Chaos Computer Club Hacker finden Sicherheitslücken im Gesundheitsdatennetz

Die elektronische Patientenakte kommt bald, ein besonders gesichertes Netz soll die sensiblen Daten schützen. IT-Experten des Chaos Computer Clubs und Recherchen von SPIEGEL und NDR zeigen: Das System hat eine große Schwäche.
Von Judith Horchert und Jasmin Klofta
Kartenlesegerät in einer Arztpraxis

Kartenlesegerät in einer Arztpraxis

Foto: Philipp Reiss/ DER SPIEGEL

Das digitale Gesundheitsdatennetzwerk für Ärzte, Kliniken und Krankenkassen weist schon vor dem geplanten Start der elektronischen Patientenakte Sicherheitslücken auf. Das zeigen Recherchen des Chaos Computer Clubs (CCC), von SPIEGEL und NDR.

Die IT-Experten des CCC entdeckten unter anderem ein Datenleck bei einem Anbieter für die elektronischen Chipkarten, mit denen sich Ärzte und Praxen digital ausweisen können. Demnach waren allein an einem Tag im Oktober die persönlichen Daten von 168 Ärzten, die offenbar in den beiden Wochen zuvor ihren Antrag auf den elektronischen Arztausweis gestellt hatten, frei im Internet zugänglich.

Weitergehende Recherchen von SPIEGEL und NDR zeigen, dass sich der elektronische Arztausweis mithilfe dieser Daten auch von Unbefugten erschleichen ließ. Das Datenleck ist inzwischen geschlossen, doch die Hacker zeigten, dass es keineswegs das einzige Problem war.

Alle drei relevanten Karten sind betroffen

Die sogenannte Telematikinfrastruktur (TI) soll das Gesundheitssystem vernetzen und ab dem Jahr 2021 auch Zugriff auf elektronische Patientenakten ermöglichen. Zugang zu diesem speziell gesicherten Netzwerk sollen nur befugte Teilnehmer wie Ärzte oder Praxen über besondere Chipkarten bekommen. Den IT-Experten des CCC ist es gelungen, alle drei relevanten Karten - einen Arztausweis, einen Praxisausweis und eine elektronische Gesundheitskarte - jeweils über einen Dritten zu bestellen und an eine Wunschadresse liefern zu lassen. Auch konnten sie einen sogenannten Konnektor im Internet ordern. Das Spezialgerät dient dazu, die Verbindung zur TI herzustellen.

Beim CCC-Jahreskongress, der am Freitag in Leipzig gestartet ist, stellen die Sicherheitsforscher ihre Ergebnisse einem Fachpublikum vor . Sie betonen dabei, dass es sich bei ihren Funden nicht um Probleme eines einzelnen Anbieters handelt, sondern dass es strukturelle Sicherheitslücken bei der Herausgabe der Chipkarten gibt.

Die Gematik GmbH, zuständig für Aufbau und Sicherheit der TI, bezeichnet die aufgedeckten Schwachstellen als "nicht hinnehmbar". Die Prozesse bei der Kartenausgabe sollen nun überprüft und keine weiteren Ausweise ausgegeben werden, "bis diese Prüfung abgeschlossen ist". Man wolle auf den CCC zugehen, um die Sicherheit der TI "weiter zu optimieren". Da aktuell noch keine Behandlungsdaten gespeichert würden, seien derzeit aber keine Patientendaten in Gefahr.