Sicherheitsmängel begleiten die elektronische Patientenakte (ePA) seit ihrer Einführung im Jahr 2020. Mit der Umstellung von Opt-In auf Opt-Out kommt nun die Patientenakte „für alle“: Gesundheitsdaten von über 70 Millionen Versicherten werden ohne deren Zutun über Praxis- und Krankenhausgrenzen hinweg in einer zentralen Datenbank zusammengeführt. Doch auch die „ePA für alle“ kann ihre Sicherheitsversprechen nicht halten. Beim 38C3 wird demonstriert, wie unberechtigte Personen mit wenig Aufwand massenhaften Zugang zur ePA für alle erlangen können.
Der Chaos Computer Club (CCC) begleitet die Lösungen aus dem Hause Gematik seit Jahren mit einer morbiden Faszination. Von geplanter Obsoleszenz bei den Konnektoren [1] über das Ident-Verfahren [2] bis zu dem von Anfang an bescheinigten bedenklichen Kosten-Nutzen-Verhältnis [3] waren die Projekte um die ePA von Turbulenzen begleitet.
Eine erneute Analyse des aktuellen Stands [4] ergab nun wieder Bedenkliches:
Sicherheitsforscher zeigen unter anderem, wie sie sich mit wenig Aufwand und zum wiederholten Male gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten. Ursächlich sind erneut Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Feld. Diese wurden bereits auf dem 36C3 [5] demonstriert.
Zudem demonstrieren die Forscher, wie Mängel in der Spezifikation es ermöglichen, Zugriffstoken für Akten beliebiger Versicherter zu erstellen. Dies ist möglich, ohne dass die Gesundheitskarten präsentiert oder eingelesen werden müssen. Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten.
LINK zum Beitrag des CCC
Und damit nicht genug, Das Zentrale Vertrauen der Telematikinfrastrucktur beruht auf den SMC-B (Praxisausweisen), eHBA (Arztausweisen)
Diese werden unter anderem von der Bundesdruckerei ausgestellt. Deren Sicherheit wurde nun vor kurzem auf eine leichte Probe gestellt, und ist glatt durchgefallen.
LINK
