Elektronische Patientenakten, E-Rezepte, Telesprechstunden und vieles mehr – das Gesundheitswesen erlebt einen Digitalisierungsschub. Patienten, Ärzten und Krankenkassen kommunizieren zunehmend über Smartphone-Apps.
David Wischnjak, IT-Security-Consultant der Ciphron GmbH, hat in Kooperation mit dem Computermagazin c’t und dem NDR 22 Apps deutscher Krankenkassen einen gecheckt. Die Ergebnisse sind ernüchternd.
EDV-Sicherheitsexperte David Wischnjak hat den Quellcode zahlreicher Krankenkassen-Apps untersucht. Er stellte bei vielen teilweise gravierende Sicherheitsmängel fest. So fand er im Klartext gespeicherte Login-Daten und Passwörter, veraltete Softwarebibliotheken und unverschlüsselte Datenübertragung. Grobe Mängel wiesen vor allem die Apps einer sehr mitgliederstarken Krankenkasse auf. Die App einer anderen Krankenkasse gebe sogar Daten der Nutzenden weiter, die gar nichts mit dem eigentlichen Zweck der App selbst zu tun haben, so der NDR.
Ein weiteres Experiment auf Veranlassung der Fachzeitschrift c’t deckte auf: Mit einfachen Bastel-Utensilien lassen sich eHealth-Terminals eines bestimmten Hersteller in vielen Arztpraxen und Krankenhäuser manipulieren; so können Unbefugte komplette Patientendaten auslesen. Eine anonyme Hackergruppe hatte der c’t folgenden Hinweis gegeben: Man könne diese Terminals auch ohne Nachweis einer ärztlichen Tätigkeit günstig via Ebay kaufen und diese mit einem Skalpell und einigen Drähten manipulieren.
Die Dozentin Dr. Jiska Classen vom Secure Mobile Networking Lab (SEEMOO) der TU Darmstadt machte den Sicherheitstest.
Ergebnis: Von der c’t-Redaktion zur Verfügung gestellte Testgeräte hatten eine ungesicherte Bodenklappe. Die elektronische Schutzfolie dahinter ließ sich mit einem einfachen Bastler-Skalpell durchschneiden. Ein Schnitt an der richtigen Stelle war ohne elektronischen Sicherheitsalarm möglich. Hinter der Folie befinden sich die Kontakte des Kartenschachtes zum Auslesen der Patienten-Karten. Angreifer könnten diese Kontakte zum Beispiel mit einem kleinen Funkmodul anzapfen und Informationen wie PIN oder Gesundheitsdaten unverschlüsselt abgreifen sowie manipulieren. So ließen sich laut Heise-Medienbericht sogar gefälschte Rezepte ausstellen. Heise weiter: Unklar sei, „warum die mit BSI-Siegeln verplombten Kartenterminals eine einfach zu öffnende Bodenklappe haben.“ Diese sei „weder … verklebt, noch mit Siegeln des BSI gesichert.“ Dies sei eine gravierende Abweichung von den Common-Criteria.
Mehr als 140 000 deutsche Arztpraxen und Kliniken sollen laut Heise an die Telematik-Infrastruktur angebunden sein. Nicht wenige davon sollen auch die beanstandeten Kartenterminals nutzen. IT-Security-Hinweis der Systemadministratoren aus Darmstadt: Ärzte und Kliniken sind für die Sicherheit ihrer Patienten-Daten verantwortlich. Aktives Handeln ist also erforderlich.
Das in der Region Frankfurt/Rhein-Main aktive Systemhaus reinheimer systemloesungen in Darmstadt ist erfahrener Ansprechpartner für eHealth-Themen wie
Gern beraten wir Praxen und Gesundheitsdienstleister auch über IT-Sicherheit im Netzwerk, Virenschutz und Firewall.
Bereits viele Kunden rund um Bensheim, Darmstadt, Frankfurt, Hanau, Heppenheim, Höchst, Mainz, Riedstadt und Wiesbaden vertrauen unserer EDV-Kompetenz. Für sie gestalten und betreuen wir passgenaue, hoch performante und sichere IT-Systemlandschaften.
Krankenkassen-Apps im Sicherheits-Check
Streit um Digitalisierung im Gesundheitswesen
Cyber-Versicherung – sind Sie vernünftig gegen Hacker & Co. gewappnet?
Hacker-Angriff, EDV-Systemausfall – neue IT-Notfall-Karte des BSI