Gesundheitskarte: Auch der Käseladen galt als Praxis

• Das Gesundheitsministerium hat die Ausgabe von Zugangskarten für Arztpraxen gestoppt.
• Spätestens bis zum 6. Februar soll auch die Gesundheitskarte für Patienten nicht mehr auszutricksen sein.
• Beim Kongress des Chaos Computer Clubs in Leipzig hatten IT-Spezialisten schwerwiegende Mängel im sogenannten Telematik-Netzwerk aufgedeckt, über das künftig sensible Patientendaten verschickt werden sollen.

Nachdem IT-Experten Sicherheitslücken beim neuen Datennetzwerk für Arztpraxen und Krankenhäuser aufgedeckt haben, hat das Gesundheitsministerium mit seiner Gesellschaft für Telematikanwendungen der Gesundheitskarte (Gematik) die Ausgabe von Zugangskarten für Arztpraxen gestoppt. "Die Schwachstellen bei der Ausstellung von Heilberufe- und Praxisausweisen sind nicht hinnehmbar", sagte ein Sprecher von Bundesgesundheitsminister Jens Spahn (CDU). Man begrüße, dass die Gematik "die unsichere Ausgabe der Ausweise vorläufig unterbunden" habe.

Während Ärzte ihre Heilberufeausweise im Augenblick nur noch über ausgewählte Verfahren erhalten, würden Praxisausweise "vorsorglich vollständig" einbehalten, heißt es aus der Gematik. Was die elektronische Gesundheitskarte für Patienten betrifft, die ebenfalls als unsicher gilt, heißt es vom Spitzenverband der Kassen, vom 6. Februar an müsse sich jede Krankenversicherung an ein Identifikationsverfahren halten. Spätestens dann würden die Sicherheitslücken geschlossen.

Beim Kongress des Chaos Computer Clubs in Leipzig hatten die IT-Spezialisten Martin Tschirsich, Christian Brodowski und André Zilch schwerwiegende Mängel im sogenannten Telematik-Netzwerk aufgedeckt, über das künftig sensible Patientendaten verschickt werden sollen. Sie konnten zeigen, wie sich Unbefugte Zugang zu dem angeblich sicheren Netz von Ärzten und Krankenkassen beschaffen konnten. Die IT-Experten mussten dazu keine Computer hacken oder Verschlüsselung knacken. Es reichte aus, dass sie die Identifikationsverfahren austricksten, die eigentlich dafür sorgen, dass nur Ärzte im Besitz eines Arztausweises sind, nur echte Praxen im Besitz eines Praxisausweises und nur Patienten im Besitz ihrer eigenen elektronischen Gesundheitskarte.

Die Experten konnten sich alle drei Chipkarten an eine Adresse ihrer Wahl zuschicken lassen. Zusammen mit Journalisten vom Spiegel und dem NDR ließen sie beispielsweise einen Praxisausweis an ein Käsefachgeschäft in Lüneburg liefern. "Ursprünglich war mein Ziel, sich die Technik anzuschauen", erklärt Martin Tschirsich am Ende seines Vortrags auf dem Kongress, wo er am Sonntag die Hintergründe zu den Schwachstellen vorstellte: "Aber wir haben schon beim Bestellprozess aufhören müssen." Schon an diesem Punkt seien die bisherigen Sicherheitsversprechen der Gematik hinfällig gewesen.

Tatsächlich konnten die IT-Experten durch ihre Postlieferungen beweisen, dass man im Gesundheitssystem die Identität von Ärzten stehlen und sich die Chipkarten in ihrem Namen erschleichen könnte. Besonders problematisch ist außerdem, dass die Experten sich auch einen sogenannten Konnektor besorgen konnten. Dabei handelt es sich um ein spezielles Gerät, mit dem Ärzte sich mit dem eigentlich besonders gesicherten Netzwerk der Telematik-Infrastruktur verbinden können.

Gematik will unabhängig überprüfen lassen, ob bereits ein Identitätsdiebstahl stattgefunden hat

Ist damit das neue Gesundheitsnetzwerk überhaupt noch sicher - kann es so weiterlaufen wie bisher? "Ich denke, es braucht keinen Neuanfang, was die Idee selber angeht, dass man eine digitale staatliche Infrastruktur im Gesundheitswesen schafft", sagt Martin Tschirsich der Süddeutschen Zeitung: "Aber es braucht eine Neuorganisation, dass diese Infrastruktur wirklich sicher eingeführt werden kann."

Aus dem Bundesgesundheitsministerium heißt es, die Gematik werde Anfang Januar mit den Herausgebern der Zugangskarten, also etwa der Kassenärztlichen Bundesvereinigung, der Bundesärztekammer und dem Spitzenverband der Krankenversicherungen "festlegen, wie die Prozesse sicherer gestaltet werden können". Die Gematik will zudem unabhängig überprüfen lassen, ob bereits ein Identitätsdiebstahl stattgefunden hat. Es gebe aber zur Zeit "keinen Grund", den Zeitplan zum Aufbau des Datennetzes infrage zu stellen.

Von Spahns Sprecher heißt es, es sei "gut", dass die Hacker die Lücken aufgedeckt hätten. So bleibe Zeit, zu reagieren. Tschirsich sagt, er sei froh über die Reaktion des Gesundheitsministeriums. "Das ist der wichtigste Schritt auf dem Weg der Besserung." Allerdings sieht er bei der Telematik-Infrastruktur das grundsätzliche Problem, dass "die umgesetzten Prozesse nicht gründlich genug geprüft werden". Zuvor waren auch die heutigen Verfahren als sicher eingestuft worden.