POLITIK | 17 der fehlerhaften Installation: Wenn eine ePA vorhanden gewesen wäre, hätte man sie von außen lesen können. 2022 demonstrierte Tschirsich, wie man sich durch Täuschung des VideoIdent-Verfahrens die elektronische Gesundheitskarte eines Dritten beschaffen kann. Die Angriffstechnik sei seit 2017 bekannt gewesen, ließ sich aber auch fünf Jahre später noch erfolgreich durchführen, erläuterte Tschirsich in seinem Vortrag. Einfach mal eine SMC-B-Karte bestellen „Wer von Euch kennt noch SQL-Injection?“, fragte Sicherheitsforscherin Bianca Kastl das Publikum. Während der Saal mit Gelächter antwortete, erklärte Kastl für die Jüngeren den uralten Hackertrick: Trug man in das Eingabefeld eines Formulars statt normalem Text den Programmiercode ein, konnte man die Datenbanken mitunter dazu bringen, den Code auszuführen. Damit ließen sich dann Informationen auslesen und Zugänge zu Daten und Passwörtern erlangen. „Das gibt es noch“, sagte Kastl. Tschirsich ergänzte, dass mit dieser Technik Mitte Dezember 2024 bei einem Kartenherausgeber „en masse“ Praxisausweise, also die SMC-B-Karten, bestellbar gewesen seien. Man konnte sich Karten von bestehenden Praxen beschaffen und hätte möglicherweise auch neue, fiktive Praxen anlegen können, was die Forscher aber nicht testeten. Mit den SMC-B-Karten hätten Daten der in der Praxis tätigen Ärzte bearbeitet werden können und es wäre ein Vollzugriff auf die für diese jeweils freigegebenen ePAs möglich gewesen. Im Normalbetrieb einer Praxis wäre der Anteil der quartalsweise etwa 1.000 Patienten betroffen gewesen, der nicht für ein Opt-out votiert hat. Der Fehler sei seit 2019 bekannt, aber noch 2024 „ausnutzbar“ gewesen, waren sich beide Experten einig. Der Angriff per SQL-Injection war für die Hacker mit einem Aufwand von circa einer Stunde ausführbar. Im Ergebnis wären die Informationen aus bis zu 1.000 Akten sichtbar gewesen. „Wenn wir als Versicherte dagegen auf unsere, eine einzige Akte zugreifen wollen, ist das ein sehr, sehr kompliziertes Verfahren: Post-Ident, Multifaktorauthentifizierung …“ Der Saal lachte. Zur Erinnerung: Es geht um das aktuell größte Gesundheits-IT-Projekt der Bundesrepublik Deutschland. Mit dem Praxisausweis geht nochmehr Wer sich nun SMC-B-Karten beschafft hat, ist jedoch keineswegs auf die Daten der Praxispatienten beschränkt. Kastl und Tschirsich beschrieben Angriffsmethoden, mit denen sich der Zugang zu jeder beliebigen der vermutlich über 70 Millionen an den Start gehenden Patientenakten herstellen lässt. Dazu wird zunächst der sogenannte Behandlungskontext benötigt, der digital entsteht, sobald die Gesundheitskarte des Patienten ins Kartenterminal gesteckt und mit der Identität der Praxis zusammengeführt wird. Die Identitätsdaten von Praxis und Patient werden an den Versichertenstammdatendienst gesendet und dort geprüft. Ist das Ergebnis positiv, wird der Zugriff auf die Akte freigegeben. Beim Angriff auf das System lässt sich auch der Umstand ausnutzen, dass die auf der Gesundheitskarte des Patienten gespeicherten sogenannten ICCSN-Nummern, die die Karte eindeutig identifizieren, nach einem festen Muster zusammengesetzt und simpel hochnummeriert sind. „Die ersten fünf Ziffern sind eh immer gleich: Deutschland, Gesundheitswesen. Dann nehmt ihr die Krankenkassen und dann fangt ihr an, den Nummernraum hochzuzählen. Je nachdem, wie groß die Krankenkasse ist, kann das in die Millionen gehen“, erklärte Kastl. Die Angriffsmöglichkeiten seien seit 2016 bekannt, funktionierten aber auch noch 2024. Weil der vorgestellte Angriff einen Arbeitsaufwand von etwa einem Monat benötigte, forschten die Experten nach „effizienteren“ Hacker-Möglichkeiten. Eine simple Alternative: die vielen schlecht gesicherten IT-Systeme in deutschen Gesundheitseinrichtungen. Es sei problemlos möglich gewesen, sich in vorhandene Praxissysteme einzuklinken und die dort vorhandenen Ressourcen für eigene Abfragen zu nutzen. Für ihn sei es eine Art jährliches Ritual, sich eine neue Gesundheitskarte zu bestellen, sagte Tschirsich: „Nicht die eigene […], aber natürlich mit Einverständnis des Betroffenen!“ Immerhin seien im vergangenen Jahr bereits zwei Telefonate notwendig gewesen, um eine fremde Gesundheitskarte zu bekommen, so der Sicherheitsforscher. Dabei hatte der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber noch in 2023 gefordert, die Zustellung der eGK müsse persönlich erfolgen oder eine Nachidentifizierung stattfinden, bevor der Zugriff auf die Akte gewährt werden kann. Umgesetzt wurde das nicht, denn das Prozedere ist aufwendig und schafft Probleme im Handling. Ein Dilemma zwischen Komfort und Sicherheit, das kaum lösbar erscheint. Bei Ebay-Kleinanzeigen gibt’s Praxisausweise Eine ergiebige Quelle für Zugangstools bieten auch Kleinanzeigenportale, auf denen gebrauchte Kartenterminals angeboten werden, teils mit originalverpacktem und eingeschweißtem Praxisausweis, PINs und allem, was Hackerherzen höher schlagen lässt. Remote-Zugriffe auf die Telematikinfrastruktur lassen sich offenbar aber auch noch simpler bekommen. Die Forscher tarnten sich als Dienstleister für PraxisIT und boten Ärzten Hilfe an. Auch hier dauerte es nicht lange und die falschen Dienstleister hatten Remote-Zugriff auf die Praxis-IT und deren Ressourcen. Abschließend stellten Kastl und Tschirsich die Frage, warum sich in den vergangenen Jahren immer wieder und mit anhaltender Regelmäßigkeit Fehler in die Telematik-IT eingeschlichen haben: „Warum können wir uns darauf nicht verlassen, dass endlich mal eine ePA kommt, die sicher ist?“ Eine Antwort sei, dass das System inzwischen so komplex sei, dass es kaum noch jemand durchdringe, meinte Tschirsich: „Es ist irrwitzig zu erwarten, dass jetzt nun endlich ein sicheres Produkt kommt, nachdem bereits die ePA 1, die ePA 2 und die ePA 3 mit derartigen Mängeln versehen waren. Man muss erkennen, dass dieser Prozess nicht zu einer sicheren, vertrauenswürdigen digitalen Gesundheitsakte führen kann und dass es da grundlegende Änderungen braucht.“ br Zum Vortrag: https://media.ccc. de/v/38c3-konnte-bisher-noch-niegehackt-werden-die-elektronischepatientenakte-kommt-jetzt-fr-alle. zm115 Nr. 03, 01.02.2025, (119)
RkJQdWJsaXNoZXIy MjMxMzg=