Eine Kleine Anfrage im Bundestag und neue Entdeckungen des CCC zeigen eine deutliche Dirkrepanz zwischen Anspruch und Wirklichkeit bei der TI-Sicherheit.
Die Kleine Anfrage ist ein feines politisches Instrument unserer parlamentarischen Demokratie. Die Oppositionsparteien stellen Fragen zu Themenbereichen und erhalten darauf Antworten der Bundesregierung, die die Ministerien erstellen. So können Oppositionsparteien das ministerielle Wissen nutzen und für ihre eigene politische Arbeit einsetzen. Die Bundestagsfraktion der FDP stellte eine Kleine Anfrage zu „Datenschutz und IT-Sicherheit im Gesundheitswesen“. Nun liegt die Antwort der Bundesregierung dazu öffentlich vor.
Der Zeitpunkt der Veröffentlichung ist einigermaßen brisant, hatte doch der Chaos Computer Club auf seiner Jahrestagung „36C3“ Ende Dezember in einer Session vorgeführt, wie einfach es drei Sicherheitsforschern gelungen war, in den Besitz gültiger Heilberufs-, Praxisausweise und elektronische Gesundheitskarten zu gelangen. Auch einen zugelassenen TI-Konnektor konnten sie bestellen und anliefern lassen. Die Gematik, für die Zulassung verantwortlich, stoppte darauf hin einstweilen die Ausgabe weiterer Heilberufsausweise.
"Hacker hin oder her": Die elektronische Patientenakte kommt!
Martin Tschirsich, cbro - Dr. med. Christian Brodowski and Dr. André Zilch
Das jüngste TI-Skandälchen aus dem November 2019 um unkorrekt und damit angreifbar installierte Konnektoren hatte Minister Jens Spahn auf der Vertreterversammlung der KZBV noch zu der Aussage gebracht, dass die Datensicherheit eine „echte Achillesferse“ sei, „wenn wir es nicht schaffen, an allen Stellen Datensicherheit auf höchstes Niveau zu bringen.“ Mit der verbindlichen Einführung der elektronischen Patientenakte (ePA) ab 1. Januar 2021 wäre dies auch dringend geboten, sollen auf der ePA Gesundheitsdaten, Befunde, Diagnosen und Therapiemaßnahmen gespeichert werden können.
So stellt die Bundesregierung ihrer Antwort auf die Kleine Anfrage der FDP eine vollmundige Vorbemerkung voran: „Die Telematikinfrastruktur ist das sichere digitale Netz des Gesundheitswesens, in dem sensible Gesundheitsdaten sicher, verschlüsselt, einrichtungs- und sektorenübergreifend in Anwendungen der Telematikinfrastruktur gespeichert ... werden können. Wesentliche Kernanwendung der Telematikinfrastruktur zur Unterstützung der medizinischen Versorgung der Versicherten ist die elektronische Patientenakte. Datenschutz und Datensicherheit waren und sind zentrale Anforderungen an die Telematikinfrastruktur und die elektronische Patientenakte; der höchstmögliche Schutz der Gesundheitsdaten steht dabei im Mittelpunkt.“
Klar, so wollen das die Wählerinnen und Wähler auch hören.
Durch die Antworten der Bundesregierung erfahren wir auch viel über die Verschlüsselung unserer Gesundheitsdaten: „Der Aktenschlüssel wird hierbei mit mindestens zwei Schlüsseln verschlüsselt, die ausschließlich die berechtigte Nutzerin bzw. der berechtigte Nutzer nach erfolgreicher Authentisierung an zwei voneinander unabhängigen Schlüsselgenerierungsdiensten der Telematikinfrastruktur erhält. Die Authentisierung erfolgt wiederum mit Schlüsselmaterial der elektronischen Gesundheitskarte (bei Versicherten) oder der vom Heilberufsausweis abgeleiteten Institutionskarte (bei Leistungserbringer)“. Das bedeutet in einfacher Sprache: Die Daten liegen verschlüsselt auf einem Server. Möchte der Versicherte seine Daten einsehen, benötigt er erst einmal sein elektronische Gesundheitskarte über die er bei zwei unterschiedlichen Schlüsselgenerierungsdiensten zwei Schlüssel erhält, mit denen er dann seine Daten entschlüsseln kann. Bei den Leistungserbringern funktioniert das ganz ähnlich mittels Heilberufs- oder Praxisausweis und dem Konnektor. Die Bundesregierung kommt nun zum Schluss: „Dadurch ist gewährleistet, dass eine Entschlüsselung des Aktenschlüssels nur durch berechtigte Nutzerinnen bzw. Nutzer erfolgen kann.“
Ist das so? Folgt man den Ausführungen der drei CCC-Sicherheitsexperten sind da derzeit zumindest Zweifel angebracht. Ihnen war es gelungen, Heilberufs- und Praxisausweise sowie elektronische Gesundheitskarten auf die Identität Dritter zu verschaffen und damit eine Zugangsmöglichkeit zu Gesundheitsdaten Dritter – ohne große Hackerkunst. Sie nutzen dabei eine Schwachstelle, die nicht innerhalb der Telematikinfrastruktur liegt, sondern in den Lieferprozessen. Sie konnten die genannten Ausweise und Karten online bestellen, ohne dass eine wirkliche Identifikation der Personen erfolgte. Das ist zwar für die Versicherten und die Leistungserbringer bequem, geht aber eben mit einem erheblichen Sicherheitsrisiko einher.
„Gesundheitsdaten sind die sensibelsten Daten“, betont Jens Spahn immer wieder. Und er hat damit recht. Sensible Gesundheitsdaten in falschen Händen können über Jahre und Jahrzehnte einer Person und auch seiner ganzen Familie negativ anhängen. Der Schaden wäre dann irreversibel.
Statt die Zugangshürden zu erhöhen, ist geplant, sie weiter zu senken. Die Gematik schreibt in ihrem Whitepaper „Wir sorgen für die Sicherheit der Gesundheitsdaten“, dass Versicherte auf Wunsch mit einer einfachen schriftlichen Erklärung ihre ePA per Smartphone ohne „die Sicherheitsleistungen der elektronischen Gesundheitskarte“ nutzen können. Auch das ist bequem und ist von der Usability gut gemeint.
Um die Sicherheit der Gesundheitsdaten muss sich dann aber jeder selber sorgen. Hallo geht‘s noch?
