© Gangis_Khan iStockphoto

15. April 2021

Hacker-Test nicht bestanden

Ist die TI noch sicher?

Kurz vor dem Jahresende 2020 fragte mich eine unserer Kundinnen nach der Sicherheit in der Telematikinfrastruktur (TI). Sie hätte da was in der Zeitung gelesen … Ja, da war was. Zwischen den Jahren findet immer der Kongress des Chaos Computer Clubs (CCC) statt, zu dessen liebgewonnenen Traditionen es mittlerweile gehört, neue Sicherheitslücken der Telematikinfrastruktur aufzudecken.

HBA an der Käsetheke

Wir erinnern uns an Weihnachten 2019, als es dem Team um Martin Tschirisich gelang, unbefugt Praxis- und Heilberufsausweise zu beantragen und an eine Käsetheke in Hamburg liefern zu lassen.1 Das CCC-Team konnte 2019 zeigen, dass die Prüfungen des Herausgabeverfahrens für Karten und Konnektoren unzureichend waren.

Wohlgemerkt: Bei dieser Aktion wurden keine Patientendaten aus der TI oder der elektronischen Patientenakte (ePA) erbeutet. Und selbst wenn das gelungen wäre – die Daten der ePA sind durch kryptographische Ende-zu-Ende-Verschlüsselung wirksam vor dem Zugriff Unbefugter geschützt. Gespeicherte Daten lesen oder neue schreiben kann man nur, wenn man den passenden kryptographischen Zugriffsschlüssel hat. Allerdings: Diese Zugriffsschlüssel sind auch in der TI gespeichert, ihrerseits verschlüsselt mit einem Benutzerschlüssel. Um an den zu kommen, weist man sich gegenüber der TI als Patient mit seiner eGK, als Arzt mit seinem Praxis- oder Heilberufsausweis aus. Und an die konnte das CCC-Team damals herankommen. Mit den Karten und Konnektoren hätte es theoretisch die Möglichkeit gehabt, autorisierten Zugriff auf Anwendungen der TI zu erhalten oder Nachrichten zu signieren. Problematisch dabei war, dass die gezeigten Schwachstellen der Herausgabeverfahren teilweise bereits seit Jahren bekannt, von den Verantwortlichen aber nicht behoben worden waren. Erst in der Folge wurden die Herausgabeprozesse für die TI-Komponenten verschärft – deswegen gab es im Sommer massive Verzögerungen bei der Beantragung der Heilberufsausweise.

Operation am Kartenterminal

Anfang Dezember 2020 zeigte das Computer-Magazin c’t in einem Video, wie man die technischen Schutzmechanismen eines bei eBay ersteigerten TI-Kartenterminals umgehen kann. Mit etwas Bastelei war es den Forschern möglich, die Datenströme zu analysieren und so die von den Benutzern eingegebenen PIN-Codes auszulesen. Auch hier wurden keine Daten erbeutet, und in der Praxis ist dieser „Hack“ nur mit einigem Aufwand umsetzbar. Fatal aber auch hier: Der gezeigte Zugang ins Terminal sollte laut Spezifikation eigentlich gar nicht existieren und war seit Jahren öffentlich bekannt.2

CCC weist auf offene Türen hin

Auf dem CCC-Kongress 2020 trat dann wieder das bewährte Spezialistenteam auf. Dieses Mal mit dem Anspruch, die TI nicht „von innen“, sondern von außen, nur über einen Internetzugang, anzugreifen. Zur Klarstellung –hier handelt es sich um sog. ethisches Hacking, bei dem bewusst Sicherheitslücken gesucht werden, bevor sie von Kriminellen gefunden werden. Alle Betroffenen erhalten Hinweise und Zeit, die Probleme zu beheben, bevor sie öffentlich gemacht werden.3

Die Forscher führten dazu im Internet einen sog. Adressenscan durch. Jedes Gerät, das mit dem Internet verbunden ist (z.B. ein Mobiltelefon, ein Rechner, aber auch ein Röntgengerät oder ein angeschlossener TI-Konnektor), besitzt eine sog. Netzwerkadresse, damit die anderen Geräte wissen, wo sie Daten hinschicken sollen. Diese Adressen sind öffentlich zugänglich, und wenn man erst mal eine solche Adresse hat, kann man mit dem Gerät kommunizieren und versuchen, von diesem Gerät Daten zu bekommen.

Insbesondere DICOM-Geräte (also Röntgengeräte, MRTs oder Bildarchivierungs- und Kommunikationssysteme, PACs) sind sehr leicht zugänglich, weil das antike DICOM-Protokoll keine Authentifizierung des Gegenübers vorsieht. Vereinfacht gesagt geben diese Geräte Daten an jeden heraus, der anfragt. Der Anfragende muss sich nicht autorisieren, also z.B. durch Eingabe von Benutzernamen und Passwort beweisen, dass er dazu befugt ist. Diese Unzulänglichkeit des DICOM-Protokolls ist seit langem bekannt, und diese Rechner dürfen eben nicht ohne weitere Schutzmaßnahmen ans Internet angeschlossen werden. Leider wurden weltweit aber einige hundert direkt aus dem Internet erreichbare DICOM-Server gefunden, auf denen Daten im Klartext gespeichert waren und die nicht durch eine sichere Benutzerauthentisierung geschützt waren.4

HÄVG-Prüfmodul hat ebenfalls Sicherheitslücken

Frei zugänglich wurden auch Server gefunden, auf denen das Prüfmodul der Hausärztlichen Vertragsgemeinschaft (HÄVG) installiert war. Dieses ermöglicht den an Selektivverträgen teilnehmenden Praxen unter anderem, über die eAV-Schnittstelle (elektronische Arztvernetzung) Daten miteinander auszutauschen. Das Prüfmodul ist sicherer als die DICOM-Geräte und spricht nicht mit jedem Fremden. Die Vertragsteilnehmer müssen ihre Identität über ein sog. Zertifikat nachweisen, das auf einem von der HÄVG herausgegebenen USB-Stick („HzV-Online-Key“) hardwaregebunden gespeichert ist. Das ist nach Ansicht des CCC-Teams nicht sicher genug, denn diese USB-Sticks mit den Zertifikaten kann man direkt beim Hersteller im Internet bestellen. Einen zweiten Faktor zum Nachweis der Identität und Berechtigung des Benutzers gibt es nicht. Kriminelle könnten sich so Zertifikate beschaffen und damit über die ungeschützten Prüfmodule Nachrichten an alle Teilnehmer der Selektivverträge senden.

Zugang zum KV-SafeNet

Außerdem fand das CCC-Team offene GUS-Boxen. GUS-Boxen stellen den Zugang zum KV-SafeNet her und bieten zusätzliche Anwendungen. Sie verlangen generell keine Authentifizierung des Benutzers. Werden diese von der Praxis als Fax-Server verwendet, können laut CCC Unbefugte von außen die darauf gespeicherten Faxe abrufen, aber auch darüber versendete AU oder Patientenstammdaten. Ist über die GUS-Box ein KV-Connect-Konto eingerichtet, ist es Angreifern möglich, die Kontodaten herunterzuladen. Mit diesen Daten könnten sich Kriminelle ein Duplikat des KV-Connect-Kontos einrichten, Zugriff auf alle versendeten und empfangenen KV-Connect-Nachrichten erlangen oder selbst welche versenden.

Offene TI-Konnektoren

Nicht zuletzt fand das CCC-Team auch „offene“ TI-Konnektoren. Die TI-Konnektoren stellen die Verbindung von Praxisverwaltungssystem (PVS) und Telematikinfrastruktur her und haben daher zwei Schnittstellen – eine zum PVS und eine in die TI. Während letztere durch verschiedene Maßnahmen geschützt ist, fanden sich eine Reihe von Konnektoren, bei denen die Schnittstelle für das PVS nicht abgesichert war. Damit wäre es Angreifern möglich, sich ein PVS einzurichten, dieses mit den offenen Konnektoren zu verbinden und so mit den zentralen Diensten der TI zu kommunizieren. Die Angreifer könnten dann unbemerkt all die Operationen ausführen, die nicht die Eingabe eines PIN-Codes durch die Praxis erfordern. Zur Klarstellung: Hierbei handelt es sich nicht um einen Fehler des Konnektors selbst, sondern um Fehler bei dessen Einbindung im Praxisnetzwerk (leider auch kein neues Thema, man erinnere sich an die letztjährige Debatte um den parallelen vs. den seriellen Anschluss ...).5

Was nun?

Wie sind diese Entdeckungen nun zu bewerten? Viele der gezeigten „Hacks“ erfordern einen gehörigen Aufwand und eine Menge krimineller Energie. Angreifer müssten unbemerkt Kartenterminals manipulieren oder sich eigene PVS einrichten. Und würden doch nicht weit kommen, weil die Manipulationen schnell bemerkt würden und zusätzliche Schutzmechanismen greifen. So erfordern die meisten Vorgänge in der TI z.B. die Eingabe eines persönlichen PIN als weiteren Authentisierungsfaktor. Daher konnte auch in diesem Jahr nicht gezeigt werden, dass Patientendaten aus der TI abgezogen wurden.

Mit einer Kombination aus verschiedenen Hacks würden Angreifer, ausreichend Zeit und Ressourcen vorausgesetzt, allerdings recht weit kommen. Das lohnt sich dann, wenn die „Beute“ lukrativ ist. Kurz vor Jahresende wurden bei einem gezielten und sorgfältig vorbereiteten Datendiebstahl in einer englischen Klinik für plastische Chirurgie enorme Mengen an Patientenbildern erbeutet.6 Die Diebe drohen der Klinik nun, die Bilder zu veröffentlichen, und versuchen so, eine hohe Summe an Lösegeld zu erpressen.

IT-Sicherheit noch immer zu wenig ernst genommen

Leider tun wir in der digitalen Welt immer noch Dinge, die wir real nie machen würden, etwa die Haustür sperrangelweit offen oder den Personalausweis öffentlich herumliegen lassen. Da die Angreifer immer versuchen, die schwächste Stelle in der Verteidigung zu finden, werden solche Schwächen gnadenlos ausgenutzt. Laxe Identitätsprüfungen, falsch konfigurierte Netzwerke und Nichtbeachtung von Sicherheitsrichtlinien machen es Angreifern leicht. Bekannte Angriffsvektoren sind seit langem bekannt, werden aber ignoriert und nicht beseitigt.

Dazu gehört auch, dass das Thema Sicherheit nicht ausreichend ernst genommen wird. In der realen Welt würden wir Sicherungsmaßnahmen wie Alarmanlagen oder Türschlösser immer von Profis installieren lassen. In der digitalen Welt werden Praxisnetzwerke zu oft noch vom Ehemann, der Erstkraft oder Bekannten der Ärztin aufgesetzt und gewartet.

„Optionale Sicherheit gibt es nicht“, so lautet die ganz klare Empfehlung des CCC-Teams. Und: „Dezentral ist besser als zentral.“ Damit ist aber nicht gemeint, dass, wie TI-Gegner gerne postulieren, sensible Patientendaten grundsätzlich auf dezentralen Servern in den Praxen besser aufgehoben sind. Denn die sind, wie der diesjährige Bericht zeigt, oftmals gerade nicht ausreichend vor Angriffen geschützt.

Gemeint ist vielmehr, dass jede IT-Infrastruktur so gebaut sein muss, dass sie gegenüber zentralen Angriffen widerstandsfähig ist, und es Angreifern so schwer wie möglich macht. Es dürfen eben nicht alle Eier in einen Korb. Das erfordert eine richtige Absicherung des Netzes nach außen, mehrfache Authentisierung der Benutzer, Ende-zu-Ende-Verschlüsselung der Daten mit verschiedenen Schlüsseln, laufende Überwachung und kontinuierliche Weiterentwicklung der Schutzmaßnahmen. Das kostet Geld und Aufwand. Aber: Im Gesundheitswesen kann der Diebstahl von Daten (anders als etwa im Finanzsektor) nicht geheilt werden!

Was sage ich nun meiner Kundin? Die TI selbst ist derzeit sicher, das Drumherum nicht unbedingt. Aber dagegen kann sie ja selbst was tun.

Autor:
Alexander Wilms
Geschäftsführer RED Medicol
System, München

1 www.heise.de/newsticker/meldung/36C3-Unsichere-Patientendaten-die-Telematik-Infrastruktur-des-Gesundheitswesens-hat-ein-4624092.html2 www.heise.de/news/Sicherheitsmaengel-in-Kartenterminals-und-Krankenkassen-Apps-4992086.html3 https://media.ccc.de/v/rc3-11342-tut_mal_kurz_weh_neues_aus_der_gesundheits-it4 www.br.de/nachrichten/deutschland-welt/millionenfach-patientendaten-ungeschuetzt-im-netz5 www.heise.de/select/ct/2021/1/20262135928118673266 www.stern.de/amp/digital/online/hacker-attackieren-schoenheitsklinik---und-drohen-nun-mit-vorher-nachher-bildern-9548750.html

https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt
https://media.ccc.de/v/gpn18-125-ich-komme-aus-einem-anderen-land-telematik-in-der-medizin
https://www.heise.de/forum/heise-online/Kommentare/Wieder-Konfigurations-Panne-200-Konnektoren-von-Arztpraxen-online-erreichbar


Zitierhinweis: erschienen in dieser Ausgabe
Neueste Artikel
Serie: Wechsel der Praxissoftware, Teil 2

Wenn Daten umziehen


In der Informationstechnologie gilt der Grundsatz, dass Hardware alle paar Jahre veraltet ist und gewechselt werden muss, Software aber nur alle 10–15 Jahre ausgetauscht wird, und dass ...

Leuchtturmprojekte der Bayerischen Ärzteversorgung

Digitalisierung erfolgreich und kundenorientiert gestalten

Digitalisierung ist eines der großen Schlagwörter unserer Zeit. Manche sehen darin ein Heilsversprechen, andere ein Buch mit sieben Siegeln. Unabhängig von persönlichen Präferenzen ...

Serie: Wechsel der Praxissoftware, Teil 1

Drum prüfe, wer sich ewig bindet ...

Wenn es um den Wechsel der Praxissoftware geht, sollte man sich vor „Spontankäufen“ hüten, um Fehlinvestitionen zu vermeiden. Die sorgfältige Auflistung der gewünschten und benötigten ...