Im Januar startet die Testphase für die elektronische Patientenakte. Eine Recherche von BR und NDR hat jetzt ergeben, dass die zugrundeliegende Infrastruktur aber noch gravierende Sicherheitslücken aufweist.
Gegenüber der Ärzte Zeitung hat Christoph Saatjohann von der Fachhochschule Münster richtiggestellt, dass nicht die Konnektoren dafür verantwortlich sind, sondern fehlerhafte Internet-Anschlüsse der Praxen. Sie seien nicht gut genug abgesichert.
Patientendaten mit „trivialen Methoden“ abrufbar
Arztpraxen, Krankenhäuser und Apotheken werden über TI-Konnektoren an das System angeschlossen. Laut BR und NDR konnten Sicherheitsexperten die Konnektoren teils mit „trivialen Methoden“ offen über das Internet erreichen.
„Auch für nicht versierte Benutzer wäre es möglich gewesen, solche Konnektoren im Internet ausfindig zu machen“, so Saatjohann. Die Verantwortung sieht er bei den Arztpraxen. Sie müssten einen sicheren IT-Betrieb inklusive richtig konfiguriertem Internetzugang einrichten.
30 Patientenakten frei zugänglich
In 200 Fällen waren die Konnektoren offen über das Internet erreichbar, in 30 Fällen hätten wegen fehlenden Passwortschutzes Patientendaten eingesehen werden können.
„Wir könnten Arztbriefe sehen, Diagnosebefunde, Röntgenbilder, quasi alle Daten, die dort in dieser elektronischen Patientenakte gespeichert sind“, so Saatjohann gegenüber BR und NDR.
Gematik weiß seit Monaten von Schwachstellen
Die Gematik teilte mit, von den Sicherheitsexperten bereits im Juli auf das Problem aufmerksam gemacht worden zu sein. Der Bundesdatenschutzbeauftragte hatte auch bereits Bedenken geäußert. Nach Informationen von NDR und BR waren die Konnektoren im Dezember aber immer noch erreichbar. Das Bundesgesundheitsministerium gab an, die elektronische Patientenakte planmäßig starten zu wollen.
Bei der Onlinekonferenz des Chaos Computer Clubs wollen die Forschenden ihre Ergebnisse vorstellen.
Hinweis:
Im Originalbericht über die Recherche von NDR und BR war von Sicherheitslücken bei den TI-Konnektoren die Rede. Per Twitter hat Christoph Saatjohann dem widersprochen. Gegenüber der Ärztezeitung erläuterte er, dass nicht die Konnektoren, sondern die IT-Infrastruktur in den Praxen für die Sicherheitslücke verantwortlich sind. Wir haben den Artikel dementsprechend korrigiert.
Ich halte den Bericht für nichtssagend. Was bedeutet „Konnektoren waren offen erreichbar“? Dass man sie anpingen kann? Oder dass man ihre internen Log-Dateien lesen kann? Oder sich gar ihnen gegenüber als (Un-) Berechtigter ausweisen kann, die TI-Infrastruktur zu betreten?
Ich denke, mehr als ersteres war nicht der Fall. Und dort, wo man Daten abgreifen konnte, lag es nicht an der Technik, sondern an den Nutzerinnen, die einfachste Sicherheitsaspekte ignorierten, wenn der Durchgriff möglich war.
Natürlich – das ist Usability und verbessert sich immer mehr. Möglich, dass die gematik eines Tages beschließt, dass zur Legitimation unbedingt ein elektronischer Personalausweis mit entsprechendem Fingerabdruckreader eingesetzt werden muss. Wünschenswert wäre das. – Nur einmal ist das für heute noch unrealistisch, weil die Technik das zwar theoretisch, aber noch nicht im Alltag hergibt, und zum zweiten wird es dann rechtzeitig genug Angriffsszenarien geben, auch diesen Legitimationsweg zu hacken.
Ein Satz wie „In 200 Fällen waren die Konnektoren offen über das Internet erreichbar“ relativiert sich schon dadurch, wenn man weiß, dass eine Handvoll Hersteller bisher jeweils zehntausende Konnektoren in Betrieb haben und auf dem aktuellen Stand halten.