Nachrichten & Meinung
Fortbildung

Fachbereiche
Allgemeinmedizin
Chirurgie
Dermatologie
Diabetologie/Endokrinologie
Gastroenterologie
Gynäkologie
Infektiologie
Innere Medizin
Intensiv-Notfallmedizin
Kardiologie
Medizinpraxis
Neurologie
Onkologie
Pädiatrie
Pneumologie
Psychiatrie
Rheumatologie
Sonstige Fachgebiete
Ausgabe: Deutsch

Medscape

English
Deutsch
Español
Français
Português
UKNew

Univadis

Registrieren
Deutsche Ausgabe

Medscape

Univadis

    X
    Univadis from Medscape
    Mittwoch, 29. März 2023
    Nachrichten & Meinung Fortbildung
    Nachrichten & Meinung > Medscape Nachrichten

    Nach „feindlicher Übernahme“ von Heilberufe-Ausweis und Gesundheitsausweis: Das planen die gematik und die KBV

    Christian Beneker

    Interessenkonflikte

    14. Januar 2020

    Das Netzwerk der Telematik-Infrastruktur (TI) hat sich als löchrig erwiesen. Ein Rechercheteam von NDR und SPIEGEL berichtete über einen Coup des Chaos Computer Clubs (CCC). Hackern ist es mit ein paar Tricks gelungen, sich sowohl eine elektronische Gesundheitskarte zu erschleichen, als auch einen Heilberufe-Ausweis und einen Praxisausweis – und kurzerhand einen Konnektor zu kaufen [1].

    Das Grundproblem: Lieferanten der Komponenten hätten nicht ausreichend geprüft, wer die Anträge eigentlich gestellt habe und ob sie an eine sichere Adresse geliefert würden, heißt es im SPIEGEL. Bleibt als Trost, dass Versorgungsdaten von Patienten nicht zugänglich waren, weil sie noch nicht in einer elektronischen Patientenakte gespeichert sind.

    Am 7. Januar hat die gematik unter anderem die Kartenhersteller zu einem Treffen nach Berlin geladen, um die nächsten Schritte zu besprechen: Was ist zu tun, um solche Lücken zu schließen?

    Feindliche Übernahme von Karten und Konnektor

    Mit dem Namen und der Personalausweis-Nummer eines eingeweihten Arztes konnte das Rechercheteam die zuständige Ärztekammer davon überzeugen, dass ein neuer Ausweis benötigt wird.

    Zuvor hatten sich Journalisten per Bankindent-Verfahren als der betreffende Arzt ausgegeben und die Karte beim Hersteller geordert. Offenbar hat die Kammer, die einen Beleg der Bestellung erhält, die Personalausweis-Nummer gar nicht abgeglichen, bevor der Ausweis verschickt wurde. Denn die Nummer war die eines ganz neuen Passes des Arztes – und sollte folglich unbekannt sein. Und so wurde die Karte an eine alternativ vom Antragsteller gewünschte Adresse geschickt – die eines Käseladens.

    Für den elektronischen Praxisausweis brauchte das Team nur die Betriebsstätten-Nummer als Beleg für die richtige Adresse und die Daten des Arztes.

     
    Die gematik wird schnellstmöglich gemeinsam mit allen beteiligten Akteuren … über Maßnahmen zur Verbesserung der Prozesse entscheiden. gematik
     

    Die elektronische Gesundheitskarte schließlich bestellte das Team per Scan des Antrags an die AOK Hessen, angeblich, weil der Antragsteller nach einem Umzug eine neue Adresse habe. Die Karte kam reibungslos. Damit hatte das Rechercheteam alle wichtigen Komponenten des elektronischen Schlüsselbundes zur Verfügung, um die TI unbefugt zu öffnen.

    Produktionsstopp und korrekte Adressen

    Nach dem Treffen der Kartenhersteller mit der Gematik in Berlin gibt sich die Behörde wortkarg. „Die gematik wird schnellstmöglich gemeinsam mit allen beteiligten Akteuren (Kartenherausgebern und Kartenanbietern) über Maßnahmen zur Verbesserung der Prozesse entscheiden“, erklärt das Haus auf Nachfrage.

     
    Es wird keine alternativen Lieferadressen mehr geben. Katja Chalupka
     

    Nach Bekanntwerden der Sicherheitslücke hatte die Gematik einen Produktionsstopp für Heilberuf-Ausweise und Praxisausweise verhängt. „Er betrifft alle Anbieter und wird bis Mitte Januar anhalten“, schreibt Katja Chalupka, Sprecherin des Kartenherstellern Medisign, auf Anfrage.

    Um die Ausgabeprozesse zu verbessern und sicherer zu machen, sollen die Hersteller zeitnah bei der gematik Vorschläge einreichen. „Die genauen, neuen Verfahrensanweisungen werden dann von der gematik festgelegt“, so Chalupka. „Was jetzt bereits klar ist: Es wird keine alternativen Lieferadressen mehr geben.“

     
    Wie viele [Heilberufe-Ausweise] bei einer falschen Adresse gelandet sind, darüber möchte ich nicht spekulieren. Thomas Spieker
     

    Die bereits an alternative Lieferadressen ausgegebenen Karten würden von allen Anbietern geprüft, hieß es. Es müsse davon ausgegangen werden, dass es künftig strengere Restriktionen für die Auslieferung geben werde, „die den Komfort einschränken und den Aufwand für die Beschaffung erhöhen werden.“

    In Niedersachsen etwa wurden nach Auskunft der Kammer bisher rund 500 Heilberufe-Ausweise ausgegeben. „Wie viele davon bei einer falschen Adresse gelandet sind, darüber möchte ich nicht spekulieren“, sagt Thomas Spieker, Sprecher der Niedersächsischen Ärztekammer (ÄKN). „Ich habe Anlass zur Hoffnung dass die beschriebenen Probleme nur Einzelfälle sind.“

     
    Der einzig richtige Weg, um den Missbrauch der endeckten Datenlücken zu vermeiden, ist es, neue Heilberuf-Ausweise mit ganz neuem Zertifikat auszugeben ... Jens Ernst
     

    Anders Martin Tschirsich vom CCC. Er hat darauf hingewiesen, dass derzeit niemand wisse, wo sich die bisher 115.000 ausgelieferten Heilberufe-Ausweise befinden, „ob bei einem Arzt oder einem Kriminellen“, so Tschirsich im Handelsblatt. Tatsächlich lässt sich ein sicherer Weg der Ausweise zum Arzt nicht vollständig nachvollziehen.

    Müssen neue Karten ausgegeben werden?

    „Der einzig richtige Weg, um den Missbrauch der endeckten Datenlücken zu vermeiden, ist es, neue Heilberuf-Ausweise mit ganz neuem Zertifikat auszugeben, und die noch im Umlauf befindlichen zu einem Stichtag ungültig zu machen“, sagt Jens Ernst, IT-Unternehmer und Mitglied des CCC zu Medscape. Dieser Schritt sei notwendig. Denn eine einzige Lücke im Sicherheitsnetz genüge, um einmal Patientendaten zu stehlen und sie zum Beispiel zu verkaufen, so Ernst weiter.

     
    Wir haben empfohlen, die Karten, die zum Beispiel bei der Bundesdruckerei hergestellt werden, nur noch an die Adressen zu schicken, die den KVen auch vorliegen. Roland Stahl
     

    Die zuständige Kassenärztliche Bundesvereinigung (KBV) halte von neuen Ausweisen indessen nichts, so KBV-Sprecher Roland Stahl. Allerdings gibt die KVBV einen naheliegenden Hinweis: „Wir haben empfohlen, die Karten, die zum Beispiel bei der Bundesdruckerei hergestellt werden, nur noch an die Adressen zu schicken, die den KVen auch vorliegen.“

     

    MEHR

    Kommentar

    3090D553-9492-4563-8681-AD288FA52ACE
    Wir bitten darum, Diskussionen höflich und sachlich zu halten. Beiträge werden vor der Veröffentlichung nicht überprüft, jedoch werden Kommentare, die unsere Community-Regeln verletzen, gelöscht.

    wird bearbeitet....

    Feedback
    Help us make reference on Medscape the best clinical resource possible. Please use this form to submit your questions or comments on how to make this article more useful to clinicians.
    Pleasedo not use this form to submit personal or patient medical information or to report adverse drug events. You are encouraged to report adverse drug event information to the FDA.
    Medscape Logo
    Über Medscape Datenschutzbestimmungen Redaktionelle Richtlinien Cookies Nutzungsbedingungen Impressum Hilfe
    All material on this website is protected by copyright, Copyright © 1994-2023 by WebMD LLC. This website also contains material copyrighted by 3rd parties.