** mediz. Telematik-Infrastruktur: eklatante Verfahrensfehler bei Geräte- und Kartenausgabe

Vielen deutschen Arztpraxen wurde in den letzten beiden Jahren die Telematik-Infrastruktur aufgezwungen (Praxen, die nicht mitmachen, zahlen Strafaufschläge).
Ein Vortrag vom 36c3-Kongress des Chaos-ComputerClubs legt eklatante organisatorische Sicherheitsprobleme der Telematik-Infrastruktur offen.

Den an die Telematik-Struktur angeschlossenen Arztpraxen werden hohe Auflagen gemacht, beispielsweise zum physikalischen Schutz des Konnektors.
Aber leider liegen die Angriffsvektoren mal wieder dort, wo Menschen und Behörden mit der Sorgfalt schlampen und nicht mit einem banalen Social-Engineeering-Angreifer rechnen.

Frage: Wer hunderttausende Patientendaten einsehen will, würde doch erstmal den einfachsten Weg gehen, oder? Wie sähe dieser Weg aus?

  • Einbruch in die Arztpraxis und Geräte/Telematik-Zubehör klauen? Viel zu kompliziert!
  • Hacken einer Arztpraxis? Viel zu kompliziert!
  • Bestellen des nötigen Zubehörs mit vorgetäuschter Identität, dann Bestellung eines Arztausweises, einer Versichertenkarte, einer SMB-Karte und eines Konnektors direkt bei den Anbietern und Krankenkassen?
    RIchtig! Ja, und genau das klappt(e) … leider.

Das wichtigste Utensil zur Aufschaltung in das Telematik-Netzwerk ist die SMBC-Karte inkl. deren Zugangsdaten.
Im TI-Netzwerk kann man aktuell personenbezogene Versichertendaten gegenprüfen/einsehen.  Bald sollen dort aber auch auch Notfallmedikationslisten und künftig auch die digitale Patientenakte beheimatet sein.
Daher ist die SMBC-Karte höchstsensibel. Man sollte meinen, dass Alles dafür getan wird, dass solche Karten nur an Personen geschickt werden, die auch wirklich zugelassene Ärtze sind. Dem ist leider nicht so.

Was also tun? Man bestellt sich einfach per Online-Formular eine solche SMBC-Karte?
Mist! Die wird nur an Ärzte geschickt. Dazu braucht man irgendeinem zugelassenen Arzt folgende Daten: Betriebsstättennummer, Geburtsdatum, Artznummer, Nachname, Fachrichtung.
Macht aber nichts; diese Angaben (ausser das Geburtsdatum) stehen verklausuliert als Zahlenkolonne auf jedem Rezept der Artzpraxis.
Das Geburtsdatum bekommt man relativ einfach heraus; z.B. im Arztregister oder notfalls mit einem kurzen Fake-Anruf in der Praxis.
Hat man diese Daten gesammelt, kann man die Zusendung einer SMBC-Karte beantragen.
Ja aber die Karte wird doch sicher an die Arztpraxis geschickt und nicht an den Angreifer? Wie fängt der Angreifer denn dann die Lieferung ab?
Gar nicht; denn – hurra!- bei der Bestellung kann man eine alternative Lieferadresse angeben, die NICHT gegengeprüft wird.
Fremde SMBC-Karte anfordern? Kein Problem. Fail!

Genauso einfach war es – laut der Schilderung der Referenten -, sich einen Arztausweis/Heilberufsausweis ausstellen und (inklusive PIN!) an eine beliebige Adresse schicken zu lassen.
Fremden Arztausweis bestellen? Kein Problem. Fail!

Fehlt noch das Zusenden/Erschleichen einer digitalen Gesundheitskarte. Ein dritter Referent schilderte, wie er 2014, 2015, 2016, 2017 und 2019 sich bei verschiedenen Krankenkassen testweise eine fremde digitale Gesundheitskarte erschleichen konnte. Es genügte dazu ein Anruf bei der Krankenkasse mit den Worten „Mein Name ist *hierNameIhresOpfers*, ich bin umgezogen und habe meine Karte verloren. Bitte senden Sie eine neue Karte an folgende Adresse *hierbeliebigeAdresseEinsetzen*.
Mittlerweile genügt dazu auch eine eMail.
Neue fremde Versichertenkarte? Kein Problem. Fail!

Und zuletzt? Wie bekommt das technische Herzstück, den Konnektor?
Auch der Konnektor konnte mittels einen 0815-Faxes bestellt und an eine beliebige Adresse geliefert werden. Ohne Verifikation des Empfängers.
Konnektor? Kein Problem. Fail!


Unser Kommentar basierend auf den Erkenntnissen des CCC-Vortrags:

  • as nutzen gute Sicherheits-Spezifikationen, wenn diese a) nicht kontrolliert, b) nicht umgesetzt werden und c) nur IT-technisch betrachtet werden?
  • IT-Sicherheit wird oftmals nicht technisch vernachlässigt, sondern menschlich und organisatorisch.
  • Kurzum: Kassenärtzliche Vereinigung, Gesundheitsministerium, Telematik-Konsortium, Gematik .. bitte nachbessern und immer auch an die einfachen Angriffswege denken.

Vorab muss klargestellt werden: Der Vortrag prüfte keine IT-Sicherheitslücken der TI-Infrastruktur, sondern rein organisatorische Verfahrensfehler, mit denen sich Angreifer einen Zugang zur TI verschaffen könnten, indem sie sich einfach die TI-Austattung einer Arztpraxis samt deren Zugangsdaten bestellen.

Die geschilderten Verfahrensfehler sind (sorry, das muss man so direkt sagen dürfen) Anfängerfehler und Behörden-/Firmen-/Institutionsversagen auf kritischstem datenschutzrechtlichen Niveau.
Man könnte es keiner Arztpraxis verübeln, die bereits gezahlten Strafzuschläge für die Nicht-Nutzung der Telematik-Infrastruktur anwaltlich zurückzufordern, denn laut DSGVO ist jeder, der personenbezogene Daten verarbeitet, verpflichtet, nur externe Dienstleister/Infrastrukturen zu nutzen, von deren DSGVO-konformen Prozessen er sich selbst überzeugt hat.


Wieder einmal wird klar,

  1. wie wichtig der ChaosComputerClub und technik-/hacking-begeisterte Menschen sind, um die moderne Gesellschaft sicherer zu machen.
    CCC-Fördermitgliedschaft hier beantragen
  2. wie wichtig Ärzte sind, die sich der TI widersetzen und dafür finanzielle Nachteile (Abrechnungsabschläge) in Kauf nehmen.

GGf auch empfehlenswert:


Hier der komplette Vortrag von Martin Tschirsich, Dr. med. Christian Brodowski und Dr. André Zilch:

Hat Ihnen dieser Beitrag gefallen oder geholfen?
Bedanken Sie sich? Mit einer kleinen Anerkennung für die inhaltliche Arbeit?
Jeder Betrag ist willkommen. Lieben Dank!