Chaos Computer Club : CCC sieht Sicherheitslücken bei der ePA

Eine Diskobrezel glitzert an der Decke, ein buntes Einhorn beleuchtet den Eingang: Im Congress Centrum Hamburg (CCH) herrscht auf drei Stockwerken eine fröhliche Festivalstimmung. Schon an der Außenfassade des Gebäudes zeigt sich deutlich, wer hier vier Tage lang das Sagen hat: Statt CCH prangen an der Front drei große Cs – kurz für Chaos Communication Congress oder auch den veranstaltenden Chaos Computer Club (CCC). Doch von der fröhlichen Anarchie darf man sich nicht täuschen lassen. Der Frust und die Enttäuschung über die Digitalpolitik der vergangenen Jahre mit Chatkontrolle und Sicherheitspaket hinterlässt Spuren. „Wir leben in schwierigen Zeiten“, fasst Gabriela Bogk vom CCC die Lage bei der Eröffnung zusammen.

Es ist Zeit, sich zu wappnen: Das spiegelt sich auch in dem doppeldeutigen Motto „Illegal Instructions“ wider. „Eigentlich ist ‚Illegal Instructions’ eine Fehlermeldung, die der Computer ausgibt, wenn man ihm einen Befehl gibt, der für ihn keinen Sinn ergibt“, erklärt Jochim Selzer vom CCC. Gleichzeitig sei das Motto aber auch ein Aufruf, Hacken wieder mehr als politische Aktionsform zu sehen. „Wir hatten die Hoffnung, dass sich mit der Ampelkoalition etwas verändert, im Koalitionsvertrag standen schließlich gute Vorhaben.“ Passiert sei jedoch wenig, stattdessen herrsche eine zunehmend repressive politische Atmosphäre, eine Besserung nach der Bundestagswahl sei nicht zu erwarten. „Wir müssen uns wieder mehr wehren“, sagt Selzer.

Sicherheitslücken bei der ePA

Einen starken Fokus legte der CCC dabei dieser Jahr – nicht zum ersten Mal – auf die Sicherheit von Gesundheitsdaten. Direkt am ersten Tag des Kongresses widmeten sich die Sicherheitsforscher:innen Bianca Kastl und Martin Tschirsich der elektronischen Patientenakte (ePA). Die ePA wurde 2021 eingeführt, ab Mitte Januar wird für alle 70 Millionen gesetzlich Versicherten, die nicht widersprechen, automatisch eine Akte angelegt. Den Wechsel zur „Opt-Out“-Anwendung hatte die Ampelregierung im Digital-Gesetz (DigiG) beschlossen.

Tschirsich und Kastl zeigten in ihrem Vortrag ein buntes Sammelsurium an Sicherheitslücken auf, die einen Angriff auf die ePA und die darin liegenden Daten zulassen. Dabei dienen die Karten – die elektronische Gesundheitskarte (eGK) für gesetzliche Versicherte und die elektronischen Heilberufeausweise für Ärzt:innen – als Zugangsschlüssel. Stecken Patient:innen ihre Karte in das Lesegerät einer Praxis, kann diese 90 Tage lang auf deren ePA zugreifen.

Doch diese Zugangsschlüssel sind laut den Sicherheitsforscher:innen alles andere als sicher: Mit nur zwei Anrufen bei einer Krankenkasse konnte sich Tschirsich nach eigenen Angaben eine Gesundheitskarte für eine andere Person bestellen. Dieser Prozess sei seit Jahren unzureichend abgesichert. Für ihn sei es bereits ein jährliches Ritual, erzählt der Sicherheitsforscher.

Zugriff auf alle ePAs möglich

In ihrem Vortrag zeigten Kastl und Tschirsich auch einen neuen Angriffsweg, mit dem sie auf alle ePAs zugreifen könnten. Dazu kauften sie über das Verkaufsportal „Kleinanzeigen“ gebrauchte Kartenterminals, um sich Zugang zur Telematikinfrastruktur zu verschaffen. Mit der Praxiskarte konnten sie sich dann gegenüber dem Versichertenstammdatendienst (VSDD) als vermeintliche Praxis identifizieren. Um auf eine ePA zuzugreifen, brauchen sie dann nur die sogenannte Integrated Circuit Card Serial Number (ICCSN), die auf dem Chip der eGK gespeichert ist. Die wird unverschlüsselt und unsigniert an den VSDD übermittelt und kann so leicht manipuliert werden.

Übermittelt man die ICCSN an den Stammdatendienst, schickt dieser einen Prüfungsnachweis zurück, mit dem dann die Daten aus der ePA abgerufen werden können. Nützlich für Angreifende ist hier, dass die Nummern fortlaufend vergeben werden: „Man kann also einfach hochzählen“, erklärte Kastl. Ob Karte und angegebene Nummer übereinstimmen, wird dabei nicht geprüft. „Ein kleiner Fehler mit großer Wirkung“, so Tschirsich: Denn so gelinge potenziell der Zugriff auf alle 70 Millionen Patientenakten.

Das Angriffsszenario ist der Gematik bekannt. In einem Statement bedankte sich die Gematik nach Weihnachten bei Kastl und Tschirsich für deren Hinweise. Die Angriffe seien zwar technisch möglich, in der Realität aber eher unwahrscheinlich. Zudem sei der unberechtigte Zugriff auf die Patientenakte strafbar. Die Forscher:innen ziehen ein anderes Fazit: Die ePA ist unsicher. Stattdessen sollte das Projekt überarbeitet werden, mit einer unabhängigen Bewertung der Sicherheitsrisiken und transparenter Kommunikation zu diesen. Ein anderer, offener Entwicklungsprozess sei dringend notwendig. „Wenn wir immer das Gleiche tun, kommt auch am Ende immer dasselbe raus. Und es ist irrwitzig zu erwarten, dass jetzt auf einmal ein sicheres Produkt kommt“, sagte Tschirsich. Vertrauen könne nicht verordnet werden.

Keine Lücke, sondern Lückenteppiche

Bei den anwesenden Parlamentarierinnen sorgte der Vortrag der Sicherheitsforscher:innen für Ärger und Frust. „Es ist nicht eine Lücke, sondern ein Lückenteppich – und alle sind der Gematik bekannt“, sagte Digitalpolitikerin Anke Domscheit-Berg (Gruppe die Linke). „Es wird aber einfach so getan, als wäre nichts.“ Problematisch sieht Domscheit-Berg hier die unbesetzten Stellen für IT-Sicherheit im Bundesgesundheitsministerium. „Es fehlt das Fachwissen und die Kompetenz, diese Risiken einzuschätzen.“

Die grüne Digitalpolitikerin Sabine Grützmacher kritisierte, dass die Sicherheitslücken nicht im Kontext der nationalen Sicherheit betrachtet würden. „Ständig hören wir von den Sicherheitsbehörden, wie stark die Gefahr für Cyberangriffe seit Beginn des Ukrainekriegs gestiegen ist“, sagte Grützmacher. „Aber trotzdem lassen wir gut dokumentierte Sicherheitslücken weit offen.“

Zudem seien Sicherheitsforscher:innen wie Kastl und Tschirsich durch den sogenannten „Hackerparagrafen“, der auch ethisches Hacken kriminalisiert, in ihrer Arbeit stark eingeschränkt. „Potenziell gibt es also noch viele weitere Angriffsvektoren, die Kriminellen offenstehen.“ Beide Politiker:innen hatten vor einem Jahr einen offenen Brief unterschrieben, in dem gefordert wurde, die Digitalisierung des Gesundheitswesens neu aufzustellen. mit dpa, Josefine Kulbatzki