen.
Die Gematik hat sich zu den Ergebnissen klar geäußert. „Der mangelhafte Schutz der personenbezogenen Daten der Antragsteller ist für die Gematik nicht hinnehmbar“, so das dem Bundesgesundheitsministerium unterstellte Haus. Und auch für Medisign könnte die Sicherheitslücke Konsequenzen haben. Es sei Aufgabe der ausstellenden Organisationen, „dafür zu sorgen, dass die Daten ihrer Heilberufler bei der Beantragung von Heilberufsausweisen sicher sind“. Da das offensichtlich nicht der Fall war, herrscht nun Nachbesserungsbedarf. „Die Gematik wird darüber hinaus den Vorfall zum Anlass nehmen, bei dem Anbieter eine unabhängige Prüfung vorzunehmen.“
Allerdings: Wirkliche Opfer habe es noch nicht gegeben. „Der Aufbau der Telematikinfrastruktur befindet sich immer noch in einer recht frühen Phase. Noch werden keine Behandlungsdaten gespeichert.“ Deshalb hätten die aufgedeckten Mängel bisher noch keine Gefahr für die Sicherheit von Patientendaten dargestellt. Auch bemüht sich die Gematik richtigzustellen, dass nicht alle Ausgabeverfahren betroffen seien. Der Prozess zur Beantragung und Ausgabe der Heilberufsausweise über das PostIdent-Verfahren sei nach aktuellem Kenntnisstand sicher und könne daher weiterhin genutzt werden. Anders sieht es bei Heilberufsausweisen aus, die mit den Verfahren KammerIdent und BankIdent vergeben werden. Die haben sich als unzuverlässig herausgestellt und wurden deshalb auf Anweisung der Bundesnetzagentur deaktiviert.
Konkret eingreifen konnte die Gematik bei den SMC-B – und hat das auch getan. In Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sie nach eigenen Angaben alle SMC-B-Anbieter angewiesen, die Ausgabe vorsorglich vollständig zu stoppen. Die Antragsverfahren wurden bei den beteiligten Anbietern bis auf Weiteres gesperrt. Wie es nun weitergehen soll, wird sich wohl erst in den kommenden Tagen oder Wochen zeigen. Noch im Januar will die Gematik dazu ein Gespräch mit allen Kartenherausgebern führen und gemeinsam mit diesen über Maßnahmen zur Verbesserung der Beantragungs- und Herausgabeprozesse entscheiden.
Uneinigkeit herrscht darüber, ob die bisherigen Maßnahmen ausreichen. „Es gibt keine Einzelperson oder Stelle in Deutschland, die weiß, wo sich die 115.000 Heilberufsausweise aktuell befinden – ob bei einem Arzt oder einem Kriminellen", kritisiert beispielsweise Martin Tschirsich, der für CCC-Recherchen zu dem Thema verantwortlich ist. CCC- Mitglied und IT-Unternehmer Jens Ernst schätze die Kosten der Rückholaktion allein bei Heilberufeausweisen auf rund 60 Millionen Euro. Die werden aber nach Sicht der Gematik nicht nötig sein. Eine „pauschale Kartensperre“ sei aus aktueller Sicht nicht erforderlich.