Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Digitalisierung Sicherheitslücke im Gesundheitsnetzwerk – Ausgabe von Praxisausweisen gestoppt

Die Digitalisierung des Gesundheitswesens soll durch die Telematikinfrastruktur vorangetrieben werden. Nun hat der Chaos Computer Club Sicherheitslücken dabei aufgedeckt.
27.12.2019 Update: 27.12.2019 - 18:57 Uhr 1 Kommentar
Der Chaos Computer Club habe unter anderem ein Datenleck bei einem Anbieter für elektronische Chipkarten entdeckt. Quelle: dpa
Datenschutz

Der Chaos Computer Club habe unter anderem ein Datenleck bei einem Anbieter für elektronische Chipkarten entdeckt.

(Foto: dpa)

Berlin, Düsseldorf IT-Experten des Chaos Computer Clubs (CCC) haben Sicherheitslücken im digitalen Gesundheitsnetz gefunden. Damit weist das Netzwerk für Ärzte, Kliniken und Krankenkassen, das Telematikinfrastruktur genannt wird, schon vor dem Start der elektronischen Patientenakte Sicherheitslücken auf.
Demnach war es den CCC-Experten zufolge möglich, Zugang zur Telematikinfrastruktur zu erlangen, indem sie sich unbefugt einen dafür notwendigen Praxis- und einen Arztausweis besorgten. Das gelang ihnen, weil sie sich als Ärzte ausgaben und die Ausweise an beliebige Adressen liefern ließen.

Die Telematikinfrastruktur soll das Gesundheitssystem vernetzen und auch den Zugriff auf elektronische Patientenakten ermöglichen. Zugang zu dem Netzwerk sollen jedoch nur befugte Teilnehmer über Chipkarten bekommen.

CCC-Experte Martin Tschirsich, der hinter den Recherchen steht, sagte dem Handelsblatt: „Die Sicherheit der Telematikinfrastruktur beruht im Wesentlichen auf der Identifikation aller Teilnehmer. Wir haben herausgefunden, dass die Identifikation nicht stattfindet und somit die Sicherheit nicht gewährleistet wird.“ Das Nachrichtenmagazin „Spiegel“ und der NDR hatten zuerst über die CCC-Recherchen berichtet.

Dem CCC sei es gelungen, alle drei relevanten Karten – also den Arztausweis, einen Praxisausweis und eine elektronische Gesundheitskarte – jeweils über einen Dritten zu bestellen und an eine Wunschadresse liefern zu lassen. „Die Herausgabe der elektronischen Ausweise ist der entscheidende Faktor. Klappt das nicht, ist die Sicherheit des gesamten Prozesses nicht gegeben“, sagte Tschirsich.

Wie die Gematik, die für den Aufbau und die Sicherheit der Telematikinfrastruktur zuständig ist und mehrheitlich dem Bund gehört, dem Handelsblatt mitteilte, wurden die Hersteller angewiesen, die betroffenen Identifizierungsverfahren für Arztausweise zu deaktivieren, Praxisausweise dürfen derzeit gar nicht mehr ausgegeben werden.

Patientendaten seien derzeit allerdings nicht in Gefahr, da aktuell noch keine Behandlungsdaten gespeichert würden. Eine Rückholaktion aller bereits ausgegeben Karten hält die Gematik nicht für erforderlich.

Rückholaktion aller Karten sei ein „gangbares Verfahren“

Der IT-Experte Jens Ernst allerdings hält diese Maßnahme für zwingend geboten: „Anders ist nicht zu gewährleisten, dass Unbefugte Zugriff auf die Telematikinfrastruktur haben und in Zukunft sensibelste Gesundheitsdaten einsehen können.“ Mehr als 100.000 Ärzte sind bereits an die Telematikinfrastruktur angeschlossen, damit müssen mindestens so viele Arzt- und Praxisausweise bereits ausgegeben worden sein. Ernst schätzt die Kosten für den Austausch sämtlicher Karten auf circa 60 Millionen Euro für die gesetzliche Krankenversicherung.

Die Kassenärztliche Bundesvereinigung (KBV) teilte dem Handelsblatt mit, dass eine Rückholaktion aller Karten ein „gangbares Verfahren darstelle, um Sicherheit und Praktikabilität in ein sinnvolles Verhältnis zu bringen“. Die zur KBV gehörenden Landes-Vereinigungen verantworten die Ausgabe der Praxisausweise. Die KBV habe diesen bereits empfohlen, die Praxisausweise nur noch an bekannte Adressen der Ärzte zu senden. Bisher konnten Besteller der Praxisausweise die Lieferadresse frei wählen, was sich der CCC zunutze machte.

Um die Herausgabe der Arztausweise kümmern sich die Ärztekammern. „Nach erster Analyse liegt die Zahl von Anträgen mit einer nicht verifizierten Lieferadresse im einstelligen Bereich“, teilte die Dachorganisation Bundesärztekammer (BÄK) dem Handelsblatt mit. Man wolle nun die Lieferung der Karten mit persönlicher Entgegennahme durch den antragstellenden Arzt prüfen.

Mehr: Der BDI fordert, dass Patienten ihre Daten der Forschung zur Verfügung stellen dürfen. Der Verband dringt auf rasches Handeln der Bundesregierung.

Handelsblatt Inside Digital Health

Dieser Beitrag ist ein Auszug aus dem exklusiven Fachbriefing Handelsblatt Inside Digital Health. Zweimal in der Woche analysieren wir dort die neuesten Entwicklungen im Bereich digitale Gesundheit.

Zur Anmeldung geht es hier.

Startseite
Mehr zu: Digitalisierung - Sicherheitslücke im Gesundheitsnetzwerk – Ausgabe von Praxisausweisen gestoppt
1 Kommentar zu "Digitalisierung: Sicherheitslücke im Gesundheitsnetzwerk – Ausgabe von Praxisausweisen gestoppt"

Das Kommentieren dieses Artikels wurde deaktiviert.

  • Diese ganzen beamteten Schr..... in den Ämtern haben null Ahnung von Digitalisierung und anscheinend auch von anderen Abläufen, es kümmert sie schlichtweg nicht.
    Wie kann man nur ein derartiges Zugangskarte an eine Zweitadresse verschicken. Derartige Ausweise sollten nur direkt ausgehändigt werden, gegen Identitätsnachweis.
    Wenn ich einen Führerschein, Personalausweis, oder Pass bei der Behörde beantrage muss ich auch persönlich zum Amt, sowohl beim Beantragen, als auch beim Abholen des Dokumentes.
    Das nächste wird dann wohl sein was geschieht wenn ein Arzt seine Praxis aufgibt, gilt dann die Zugangskarte weiter, oder muss er sie abgeben und wie wird das sichergestellt.
    In jedem Fall wäre das beste eine Zugangssicherung aus zwei Komponenten Arzt / Patient zu haben, denn wenn die Zugangskarte in falsche Hände gerät haben wir das gleiche Problem.
    In die Implementierung dieses tollen Systems waren bestimmt jede Menge externe Berater eingebunden, wenn das Geld geflossen ist gilt, Nach uns die Sintflut.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%