Kartenausgabe: Arztausweis landet an der Käsetheke
Ein CCC-Projektteam hatte die Sicherheitsmängel gefunden, veröffentlicht wurden die Ergebnisse Ende Dezember auf der CCC-Jahrestagung in Leipzig. IT-Sicherheitsberater Martin Tschirsich zeigte dort, wie es als Außenstehender möglich war, an einen elektronischen Heilberufsausweis (eHBA), einen Praxisausweis (SMC-B) und an die Gesundheitskarte (eGK) eines Versicherten zu kommen.
Mithilfe der Karten und Ausweise konnten die Datenexperten mit diesen Identitäten und einem frei verkäuflichen Konnektor – wie legitimierte Nutzer – auf Anwendungen der TI und Gesundheitsdaten von Versicherten zugreifen. Dabei stellten sie grobe Mängel in den Zugangsprozessen fest und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können.
Der Arztausweis ließ sich an jede x-beliebige Adresse senden
IT-Experte André Zilch zeigte zudem einmal mehr, wie leicht es ist, sich durch eine fingierte Adressänderung eine fremde Gesundheitskarte zu erschleichen. In den vergangenen Jahren ist dies dem CCC nun sechsmal gelungen.
Hier das einstündige Erklärvideo vom Jahreskongress des CCC:
Ganz konkret bestellte das Team um Tschirsich online im Namen eines CCC-Mitglieds, der zugleich niedergelassener Anästhesist ist, einen elektronischen Arztausweis und einen Praxisausweis. Dabei fiel dem Team auf, dass beim BankIdent- und beim zeitversetzten KammerIdentverfahren für die Identifizierung kein erneutes persönliches Erscheinen nötig ist. Und sie entdeckten: Der Ausweis ließ sich an jede x-beliebige Adresse senden.
... auch an einen Käseladen!
Mit diesem Wissen trieben es Reporter des NDR und "Spiegel" auf die Spitze, indem sie in einer vergleichbaren Bestellung unter Ausnutzung der vom CCC aufgedeckten Sicherheitsmängel zeigten, dass dem Anbieter Medisign GmbH sogar dann keine Zweifel an der Identität des Empfängers kamen, als sie den Arztausweis an die Adresse eines Lüneburger Käseladens gesendet werden sollten.
Die persönlichen Daten von 168 Ärzten schwirrten frei im Netz
Bei der Überprüfung dieses Chipkarten-Anbieters stellten die IT-Experten des CCC zudem ein Datenleck fest; Demnach waren allein an einem Tag im Oktober die persönlichen Daten von 168 Ärzten frei im Internet zugänglich, die offenbar in den beiden Wochen zuvor ihren Antrag auf den elektronischen Arztausweis gestellt hatten.
Das Datenleck sei inzwischen geschlossen, heißt es. Der CCC betonte jedoch, dass es sich bei ihren Funden nicht um Probleme eines einzelnen Anbieters handelt, sondern dass es strukturelle Sicherheitslücken bei der Herausgabe der Chipkarten gibt.
CCC: Das System zur Schlüsselvergabe ist löchrig
Fazit des Chaos Computer Clubs: Wenn keiner zuverlässig kontrolliert, wer sich hinter einer Bestellung eines Ausweises verbirgt und wohin die Chipkarten geliefert werden, ist das gesamte System zur Schlüsselvergabe löchrig. Tschirsich: "Das ist problematisch, weil die Sicherheit der Telematikinfrastruktur genau auf der Sicherheit dieser Kartenherausgabeprozesse basiert."
Der Chaos Computer Club (CCC)
Der Verein fordert nun Schadensbegrenzung: Die gematik solle prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen. Im nächsten Schritt müsste die Beantragung, Identifikation und Ausgabe der Karten entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden. Die Computerspezialisten fordern die volle Umsetzung der eGK als Identitätsnachweis sowie eine Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von Gesundheitskarte, Heilberufs- und Praxisausweis führen sowie Kontrolle der Umsetzung.
"Prozesse müssen nicht nur vorgeben, sondern auch geprüft werden"
Und noch eine Botschaft hat der CCC an die Politik: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte die Prozesse dann nicht nur vorgeben – sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.