Einerseits könnte man sagen: Endlich! Im Jahr 2025 müssen Befunde, Laborberichte und Röntgenbilder nicht mehr ausgedruckt von Praxis zu Praxis geschleppt werden. Denn alle gesetzlich Versicherten, die nicht explizit widersprechen, bekommen bald eine elektronische Patientenakte (ePA). Darin werden medizinische Daten digital gespeichert, sodass Arztpraxen und Krankenhäuser immer direkt auf die Krankengeschichte einer Patientin zugreifen können. In einigen Regionen Deutschlands startet die ePA am 15. Januar, flächendeckend eingeführt wird sie Mitte Februar.
Andererseits wird auf dem diesjährigen Jahrestreffen des Chaos Computer Clubs in Hamburg wieder einmal klar: Die ePA ist technisch angreifbar. Wer es darauf anlegt, könnte sich Zugriff auf die Gesundheitsinformationen einzelner Patienten verschaffen – oder gleich auf die Daten aller mehr als 70 Millionen Versicherten. Die IT-Sicherheitsexperten Bianca Kastl und Martin Tschirsich zeigten am Freitag auf dem diesjährigen Kongress des Chaos Computer Clubs (CCC) in Hamburg dafür gleich mehrere unterschiedliche Wege – die zum Teil nicht besonders aufwendig sind.
Besonders schwer wiegt dabei ein bislang unbekanntes Problem in der technischen Infrastruktur, auf der die ePA basiert. Kastl und Tschirsich erklärten, wie es möglich wäre, diese Schwachstelle auszunutzen. Und sagten: Potenziell könne man so auf alle elektronischen Patientenakten zugreifen.
Ob man dieses Problem bis zur Einführung der ePA lösen kann? Tschirsich sagt: Erst jetzt, mit ihrem Vortrag, werde "hektisch am lebenden Patienten herumgedoktert". Das Bundesgesundheitsministerium hingegen beschwichtigt: "Das theoretische Problem, das der CCC beschreibt, wird vor der Einführung der ePA für alle gelöst sein", schreibt ein Sprecher auf Nachfrage an ZEIT ONLINE.
Aber der Reihe nach.
Die elektronische Patientenakte kann man sich vorstellen wie einen Cloud-Datenspeicher, eine Art Ordner, der auf einem Server gespeichert ist, der ans Internet angeschlossen ist. Information dort speichern oder auslesen kann die versicherte Person selbst sowie jede Arztpraxis, der die Person das erlaubt. "Nur Patientinnen und Patienten sowie das von ihnen berechtigte medizinische Personal haben Zugriff auf die Daten", schreibt das zuständige Bundesgesundheitsministerium.
Um das sicherzustellen, ist ein aufwendiges technisches System entwickelt worden, die sogenannte Telematikinfrastruktur. Dafür zuständig ist die Gematik, die Nationale Agentur für digitale Medizin. In Arztpraxen und Krankenhäusern gibt es spezielle Terminals, mit denen die Versichertenkarten von Patientinnen ausgelesen werden können.
Indem man seine elektronische Gesundheitskarte in das Lesegerät einer Praxis steckt, erteilt man dieser die Erlaubnis, auf die eigene ePA zugreifen zu dürfen. In der neuesten Version der ePA, die nun für alle gesetzlich Versicherten in Deutschland kommen soll, die nicht aktiv widersprechen, ist dafür keine PIN oder Ähnliches nötig. Das soll die Handhabung des Systems für Ärzte und Patientinnen vereinfachen.
Nicht zum ersten Mal belegen Hacker des Chaos Computer Clubs allerdings, dass dieses System Schwächen hat. Zum Beispiel sei es nach wie vor relativ einfach, Versichertenkarten im Namen Dritter zu beschaffen, sagten Kastl und Tschirsich.
Schon 2012 machte der Sicherheitsforscher André Zilch darauf aufmerksam. Per Mail oder Telefonanruf könne man Krankenkassen etwa mitteilen, dass sich die Adresse einer versicherten Person geändert hätte, und könnte so in den Besitz der entsprechenden Karte gelangen. Damit könnten Angreifer auf die Akte einer bestimmten Person zugreifen. Zum Teil bestehen diese Probleme bis heute.
Zugriff auf noch viel mehr Patienteninformationen bekommen Angreifer, die sich von der anderen Seite Zugang verschaffen: über Arztpraxen. Dort hat man Zugriff auf Hunderte oder Tausende ePAs, jeweils für einen Zeitraum von 90 Tagen. Auch Praxismitarbeiter oder das medizinische Personal in Krankenhäusern, die sogenannten Leistungserbringer, identifizieren sich innerhalb der Telematikinfrastruktur mit einer Chipkarte. Auch solche Karten konnten sich Hacker auf den Namen Dritter bestellen. Dass dafür im Wesentlichen öffentlich verfügbare Informationen über eine Arztpraxis ausreichend waren, demonstrierte eine Gruppe IT-Sicherheitsforscher bereits auf der CCC-Tagung vor vier Jahren.
Nun demonstrierten Kastl und Tschirsich einen weiteren Weg, sich solche Zugänge zu verschaffen. Über eine sogenannte SQL-Injection konnten sie die Datenbank eines Webportals verändern, das für die Herausgabe der Karten verwendet wird. "Wir haben hier die Möglichkeit, uns diese SMC-B-Karten, diese Praxisausweise, en masse zu beschaffen", sagte Tschirsich während des Vortrags. Getestet hätten sie das für Zugänge tatsächlich existierender Praxen. Möglicherweise hätte man über diese Lücke sogar neue, fiktive Praxen anlegen können.
Dieser Angriff sei von überall auf der Welt aus durchführbar und benötige nur etwa eine Stunde Zeit. Mit jeder Zugangskarte, die sich Angreifer auf diese Weise besorgen, könnten sie Zugriff auf die Akten der Patienten einer Praxis erhalten, die dort in den vergangenen 90 Tagen in Behandlung waren.
Die wohl schwerwiegendste Enthüllung des Vortrags war jedoch, dass es auch eine Möglichkeit gibt, potenziell Zugriff auf die elektronischen Patientenakten aller Versicherten zu bekommen. Das Verfahren sei "ein bisschen aufwendiger", sagte Kastl während des Vortrags, aber "es wäre für Angreifende tatsächlich sehr lohnenswert".
Hier geht es um eine technische Lücke in der Telematikinfrastruktur. Wenn eine Patientin ihre Karte in das Lesegerät einer Praxis steckt, wird eine Kennung ausgelesen, die sogenannte ICCSN-Nummer. Diese wird an eine zentrale Stelle geschickt, den Versichertenstammdatendienst, um sie zu prüfen. Wenn alles stimmt, erteilt das System Zugriff auf die entsprechende Akte.
Das Problem: Statt diese Nummer verschlüsselt und kryptografisch signiert zu übertragen, wird sie offen verschickt. Das ermöglicht es laut Tschirsich und Kastl Angreifern, beliebige solcher Nummern an den Versichertenstammdatendienst zu schicken und so Zugriff auf Akten zu bekommen. Dazu muss man die ICCSN-Nummern kennen, allerdings sind diese fortlaufend nummeriert, man kann sie also einfach hochzählen.
Außerdem braucht man für einen solchen Angriff Zugriff auf die Telematikinfrastruktur. Den bekommt man zum Beispiel über ein Terminal, wie es in Arztpraxen steht – das ist das Gerät, in das Versicherte ihre Krankenkassenkarte einstecken, um dem Personal den Zugriff auf ihre elektronische Patientenakte zu gewähren.
Solche Kartenleseterminals konnten die Hacker beschaffen, zum Beispiel weil diese auf dem Portal Kleinanzeigen verkauft worden seien – zum Teil inklusive der Zugangsberechtigungskarten. Dass es möglich ist, diese Zugangskarten auch auf anderem Weg zu bekommen, hatten die Sicherheitsforscher wie oben beschrieben bereits demonstriert.
Dennoch schreibt die Gematik in einem Statement zu den Enthüllungen: "Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen. Dazu zählen zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation." Bis zur Einführung der ePA im neuen Jahr soll eine "Schließung der Sicherheitslücke durch eine zusätzliche Verschlüsselung der Krankenversichertennummer" erfolgen.
Tschirsich überzeugt das nicht. "Ich bin enttäuscht vom Statement der Gematik", sagt Tschirsich ZEIT ONLINE. Den Verantwortlichen sei der Mangel seit Monaten bekannt. "Solche Beteuerungen sind inzwischen ein Ritual. Vertrauen wird so nicht zurückgewonnen."
Den IT-Experten geht es aber nicht nur um diese neu gefundene Schwachstelle, wenn sie auch besonders gravierend ist. Tschirsichs und Kastls Argumentation kann man so zusammenfassen: In den vergangenen Jahren sind so viele Schwachstellen in dem System aufgedeckt worden, dass man die ePA nun nicht einfach für alle einführen sollte, die nicht widersprechen.
"Man müsste den Menschen sagen: Wer es darauf anlegt, kann mit geringem Aufwand auf deine Patientenakte zugreifen", sagt Tschirsich. "Willst du die Akte trotzdem?"
Tschirsich vermutet, dass dann immer noch viele Menschen die ePA nutzen wollen würden, weil sie die Vorteile größer einschätzen als das Risiko. "Und das ist auch in Ordnung", sagt er. "Aber das wäre ehrlich."
In der Realität gibt es Werbeplakate, auf denen versichert wird: "Die Daten in Ihrer ePA sind sicher und geschützt." Andere Motive der Kampagne des Gesundheitsministeriums betonen die Vorteile, die eine digitale Akte für Patienten bringt: "Ihre Ärztin hat Ihre Medikamente sofort auf dem Schirm." Laut einer Studie der Krankenkasse Barmer könnten unter anderem durch bessere verfügbare Informationen über Medikationen im Jahr 65.000 Todesfällen vermieden werden.
Diese Vorteile sieht auch Tschirsich. Er und die Fachleute des CCC fordern daher auch keinen kompletten Stopp der ePA. Das wäre zum jetzigen Zeitpunkt, nach all den Jahren, die schon daran gearbeitet wird, wohl auch unrealistisch. Sie fordern unter anderem eine genaue Prüfung der Risiken durch eine unabhängige Stelle. Nur so könne das Vertrauen in die Sicherheit wiederhergestellt werden. Denn, so sagte es Tschirsich: "Vertrauen kann man nicht verordnen."