16 | POLITIK CHAOS COMPUTER CLUB ZUR EPA-SICHERHEIT „Eine halluzinierte Fehldiagnose“ Der Start der Testphase der elektronischen Patientenakte für alle am 15. Januar stand unter keinem guten Stern: Kurz zuvor hatten IT-Experten des Chaos Computer Clubs (CCC) zahlreiche Sicherheitslücken im IT-Großprojekt der Bundesregierung aufgedeckt. Der CCC bezeichnete die Sicherheit der ePA als „halluzinierte Fehldiagnose“. Während die gematik und das BMG den Eindruck erweckten, die Sicherheitsmängel ließen sich kurzfristig abstellen, forderten die IT-Experten einen kompletten Reset. Alljährlich zwischen Weihnachten und Silvester veranstaltet der CCC den Chaos Communication Congress. Nach Clubangaben kommen zum internationalen Treffen der Hackerszene in Deutschland inzwischen rund 17.000 IT-Experten. Die Sicherheitsforscher Bianca Kastl und Martin Tschirsich hatten bereits bei vorangegangenen Kongressen in Vorträgen auf Sicherheitslücken in den jeweils aktuellen Versionen der ePA hingewiesen. Der jüngste Vortrag begann mit einer Rückschau auf die Historie. Dabei betonten Kastl und Tschirsich, dass sie keine umfassende Sicherheitsanalyse der ePA erstellt hätten, sondern: „Wir haben lediglich Dinge geprüft, die uns als Erstes untergekommen sind.“ Hinzu komme, dass alle vorgestellten Angriffsszenarien aus der Außentäterperspektive entwickelt seien. Bei Innentätern seien weitere Szenarien denkbar, erklärte Tschirsich. Es gebe also durchaus „Bedarf“ für eine Weiterführung ihrer Arbeit. Die Angriffsvarianten kennt man mindestens seit 2012 Mindestens seit 2012 sind die Angriffsvarianten bekannt, mit denen es den IT-Experten gelungen war, sich Konnektoren sowie Identitäten von Praxen und Patienten zu beschaffen. Einige Angriffe waren bereits im Rahmen des CCCKongresses 2019 demonstriert worden und nutzten Schwachpunkte der Ausgabeprozesse von elektronischen Gesundheitskarten, elektronischen Heilberufsausweisen und SMC-B-Karten aus. Das komplette Prozedere war Tschirsich zufolge mit einem Aufwand von etwa einer Stunde verbunden und ermöglichte je nach Art der Identität den Zugriff auf eine einzelne ePA oder auf alle Akten, die für die jeweilige Praxis freigegeben waren. Im Jahr 2020 – noch vor der Präsentation der ePA Version 1.0 – hatte Prof. Dr.- Ing. Christoph Saatjohann, Experte für IT-Sicherheit an der FH Münster, einen Fehler bei der Installation der Konnektoren entdeckt. In vielen Praxen waren die Konnektoren verkehrtherum angeschlossen, das heißt, der eigentlich für das zu schützende Praxisnetz zu verwendende LAN-Anschluss war „außen“ ans Internet angeschlossen. Ergebnis Die Sicherheitsforscher Bianca Kastl und Martin Tschirsich am 27. Dezember beim 38. Chaos Communication Congress in Hamburg. Foto: CCC/zm zm115 Nr. 03, 01.02.2025, (118)
RkJQdWJsaXNoZXIy MjMxMzg=