Das TI-System selbst sei bei korrekter Installation sicher, heißt es immer wieder zu möglichen Sicherheitslücken in der Telematikinfrastruktur im Gesundheitswesen. Schließlich seien alle Komponenten nach höchsten Anforderungen des BSI geprüft und zugelassen. IT-Experten sehen trotzdem mögliche Risiken.
Der IT-Sicherheitsexperte Thomas Maus hat in einem Beitrag für die aktuelle Ausgabe der Zeitschrift c’t 3/2020 („Sicher wie die TI-tanic“, Heise online) die aktuelle Situation und vor allem die Hardware kritisch unter die Lupe genommen. „Doch selbst wenn Gematik und Bundesgesundheitsministerium die Identifizierung von Ärzten, Praxen und Patienten bei der Kartenausgabe künftig verbessern, könnten in der TI womöglich noch hunderte weitere Sicherheitslücken klaffen. Um diesen auf die Spur zu kommen, hat der Autor als Sicherheitsexperte im Auftrag von Ärzten an deren Konnektoren nichtinvasive und nichtdestruktive Analysen durchgeführt“, heißt es im Beitrag.
Natürlich sei die fehlerhafte Installation ein Problem, so Maus. Eine einzige Praxis mit einer unsicheren Anbindung könnte reichen, um die gesamte TI-Infrastruktur zu infizieren. Aber selbst in der als sicher deklarierten Hardware steckten Einfallstore für Angreifer. Er untersuchte zwar in erster Linie den Konnektor von T-Systems, den „Medical Access Port“, aber auch bei der KoCo-Box von CGM gibt es Probleme. Neben der Frage der Konfiguration der Konnektoren nach Installation sind vor allem die verwendeten Open-Source-Komponenten des Konnektor-Systems ein Problem. Credo sei, so wenig wie möglich dieser Komponenten in einem System einzusetzen, um Sicherheitsrisiken zu minimieren. Dies habe man hier nicht eingehalten und Tools aufgenommen, die für den Betrieb des Konnektors nicht erforderlich seien.
Alte oder verwundbare Komponenten im Einsatz
Der Autor macht eine ganze Reihe weiterer Risiken aus, so das Alter einiger Komponenten oder die bekannte Verwundbarkeit der verwendeten Versionen dieser Open-Source-Anwendungen. Für die von T-Systems verwendete Firmware (1.4.13) verbleiben nach seinen Recherchen Hinweise auf mindestens 402 potenzielle Verwundbarkeiten: 11 kritische, 141 hochbrisante, 250 mittelbrisante. Auch nach einem Firmwareupdate im November 2019 habe die neue Firmware-Version 1.5.3 am 31. Dezember 2019 immer noch 291 Hinweise auf klärungsbedürftige Verwundbarkeiten gehabt: „7 kritische, 117 hochbrisante und 167 mittelschwere“.
CGM gebe für seine KoCo-Box zwar die Lizenzen, aber nicht die verwendeten Komponenten an. Dies sei ein Verstoß gegen die GNU General Public License. Zudem müsse man so „vom schlimmsten Fall ausgehen, also allen Verwundbarkeiten jeglicher Software unter all den angegebenen Lizenzen.“
„Wo immer unabhängige Experten hinschauten, blickten sie in Abgründe“
Am Ende empfiehlt der Autor den Nutzern der T-Systems-Konnektoren dringend das Update durchzuführen, und am Ende: Abschalten. „Aber selbst wenn die Gematik zusichert, dass alle CVEs der Konnektoren und Kartenterminals einzeln geprüft wurden und tatsächlich keine Gefahr besteht, hilft das nur, bis die nächste Verwundbarkeit bekannt wird. Deren Prüfung dauert dann wieder einige Tage, in denen die Sicherheitslage unklar ist. Bei höchstem Sicherheitsniveau, das für Medizin-IT und Gesundheitsdaten gefordert wird, ist dies nicht akzeptabel: Die Konnektoren müsste man derweil abschalten.
Obige Analyse deckt allerdings nur einen kleinen Teil möglicher Probleme der Telematik-Infrastruktur auf: Ob Zertifizierungsniveau oder -verfahren, Installationsqualität, Management der Authentifikationsmittel oder Updates – wo immer unabhängige Experten bisher im Rollout der TI hinschauten, blickten sie in Abgründe.“
Telekom verweist gegenüber dem „Ärzteblatt“ auf BSI und Gematik
Wie das „Deutsche Ärzteblatt“ berichtet, habe die Telekom auf Nachfrage auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Gematik als Prüf- und Genehmigungsinstanzen verwiesen. „Unser Konnektor entspricht den Spezifikationen der Gematik und ist zugelassen“, zitiert das Blatt einen Sprecher. Das BSI habe die Technik geprüft. Fragen zur Sicherheit könnten daher nur die Betreibergesellschaft Gematik und das BSI beantworten. Man beteilige sich nicht an Spekulationen. Die Gematik habe auf Nachfrage erklärt, aus den geschilderten Ausführungen seien „keine tatsächlichen Sicherheitsrisiken ableitbar“. Das BSI habe sich auf Anfrage bislang nicht geäußert, so das Deutsche Ärzteblatt.
Kritischer Kommentar aus der Zahnärzteschaft
Die aktuell bekannt gewordenen Sicherheitsprobleme bei der TI – so deckte der Chaos Computer Club den unsicheren Versand von Praxisausweisen auf –, die Ankündigungen und Vorgehensweisen des zuständigen Bundesgesundheitsministers Jens Spahn und die Umverteilung der Lasten für Datenschutz und Datensicherheit auf die (Zahn-)Ärzteschaft hat Dr. Michael Loewener, Zahnärzte für Niedersachsen, in einem neuen „Aufgespießt“ kritisch verarbeitet. Loewener kritisiert: „Und um Ungemach vollends von sich und den Seinen fernzuhalten, führt er die niedergelassenen Ärzte direkt in die Schusslinie, wenn er hinzufügt: ‚Deswegen haben wir als Gesetzgeber die Kassenärztlichen Vereinigungen verpflichtet, verbindlich festzulegen, wie niedergelassene Ärzte Patientendaten schützen müssen. Aber am Ende müssen die Praxisärzte das auch umsetzen. Da gibt es teilweise noch Luft nach oben!‘
Damit dürfte geklärt sein, wen der Hammer trifft, wenn es denn zu den erwartbaren Lecks in der TI kommen wird. Und die fortgesetzten Bekundungen der Körperschaften, dass die Verantwortung der Leistungserbringer am Konnektor ende, entfalten lediglich symbolische Strahlkraft; denn Gerichte werden im Zweifelsfall anders entscheiden.“ (aus Loewener: „Haltet den Dieb! … Oder: wie verlagere ich Verantwortung“, ZfN „Aufgespießt“ vom 19. Januar 2020)
