Thomas Damms

Gesundheitsdatennetzwerk Arztausweis landet an der Käsetheke

Stand: 27.12.2019 16:00 Uhr

Wenn der Arztausweis an der Käsetheke abgeliefert wird, dann gibt es offenkundig eine Lücke im System. Recherchen von NDR und "Spiegel" sowie Chaos Computer Club zeigen Sicherheitsmängel im Gesundheitsdatennetzwerk.

Von Jasmin Klofta, NDR

Das Gesundheitsdatennetzwerk für Ärzte, Kliniken und Krankenkassen, die sogenannte Telematikinfrastruktur, weist schwere Sicherheitslücken auf. Das zeigen Recherchen von NDR und "Spiegel" sowie IT-Sicherheitsexperten des Chaos Computer Clubs (CCC). Reporterinnen und IT-Sicherheitsexperten ist es gelungen, sich auf den Namen Dritter elektronische Arztausweise, einen Praxisausweis und eine Gesundheitskarte zu bestellen und an eine Lieferadresse ihrer Wahl senden zu lassen. Besondere IT-Kenntnisse waren dafür nicht nötig.  

Hacker des Chaos Computer Clubs warnen vor Sicherheitslücken bei digitaler Patientenakte
tagesschau 00:58 Uhr, 28.12.2019, Michael Stempfle, ARD Berlin

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Lieferadresse Käsetheke

Mit Einverständnis eines Augenarztes aus Lüneburg suchten NDR und "Spiegel" nach dem Zufallsprinzip in der Lüneburger Fußgängerzone eine Privatadresse. Sie erhielten die Erlaubnis einer Inhaberin eines Käseladens, dessen Adresse für ihre Arztausweis-Bestellung zu nutzen.  

Der elektronische Arztausweis und Praxisausweis spielen bei der Vernetzung des Gesundheitswesens eine zentrale Rolle. Künftig soll jeder Arzt diese Chipkarten besitzen, um sich digital auszuweisen. Sie sind der Zugangsschlüssel für Ärzte zur Telematikinfrastruktur, die Praxen, Krankenhäuser und Krankenkassen vernetzten soll. Die elektronische Patientenakte ist für 2021 geplant. Deshalb gelten schon jetzt strenge Regeln, wer solche Zugangsschlüssel haben darf.

Thomas Damms
galerie

Im Test wurde der Ärzteausweis von Thomas Damms einfach auf der Käsetheke abgeliefert - im Ernstfall könnte das ein Sicherheitsrisiko bedeuten.

Lücke auch bei Versichertenkarten

Die Bestellung der Chipkarten durch die Journalistinnen war dennoch möglich - unter Ausnutzung verschiedener Sicherheitsmängel. Gefunden hat diese Mängel ein Projektteam des CCC rund um Martin Tschirsich. Der IT-Sicherheitsberater untersuchte, ob es ihm als Außenstehender möglich ist, nicht nur an einen elektronischen Arztausweis, sondern auch an einen Praxisausweis und Gesundheitskarten von Versicherten zu kommen - also an alle Chipkarten, die für die Nutzung der Telematikinfrastrutur relevant sind.

Das CCC-Team bestellte online im Namen von Christian Brodowski, einem CCC-Mitglied und niedergelassenen Anästhesisten, einen elektronischen Arztausweis und einen Praxisausweis. Dabei fiel dem Team auf, dass beim BankIdent- und beim zeitversetzten KammerIdentverfahren für die Identifizierung kein erneutes persönliches Erscheinen nötig ist. Und sie entdeckten: Der Ausweis ließ sich an jede beliebige Adresse senden.

Logo CCC
galerie

Der Chaos Computer Club kritisiert: Wenn es Probleme bei der Kartenausgabe gibt, dann sei die ganze Infrastruktur in Frage gestellt.

Keine Kontrollen, löchriges System

Alle Erkenntnisse hat das CCC-Team in einem rund 30-seitigen Bericht zusammengefasst. Das Ergebnis: Wenn keiner zuverlässig kontrolliert, wer sich hinter einer Bestellung eines Ausweises verbirgt und wohin die Chipkarten geliefert werden, ist das gesamte System löchrig. "Das ist problematisch, weil die Sicherheit der Telematikinfrastruktur genau auf der Sicherheit dieser Kartenherausgabeprozesse basiert", sagt Tschirsich.

In diesem Zusammenhang erhalten die Warnungen von IT-Experte André Zilch eine neue Dringlichkeit: Seit Jahren macht er immer wieder auf Sicherheitslücken bei der Herausgabe von Gesundheitskarten für Versicherte aufmerksam. Gemeinsam mit Tschirsich zeigten sie erneut, dass sie sich eine fremde Gesundheitskarte erschleichen konnten.

Mangelhafter Datenschutz bei geplanter Gesundheitskarte
tagesschau 17:00 Uhr, 27.12.2019, Michael Stempfle, ARD Berlin

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Größtes Digitalisierungsprojekt

Das digital vernetzte Gesundheitswesen ist das größte Digitalisierungsprojekt der Bundesregierung. Im Frühjahr 2019 machte es Bundesgesundheitsminister Jens Spahn zur Chefsache und übernahm 51 Prozent der Gematik, die zuständige Gesellschaft für den Aufbau und die Sicherheit der Telematikinfrastruktur. Im Januar kündigte der Minister an, Geschwindigkeit in das Projekt zu bringen: "das werden wir machen - Hacker hin oder her."

Bei der genauen Analyse eines Anbieters, der Firma Medisign GmbH, entdeckte das CCC-Team weitere Lücken in der IT-Sicherheit. Eine war besonders gravierend: Unter einer offen zugänglichen URL konnte das Team ausgefüllte Arztausweisanträge einsehen. Dort standen Namen, Geburtsdatum, Meldeadresse, Kontoverbindungen oder Personalausweisnummern von Ärzten. Das Team um Tschirsich stufte das Datenleck als so kritisch ein, dass die Firma bereits vor Wochen informiert wurde.

"Sicherheitsmängel sofort beseitigt"

Auf Anfrage von NDR und "Spiegel" erklärt Medisign GmbH, dass die "Sicherheitsmängel sofort beseitigt" wurden. Der zuständige Landesdatenschützer und Herausgeberorganisationen seien informiert worden. Nach Aussage von Medisign waren 168 Ärzte vom Datenleck betroffen. Wie lange die URL bereits existierte, ließ die Firma unbeantwortet.  Auf ihrer Internetseite wirbt Medisign damit, bereits 28.000 elektronische Arztausweise ausgegeben zu haben.

Thomas Damms | Bildquelle: J.Klofta, NDR
galerie

Auch Thomas Damms war vom Datenleck betroffen. Er findet es befremdlich, dass ein Ausweis einfach an den Käseladen geliefert wurde.

Auch der Arzt Thomas Damms war von dem Datenleck betroffen. Seine Informationen daraus nutzen die Journalistinnen mit seinem Einverständnis für ihr Experiment. Und tatsächlich: Sein Arztausweis und die zugehörigen Sicherheitsnummern wurde nicht nur in den Käseladen geliefert, sondern weil es dort keinen Briefkasten gibt, legte der Postbote den Brief mit seinem Arztausweis einfach auf der Käsetheke ab. "Ich finde es unglaublich, dass der Ausweis per normaler Post an jede x-beliebige Adresse verschickt wird", sagt Damms.

Ärztekammer findet Vorfall "äußerst bedenklich"

Die für seinen Arztausweis zuständige Ärztekammer fragte bei Damms sogar nach, ob er zwei Anträge gestellt habe. Konsequenzen hatte dies offenbar nicht. Die niedersächsische Ärztekammer schreibt auf Anfrage von NDR und "Spiegel", dass "bisher keine Zweifel an der Echtheit von Anträgen" erhoben wurde. Dass sich IT-Sicherheitsexperten und Journalistinnen Arztausweise beschaffen konnten, sei "äußerst bedenklich". Bislang müssten die Privat- und Dienstanschrift nicht mit den Antragsdaten übereinstimmen, heißt es weiter. "Dies werden wir mit der Bundesärztekammer zu besprechen haben".

Für die Bundesärztekammer sind die "aufgedeckten Sicherheitsmängel nicht hinnehmbar". Die nun in der Kritik stehenden Verfahren BankIdent und zeitversetztes KammerIdent wurden sofort "außer Kraft gesetzt". Auch die für die Herausgabe von Praxisausweisen zuständige Kassenärztliche Bundesvereinigung reagiert sofort auf die durch die Experimente aufgedeckten Sicherheitsmängel. Sie habe empfohlen, Praxisausweise "nur noch an die den KVen bekannten Praxisadressen" zu verschicken.

Kartenausgabe gestoppt

Die für die Sicherheit der Telematik zuständige Gesellschaft Gematik betont ebenfalls, dass die aufgedeckten Schwachstellen "nicht hinnehmbar" seien. Da aktuell noch keine Behandlungsdaten gespeichert würden, bestehe aber keine Gefahr für die Sicherheit der Patientendaten. Die Prozesse der Kartenausgabe sollen nun überprüft werden. Bis dahin sei die Ausgabe von Karten gestoppt. Das Datenleck bei Medisign nehme die Gematik zum Anlass bei dem Anbieter eine unabhängige Prüfung vorzunehmen.

Medisign erklärt, die Firma stehe mit allen zuständigen Institutionen in Kontakt, "um weitere Maßnahmen festzulegen". Vorsichtshalber seien aber betroffene Karten gesperrt worden. Gleichzeitig betont Medisign, dass die Identifizierungsverfahren BankIdent und KammerIdent den gesetzlichen Vorgaben entsprechen und als "sicher anzusehen" seien.

Verantwortung in zu vielen Händen?

Genau darin sieht Tschirsich das eigentliche Problem. Er fragt sich, warum in den entsprechenden Zulassungsverfahren für die Anbieter die kritisierten Sicherheitsmängel unentdeckt bleiben konnten. Die Ursache sieht er in der "Zersplitterung der Verantwortlichkeit." Denn eigentlich fehle es für die Herausgabe der Chipkarten nicht an Vorgaben. Vielmehr sei die "Umsetzung noch nicht richtig überwacht und kontrolliert" worden, sagt Tschirsich.

Dafür brauche es eine einzige Stelle, die für die Gesamtsicherheit der Telematikinfrastruktur befugt und verantwortlich ist - wie etwa das Bundesgesundheitsministerium.

Über dieses Thema berichtete die tagesschau am 27. Dezember 2019 um 16:00 Uhr.

Darstellung: