0,00 €
Zum Warenkorb
  • Quintessence Publishing Deutschland
Filter
6795 Aufrufe

Grundsätzliche Verwundbarkeit der TI – Loewener: „Minister verlagert Verantwortung auf Ärzte“

Das TI-System selbst sei bei korrekter Installation sicher, heißt es immer wieder zu möglichen Sicherheitslücken in der Telematikinfrastruktur im Gesundheitswesen. Schließlich seien alle Komponenten nach höchsten Anforderungen des BSI geprüft und zugelassen. IT-Experten sehen trotzdem mögliche Risiken.

Der IT-Sicherheitsexperte Thomas Maus hat in einem Beitrag für die aktuelle Ausgabe der Zeitschrift c’t 3/2020 („Sicher wie die TI-tanic“, Heise online) die aktuelle Situation und vor allem die Hardware kritisch unter die Lupe genommen. „Doch selbst wenn Gematik und Bundesgesundheitsministerium die Identifizierung von Ärzten, Praxen und Patienten bei der Kartenausgabe künftig verbessern, könnten in der TI womöglich noch hunderte weitere Sicherheitslücken klaffen. Um diesen auf die Spur zu kommen, hat der Autor als Sicherheitsexperte im Auftrag von Ärzten an deren Konnektoren nichtinvasive und nichtdestruktive Analysen durchgeführt“, heißt es im Beitrag.

Natürlich sei die fehlerhafte Installation ein Problem, so Maus. Eine einzige Praxis mit einer unsicheren Anbindung könnte reichen, um die gesamte TI-Infrastruktur zu infizieren. Aber selbst in der als sicher deklarierten Hardware steckten Einfallstore für Angreifer. Er untersuchte zwar in erster Linie den Konnektor von T-Systems, den „Medical Access Port“, aber auch bei der KoCo-Box von CGM gibt es Probleme. Neben der Frage der Konfiguration der Konnektoren nach Installation sind vor allem die verwendeten Open-Source-Komponenten des Konnektor-Systems ein Problem. Credo sei, so wenig wie möglich dieser Komponenten in einem System einzusetzen, um Sicherheitsrisiken zu minimieren. Dies habe man hier nicht eingehalten und Tools aufgenommen, die für den Betrieb des Konnektors nicht erforderlich seien.

Alte oder verwundbare Komponenten im Einsatz

Der Autor macht eine ganze Reihe weiterer Risiken aus, so das Alter einiger Komponenten oder die bekannte Verwundbarkeit der verwendeten Versionen dieser Open-Source-Anwendungen. Für die von T-Systems verwendete Firmware (1.4.13) verbleiben nach seinen Recherchen Hinweise auf mindestens 402 potenzielle Verwundbarkeiten: 11 kritische, 141 hochbrisante, 250 mittelbrisante. Auch nach einem Firmwareupdate im November 2019 habe die neue Firmware-Version 1.5.3 am 31. Dezember 2019 immer noch 291 Hinweise auf klärungsbedürftige Verwundbarkeiten gehabt: „7 kritische, 117 hochbrisante und 167 mittelschwere“.

CGM gebe für seine KoCo-Box zwar die Lizenzen, aber nicht die verwendeten Komponenten an. Dies sei ein Verstoß gegen die GNU General Public License. Zudem müsse man so „vom schlimmsten Fall ausgehen, also allen Verwundbarkeiten jeglicher Software unter all den angegebenen Lizenzen.“

„Wo immer unabhängige Experten hinschauten, blickten sie in Abgründe“

Am Ende empfiehlt der Autor den Nutzern der T-Systems-Konnektoren dringend das Update durchzuführen, und am Ende: Abschalten. „Aber selbst wenn die Gematik zusichert, dass alle CVEs der Konnektoren und Kartenterminals einzeln geprüft wurden und tatsächlich keine Gefahr besteht, hilft das nur, bis die nächste Verwundbarkeit bekannt wird. Deren Prüfung dauert dann wieder einige Tage, in denen die Sicherheitslage unklar ist. Bei höchstem Sicherheitsniveau, das für Medizin-IT und Gesundheitsdaten gefordert wird, ist dies nicht akzeptabel: Die Konnektoren müsste man derweil abschalten.

Obige Analyse deckt allerdings nur einen kleinen Teil möglicher Probleme der Telematik-Infrastruktur auf: Ob Zertifizierungsniveau oder -verfahren, Installationsqualität, Management der Authentifikationsmittel oder Updates – wo immer unabhängige Experten bisher im Rollout der TI hinschauten, blickten sie in Abgründe.“

Telekom verweist gegenüber dem „Ärzteblatt“ auf BSI und Gematik

Wie das „Deutsche Ärzteblatt“ berichtet, habe die Telekom auf Nachfrage auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Gematik als Prüf- und Genehmigungsinstanzen verwiesen. „Unser Konnektor entspricht den Spezifikationen der Gematik und ist zugelassen“, zitiert das Blatt einen Sprecher. Das BSI habe die Technik geprüft. Fragen zur Sicherheit könnten daher nur die Betreibergesellschaft Gematik und das BSI beantworten. Man beteilige sich nicht an Spekulationen. Die Gematik habe auf Nachfrage erklärt, aus den geschilderten Ausführungen seien „keine tatsächlichen Sicherheitsrisiken ableitbar“. Das BSI habe sich auf Anfrage bislang nicht geäußert, so das Deutsche Ärzteblatt.

Kritischer Kommentar aus der Zahnärzteschaft

Die aktuell bekannt gewordenen Sicherheitsprobleme bei der TI – so deckte der Chaos Computer Club den unsicheren Versand von Praxisausweisen auf –, die Ankündigungen und Vorgehensweisen des zuständigen Bundesgesundheitsministers Jens Spahn und die Umverteilung der Lasten für Datenschutz und Datensicherheit auf die (Zahn-)Ärzteschaft hat Dr. Michael Loewener, Zahnärzte für Niedersachsen, in einem neuen „Aufgespießt“ kritisch verarbeitet. Loewener kritisiert: „Und um Ungemach vollends von sich und den Seinen fernzuhalten, führt er die niedergelassenen Ärzte direkt in die Schusslinie, wenn er hinzufügt: ‚Deswegen haben wir als Gesetzgeber die Kassenärztlichen Vereinigungen verpflichtet, verbindlich festzulegen, wie niedergelassene Ärzte Patientendaten schützen müssen. Aber am Ende müssen die Praxisärzte das auch umsetzen. Da gibt es teilweise noch Luft nach oben!‘

Damit dürfte geklärt sein, wen der Hammer trifft, wenn es denn zu den erwartbaren Lecks in der TI kommen wird. Und die fortgesetzten Bekundungen der Körperschaften, dass die Verantwortung der Leistungserbringer am Konnektor ende, entfalten lediglich symbolische Strahlkraft; denn Gerichte werden im Zweifelsfall anders entscheiden.“ (aus Loewener: „Haltet den Dieb! … Oder: wie verlagere ich Verantwortung“, ZfN „Aufgespießt“ vom 19. Januar 2020)

Titelbild: Titima Ongkantong/Shutterstock.com
Quelle: Quintessence News Telematikinfrastruktur Politik

Adblocker aktiv! Bitte nehmen Sie sich einen Moment ...

Unser System meldet, dass Sie eine aktive AdBlocker-Software verwenden, die verhindert dass alle Seiteninhalte geladen werden können.

Fair geht vor: Unsere Partner aus der Industrie tragen durch ihre Anzeigen einen maßgeblichen Teil zum Betreiben dieser Newsseite bei. Diese finden Sie in überschaubarer Anzahl auf der Startseite sowie den einzelnen Artikelseiten.

Bitte setzen Sie www.quintessence-publishing.com auf Ihre „AdBlocker Whitelist“ oder deaktivieren Ihre AdBlocker Software. Danke.

Weitere Nachrichten

  
14. Nov. 2024

30 Jahre VDDS – ein Grund zum Feiern

Ein Rückblick auf drei Jahrzehnte Softwareentwicklung und Arbeit im Dienst der deutschen Zahnmedizin
11. Nov. 2024

„Die Bilanz der Ampel-Koalition ist mehr als dürftig“

Ärzte- und Zahnärzteschaft schauen skeptisch auf Ampel-Bilanz im Gesundheitsbereich und erwarten Stillstand bei Gesetzgebungsverfahren
7. Nov. 2024

Specht-Riemenschneider: „Datenschutz von vornherein mitdenken“

Hauptversammlung des Freien Verbands Deutscher Zahnärzte in Kassel befasst sich mit Datenschutz und beschließt einstimmig Resolution zur Reform des Gesundheitswesens
29. Okt. 2024

„Viele Themen lassen sich in der Cloud besser abbilden“

Datenschutz, Datensicherheit, digitale Anwendungen – Stefan Mühr spricht in Folge #19 von „Dental Minds“ über die Zukunft von Praxisverwaltungssystemen zwischen Cloud und TI
7. Okt. 2024

Der ePA bei allen Bedenken eine Chance geben

Bedenken gegen unkontrollierbaren Datenabfluss ernst nehmen – der Kommentar von Dr. Marion Marschall
7. Okt. 2024

ePA: Produkt mit vielen Unbekannten

Kassenärzte bereiten auf ePA vor – Lauterbach hält vier Wochen Testphase für ausreichend – Bündnis startet „Widerspruchsgenerator“
7. Okt. 2024

Stets vornean mit CGM Z1.PRO

Die Praxissoftware von CGM Dentalsysteme hält Anwenderinnen und Anwender immer up to date
30. Sept. 2024

Kurz und knapp

Kurznachrichten und Informationen aus der (dentalen) Welt – September 2024