Die elektronische Patientenakte ist da. Wer nicht aktiv widersprochen hat, bekommt sie automatisch. Das Gesundheitsministerium spricht von einem „sicheren System“. Der Chaos Computer Club (CCC) nennt es lieber „Flickschusterei“. Und liefert gleich den Beleg dazu.
Die Sicherheitsforscher Bianca Kastl und Martin Tschirsich haben sich mal wieder die Infrastruktur der ePA angeschaut. Ergebnis: Die versprochene Sicherheit entspricht in etwa einem Vorhängeschloss - bei dem der Schlüssel unter der Fußmatte liegt.
Konkret: Um auf eine Patientenakte zuzugreifen, braucht man vier Dinge - Zugang zur Telematik-Infrastruktur, die Kartennummer, die Versicherungsnummer und den Hash Check Value (HCV). Letzterer lässt sich aus Wohnadresse und Versicherungsbeginn berechnen. Klingt aufwendig, wäre es auch - wenn es da nicht die sogenannte „elektronische Ersatzbescheinigung“ gäbe. Die enthält exakt die fehlenden Daten.
Kastl und Tschirsich entwickelten kurzerhand eine App, mit der sich solche Bescheinigungen automatisiert von Krankenkassen abfragen lassen. Voraussetzung: Versicherungsnummer und Krankenkassenkennung. Beides nicht wirklich geheim. Den Rest erledigt ein Skript.
Ach ja: Die Hardware für den Zugriff auf die Telematik-Infrastruktur bekommt man gebraucht bei Kleinanzeigen. Den PIN zur Karte? Kriegt man schon mal per Post, wenn man am Telefon nett genug klingt. Der CCC demonstrierte das am Beispiel eines Journalisten. Funktionierte.
Die Gematik hat jetzt reagiert - indem sie die API zur Ersatzbescheinigung erstmal abgeschaltet hat. Notmaßnahme, nicht Lösung. Der CCC kritisiert fehlende unabhängige Prüfungen, eine intransparente Entwicklung und generell das Prinzip „erst starten, dann reparieren“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat der ePA übrigens bis heute kein vollständiges Sicherheitszertifikat ausgestellt.
Laut Lauterbach sollte die ePA erst starten, wenn Hackerangriffe ausgeschlossen seien. Jetzt läuft sie - und die Angriffe sind kompliziert, aber machbar. Immerhin: Bisher ist noch nichts passiert. Zumindest nichts, das jemand offiziell zugeben würde.
Kommentare (0)