Elektronischen Patientenakten: Hacker finden erneut Sicherheitslücken in der ePA
Im Dezember präsentierten Sicherheitsforschende auf dem 38C3, dass Angreifer auf die in der elektronischen Patientenakte (ePA) gespeicherten Gesundheitsdaten zugreifen können. Der Betreiber Gematik versprach Besserung, Teile der Lösungen bezeichnen Sicherheitsforschende als „Sicherheitstheater“ – und knackten das System erneut.
Das Vorgehen demonstrierten Bianca Kastl und Martin Tschirsich dem Spiegel, der die Sicherheitslücke öffentlich machte.
Schwachstelle im Identätisnachweisverfahren
Möglich ist so ein Zugriff über Sicherheitslücken im Identitätsnachweisverfahren der ePA-Infrastruktur. Wie Bianca Kastl und Martin Tschirsich auf dem 38C3 demonstrierten, kann man auf sämtliche ePAs zugreifen, sofern es gelingt, die Identität eines sogenannten Leistungserbringers – also etwa einer Arztpraxis – zu erhalten. Betroffen sind also bis zu 70 Millionen Versicherte, wenn alle die elektronische Patientenakte nutzen würden.
Die Gematik räumte ein, dass die Lücke existiert, bezeichnete ein Ausnutzen „in der Realität [als] nicht sehr wahrscheinlich“, weil verschiedene Vorausetzungen erfüllt sein müssten. Dennoch kündigte man an, die Lücke schließen zu wollen. Gesundheitsminister Karl Lauterbach erklärte damals ebenfalls via X: „Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind.“ Einen Bericht, der an der Sicherheit der ePA zweifelte, bezeichnete er als „kritisch, aber fair“.
Gematik-Updates seien zum Teil „wirkungslos“
Am Dienstag ist die ePA für alle gestartet, sämtliche Ärzte und Apotheker können die elektronische Patientenakte nun im Alltag nutzen – mit einem Update der Gematik, das die Sicherheitslücke schließen sollte. In der Praxis sei das aber nicht der Fall, kritisieren Bastl und Tschirsich. Sie untersuchten die neuen Sicherheitsvorkehrungen und fanden erneut ausnutzbare Schwachstellen, die sie dem Spiegel demonstrieren. Einer der neuen zentralen Mechanismen sei „nachgewiesen wirkungslos“.
Das Fazit ist ernüchternd. Tschirsich: „Man hat ein zusätzliches Vorhängeschloss an die Tür gemacht, doch der Schlüssel liegt weiterhin unter der Fußmatte.“ Damit erfülle die elektronische Patientenakte derzeit nicht die Sicherheitsanforderungen, die das BSI vorgegeben habe.
Das Cert Bund beim BSI haben die Sicherheitsexperten bereits informiert. Die Gematik hat auf Anfrage des Spiegels bereits reagiert und „erste Sofortmaßnahmen“ eingeleitet. Bislang habe man „keine Hinweise darauf, dass es einen unbefugten Zugriff auf die elektronische Patientenakte gegeben hat“.
Angriff ist komplex
Um die Schäden von Angriffen einzudämmen, hatte die Gematik unter anderem die Anzahl der Zugriffe begrenzt. Es existieren also Rate Limits für Zugangsbefugnisse, die abhängig von der Größe einer Gesundheitseinrichtung sind. Ein Krankenhaus kann maximal 200.000 Befugnisse pro Monat anfordern, bei einer kleinen Zahnarztpraxis sind es höchstens 10.000.
Um auf die ePA zugreifen zu können, wurden zudem weitere Maßnahmen implementiert. Für einen Abruf braucht es daher laut dem Spiegel:
- Einen Zugang zur Telematik-Infrastruktur, also dem Netzwerk, über das die ePA läuft.
- Die Gesundheitskartennummer eines Patienten
- Die auf der Karte ablesbare Krankenversichertennummer
- Den sogenannten hash check value (hcv) als Prüfwert
Die hcv berechnet sich aus dem Datum des Versicherungsbeginns und der Straße und Hausnummer eines Versicherten. Das Verfahren ist öffentlich dokumentiert, bei der Gematik geht man aber davon aus, dass insbesondere der Versicherungsbeginn nicht im Internet abrufbar ist. Es sollen also ebenfalls Informationen sein, die sich im Endeffekt nur über die Gesundheitskarte abrufen lassen.
Kastl und Tschirsich konnten aber zeigen, dass sich die Daten über die sogenannte elektronische Ersatzbescheinigung abrufen lassen – diese können Patienten nutzen, wenn sie die Gesundheitskarte etwa vergessen haben, aber trotzdem abrechnen wollen. Gemeinsam mit dem Professor für IT-Sicherheit Christoph Saatjohann entwickelten Kastl und Tschirsich ein kleines Programm, um solche Abfrage zu automatisieren. Laut Spiegel funktionierte das Tool mit den Daten eines Redakteurs reibungslos. „Nichts anderes als eine verkomplizierte Form von Sicherheitstheater und keine echte IT-Sicherheit“ sei diese Lösung, so Kastl im Spiegel.
Die elektronische Ersatzbescheinigung hat die Gematik vorerst abgeschaltet.
CCC fordert nachhaltige Lösung ohne „Flickschusterei“
Hürden hat der Zugang zur ePA also immer noch. Die ePA sei „nicht so schlecht geschützt, dass nun alle gesetzlich Versicherten davon ausgehen sollten, früher oder später Opfer eines Hacks zu werden“, heißt es im Spiegel. Man benötigt etwa einen Zugang zur Telematik-Infrastruktur, den eigentlich nur Gesundheitseinrichtungen haben sollten. Es gibt aber noch einen erweiterten Nutzerkreis, zu dem etwa Servicetechniker gehören. Tschirsich ist es daher gelungen, die Hardware samt Zubehör und Zugangsdaten auf Kleinanzeigen.de zu kaufen.
Die Frage ist nun, wie viele Gesundheitskarten sich auf einmal besorgen lassen. Beliebig skalieren lässt sich das Verfahren der Sicherheitsforschenden nicht, heißt es im Bericht des Spiegels. Datenlecks wie die beim IT-Dienstleister Bitmarck im Jahr 2023 ermöglichen aber einen Zugang zu einer Vielzahl von Daten, in diesem Fall rund 300.000.
Selbst ohne elektronische Ersatzbescheinigung wäre es damit weiter möglich, den hcv-Wert für den Zugang zu berechnen. Was der CCC nun fordert, ist eine nachhaltige Lösung. „Derartige Flickschusterei erhöht die Komplexität, ohne den Schutz zu verbessern“, so CCC-Sprecher Linus Neumann im Spiegel.
Weitere Details zum Angriff beschreibt der Spiegel noch ausführlicher. Hintergründe zur Tele-Infrastruktur liefert der Vortrag von Kastl und Tschirsich auf dem 38C3.
Fabian und 
Jan-Frederik