Elektronische Patientenakte erneut im Visier : Hacker greifen Anbieter von Arztausweisen an

Erneut ist die Infrastruktur für die elektronische Patientenakte (ePA), die derzeit in Testregionen erprobt und ab Frühjahr bundesweit ausgerollt werden soll, Ziel eines Hackerangriffes geworden. Bei einem Cyberangriff Mitte Januar auf das Dienstleistungsunternehmen D-Trust, einem Anbieter für Signatur- und Zugangskarten, sind mehr Daten abgeflossen als bisher angenommen. Das gab das Unternehmen Mitte der Woche bekannt.

So sind möglicherweise auch Antragsdaten für Elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B) ausgelesen worden. Dies ist besonders brisant vor dem Hintergrund des bevorstehenden bundesweiten Rollouts der elektronischen Patientenakte (ePA). Denn beide Ausweise sind Voraussetzung, damit sich Personal in Arztpraxen und Krankenhäusern am gemeinsamen digitalen Kommunikationsnetz, der Telematikinfrastruktur (TI), anmelden können. Sie werden genutzt, um sich beim Zugang zur Telematikinfrastruktur zu authentifizieren, um Dokumente elektronisch zu signieren, für Laborüberweisungen und auch, um die – verschlüsselt gespeicherte – elektronische Patientenakte öffnen zu können.

Die Angreifer konnten personenbezogene Daten der Antragsteller auslesen

Nach derzeitigem Ermittlungsstand wurde eine Schnittstelle des Antragsbearbeitungssystems gezielt manipuliert, um Antragsdaten auszulesen. Auf diesem Wege konnten Angreifer personenbezogene Daten wie Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und zumindest teilweise auch Adress- und Ausweisdaten mitlesen, erklärt D-Trust.

Wie D-Trust weiter mitteilt, soll die Sicherheit der ausgegebenen Signatur- und Zugangskarten allerdings nicht beeinträchtigt sein. Auch PINs, Passwörter und Zahlungsdaten seien durch den Cyberangriff nicht betroffen, sagt das Unternehmen, welches zur Gruppe der Bundesdruckerei gehört.

Der Cybersicherheitsvorfall bei D-Trust geht wohl auf das Konto eines privaten Sicherheitsforschenden. Das gab das Unternehmen am Freitag auf seiner Webseite bekannt. Der Chaos Computer Club (CCC) habe D-Trust darüber informiert, dass der Zugriff auf das Auftragsportal für Signatur- und Zugangskarten von einem anonymen Sicherheitsforscher ausgeführt wurde.

Hinter dem Angriff stecke ein „anonymer Sicherheitsforscher“, teilte der Chaos Computer Cub mit

Das Schreiben von CCC-Sprecher Linus Neumann an D-Trust liegt Tagesspiegel Background vor. Nach Angaben des CCC handele es sich bei dem Fall nicht um einen gezielten Angriff auf die IT-Systeme von D-Trust. Der anonyme Forscher habe an vier Tagen im Januar eine ungesicherte Schnittstelle (API) genutzt, um an die personenbezogenen Daten zu gelangen. „Der Sicherheitsforscher hat die von Ihnen verantwortete Sicherheitslücke unmittelbar anonym an uns gemeldet und die restlose Löschung der Daten versichert“, schreibt Neumann in seiner Mail an das Tochterunternehmen der Bundesdruckerei.

Auf Anfrage erklärte eine Sprecherin der Bundesdruckerei am Freitag, man habe die Mitteilung des CCC an die zuständige Sicherheitsbehörde weitergeleitet. Das Unternehmen hatte nach Bekanntwerden des Vorfalls vor zwei Wochen Strafanzeige gegen Unbekannt gestellt. Ob diese Anzeige nun weiter Bestand habe, wollte die Sprecherin gegenüber Tagesspiegel Background nicht kommentieren.

In seiner E-Mail an D-Trust schreibt Neumann dazu, dass die Anzeige gegenstandslos sei. Schließlich habe der Forscher für das Auslesen der Daten keinerlei Zugriffsschutz umgehen müssen, die abgeflossenen Daten waren somit frei zugänglich. „Wir hoffen, dass Sie Ihre Energie nun darauf verwenden, Ihr Sicherheitsniveau an die gängigen Standards dieses Jahrhunderts anzuheben“, heißt es weiter in der Mitteilung.

Es sei nicht auszuschließen, dass auch kriminelle Hacker die Schwachstelle gefunden haben

Sollte sich tatsächlich nur ein einzelner Sicherheitsforscher im IT-System von D-Trust umgesehen haben, kommt die Firma wohl mit dem Schrecken davon. Für das Unternehmen, das Sicherheitslösungen und Zugangskarten für den besonders sensiblen Bereich der elektronischen Gesundheitsdaten anbietet, dürfte der Vorgang ohnehin mehr als unangenehm sein.

Dass auch andere, kriminelle Hacker:innen die ungeschützte Schnittstelle bereits gefunden haben, ist durch das CCC-Schreiben nicht ausgeschlossen. „Wir können nicht sagen, ob noch andere diesen völlig ungeschützten Endpunkt gefunden und auf diesen zugegriffen haben. Wir wissen auch nicht, seit wann dieses Datenleck bestand“, schreibt ein CCC-Sprecher auf Anfrage von Tagesspiegel Background.

Infolge des Angriffs auf den Sicherheitsdienstleister warnten zahlreiche Ärztekammern ihre Mitglieder, darunter die KV Bremen, die Ärztekammer Niedersachsen und die KV Hamburg. Man empfehle allen Ärztinnen und Ärzten, die über D-Trust einen eHBA beantragt haben, „besonders aufmerksam bei unerwarteten (Phishing) E-Mails oder Anrufen zu sein“, schreibt etwa die Ärztekammer Nordrhein auf ihrer Informationsseite zum Vorfall.

In der „Deutschen Apotheker Zeitung“ forderte die Interessengemeinschaft Medizin (IG Med) Bundesgesundheitsminister Karl Lauterbach (SPD) und die Gematik auf, den ePA-Rollout vor dem Hintergrund des Cybervorfalls bei D-Trust zu stoppen. Die IG Med ist nach eigenen Angaben ein Zusammenschluss von niedergelassenen Ärzten. „Unsere wiederholten Warnungen wurden bislang ignoriert, und nun sind die befürchteten Risiken bittere Realität“, sagte die IG-Med-Vorsitzende Ilka Enger. Die Kombination eines kompromittierten Heilberufsausweises mit einem gebrauchten Konnektor stelle ein „massives Einfallstor in die Telematik-Infrastruktur“ dar, so die IG Med gegenüber der Zeitung.

Die ePA befindet sich derzeit in einigen Regionen in Deutschland im Testlauf, darunter Hamburg, Franken und Teile Nordrhein-Westfalens. Nach Abschluss der Pilotphase will das Bundesgesundheitsministerium im März oder April den bundesweiten Rollout starten.