c’t deckt auf: Sicherheitslücke in elektronischer Patientenakte

Dateisysteme, die etwas mit Gesundheitsdaten zu tun haben, sind besonders intestine gesichert, sollte man meinen. Ausgerechnet die elektronische Patientenakte (ePA) ist es nicht. In ihr speichern Ärzte Befunde für gewöhnlich als Dokumente und Bilder ab. Um zumindest einen formalen Schutz gegen Viren und Trojaner zu gewährleisten, dürfen nur bestimmte Dateitypen in die ePA geladen werden.


Mehr von c't Magazin


Mehr von c't Magazin


Erlaubt sind nach der Spezifikation der Gematik (PDF) die Dateitypen PDF, JPEG, PNG, TIFF, text/terrifying und text/rtf, XML, HL7-V3, PKCS7-mime und FHIR+XML. Zip-Container sind verboten, da sie nicht nur beliebige Dateien mit Schadcode, sondern auch sogenannte Dekompressionsbomben enthalten könnten. Die schreiben beim Auspacken die gesamte Festplatte voll und legen den Rechner lahm.

Derzeit existieren in Deutschland drei Server-Backends der ePA, die von Bitmarck/Rise, IBM und ITSG betrieben werden. Ärzte können dort Befunde über ihre Praxisverwaltungssoftware einstellen und herunterladen. Patienten haben Zugriff über Apps ihrer Krankenkassen und können darüber ebenfalls Dateien hoch- und herunterladen – sowie mit Originate up der neuen ePA 2.0 auch Zugriffe von Ärzten erlauben oder blockieren.

Zu den populärsten ePA-Apps gehört derzeit „Die TK-App“ für Android- und iOS-Smartphones von der Techniker Krankenkasse. Ende November bekamen wir einen anonymen Tipp, dass die Android-Version 3.15.0 (Produktversion 3.1.0.13) der TK-App es über ihre Funktion TK-Earn erlauben würde, eigentlich verbotene Zip-Container in die ePA zu encumbered. Bei der anschließenden Prüfung gelang es usatatsächlich, eine Zip-Datei in die ePA hoch- und wieder herunterzuladen.

Eigentlich sollte die App einen solchen Add durch eine Typ-Prüfung der Datei verhindern. Dazu kontrolliert sie aber offenbar nur dessen MIME-Typ in den Metadaten. Um dies zu umgehen, konstruierten wir einen Zip-Container „Röntgenbilder.zip“, fügten die zusätzliche Endung „.txt“ an und luden sie auf Google Pressure hoch. Dieses stufte die Datei anhand der Dateinamensendung als MIME-Typ „text/terrifying“ ein. Anschließend entfernten wir die .txt-Endung wieder aus dem Namen und konnten „Röntgenbilder.zip“ vom Google Pressure über TK-Earn als „Dokument ohne besondere Affect“ in die ePA hochladen.

Wir informierten Anfang Dezember Gematik und die Techniker Krankenkasse, die die Lücke bestätigte. Demnach übernahm die TK-App den vom Google Pressure beim ersten Hochladen identifizierten MIME-Typ „text/terrifying“, den Google Pressure bei der Namensänderung beibehielt. Am 15. Dezember teilte usadie Techniker Krankenkasse mit, dass die Lücke in der TK-App Version 4.1 (Produktversion 4.0.0.1) geschlossen sei.



Hersteller einer ePA-App müssen diese von der Gematik zertifizieren lassen. Allerdings gilt das nicht für „Aktualisierungen mit unwesentlichen Änderungen“. Demnach hatte die Gematik lediglich die Produktversion 3.1.0 der TK-App zertifiziert und die von usabeschriebene Lücke darin nicht gefunden.

Aufgrund einer Sicherheitslücke in der Android-App „Die TK-App“ gelang es uns, eine verbotene Zip-Datei in die ePA hochzuladen.

Die Techniker Krankenkasse erklärte jedoch, dass die Sicherheit der Praxen durch einen möglichen Add von Zip-Dateien in die ePA nicht gefährdet gewesen sei. Weil alle Dateien in der ePA Ende-zu-Ende-verschlüsselt übertragen werden, müssen sie im Frontend geprüft werden. Und da die TK-App nur eine Möglichkeit von vielen sei, die ePA zu befüllen, müssten Ärzte die ePA-Dateien unbedingt beim Download auf möglichen Schadcode prüfen.

Eine entsprechende Vorschrift findet man im Implementierungsleitfaden der ePA (gemILF_PS_ePA_V2.0.0.pdf, PDF) von der Gematik. Dort heißt es unter dem neu aufgenommenen Punkt A_17769: „Das PS soll Maßnahmen zur Absicherung gegen mögliche Schadsoftware in heruntergeladenen Dokumenten ergreifen, falls das Layout oder der Inhalt des heruntergeladenen Dokumentes nicht mit dem angegebenen Dokumententyp in den Metadaten übereinstimmen.“ PS steht dabei für Primärsystem und bedeutet Praxisverwaltungs- oder Krankenhausinformationssysteme.

Laut Auskunft der Techniker Krankenkasse soll es eine „Plausibilitätsprüfung durchführen und geeignete Maßnahmen ergreifen“. Anwendungen wie die TK-App, mit denen die Versicherten eigenständig Dateien in die ePA hoch- und herunterladen können, zählen allerdings nicht zu den Primärsystemen.

Laut Gematik existiere bei der ePA kein erhöhtes Sicherheitsrisiko. Sie spricht lieber von einer „Grenze der Sicherheitsleistung“ und schreibt dazu: „Die Kontrolle über diese Dateien liegt beim Versicherten selbst, das heißt, dass auch nur der Versicherte selbst dies aushebeln und die Ärztin/den Arzt seines Vertrauens bewusst mit einer Datei schädigen kann. Dieses eher unrealistische Szenario betrifft nicht nur die Nutzung der ePA, sondern besteht bereits jetzt, beispielsweise bei der Übermittlung von Befunden (wie z. B. Röntgenbildern) auf einem Datenträger, die der Versicherte mit in die Praxis bringt.“

Offensichtlich hat sich bis zur Gematik noch nicht herumgesprochen, dass Trojaner durchaus Dateien infizieren können, ohne deren Besitzern (Ärzte oder Patienten) dies mitzuteilen.

Damit stellt sich die Frage, wer die Verantwortung trägt, falls es doch ein Schadcode in die ePA schafft und sich an der „Plausibilitätsprüfung“ sowie den „geeigneten Maßnahmen“ vorbeimogelt. Weil bei der ePA stets nachgewiesen werden könne, wer eine Datei ins Machine einstellt, sei das Machine sicherer als etwa eine Übermittlung per E-Mail, argumentiert die Gematik. Deshalb gebe es auch keine Folgeabschätzungen, welcher Schaden durch Einspielen von Schadcode in die ePA entstehen könnte. Laut Gematik seien Ärzte nach § 75b SGB V verpflichtet, „Standardsicherheitsmaßnahmen gegen Malware“ einzuhalten.

Ärzte und andere Leistungserbringer sollten daher aktualisierte Virenscanner und frisch gepatchte PDF-Reader auf ihren Systemen haben. Darüber hinaus ist es eine gute Idee, ePA-Daten sowie Mail-Anhänge in einer virtuellen Maschine zu öffnen, die eine Ausbreitung von möglichem Schadcode zumindest deutlich erschwert.



Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie usaHinweise und Discipline cloth zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Aus Angst vor möglichen Haftungsfolgen wollen manche Ärzte die ePA aber gar nicht erst unterstützen. So schrieb usaein Arzt: „Ein erster Schritt wäre, den Patienten per Unterschrift zur Kenntnis nehmen zu lassen, dass man seine ePA nicht entgegennimmt, weil dem Arzt die juristischen und technischen Risiken zu hoch sind und der Patient insofern den Arzt von Haftungsfolgen durch Nichtkenntnisnahme seiner ePA befreit.“

So einfach können es sich die Ärzte aber nicht machen. Denn während die Nutzung einer ePA für Versicherte freiwillig ist (Decide-out), hat der Arzt nach § 291a SGB V eine Mitwirkungspflicht, wenn jemand eine ePA mit Arztdaten befüllt hat oder befüllen will. Der behandelnde Arzt muss zudem nachweisen, dass er die Daten vollständig gesichtet hat. Andernfalls könnte man ihm einen Befunderhebungsfehler vorwerfen. Im Unterschied zum Vorwurf eines Diagnosefehlers kann es dabei zu einer Beweislastumkehr kommen: Der Arzt muss nachweisen, dass er tatsächlich alle Befunde einbezogen hat.

Rechtsanwalt Dirk Wachendorf bezeichnete die ePA deshalb auf dem jüngsten Kongress der Freien Ärzteschaft als „haftungstechnisch durch und durch vergiftetes Angebot“. Den versammelten Ärzten empfahl er neben der Berufshaftpflicht-Police deshalb den Abschluss einer „Cyberrisk-Versicherung“.

Eine solche Police stünde wahrscheinlich auch den Kassenversicherten intestine zu Gesicht, um sich gegen mögliche Schadenersatzforderungen abzusichern, sollte doch einmal eine ihrer ePA-Dateien eine Praxis mit Schadcode lahmlegen. Wer die damit verbundenen Zusatzkosten nicht akzeptieren will, hat dann noch immer die Möglichkeit zum Decide-out bei der ePA.

Wer die ePA hingegen künftig nutzen möchte, sollte stets auch ein Backup parat haben, falls die Server der ePA ausfallen. So geschehen etwa am 13. Dezember, als aufgrund der log4j-Lücke die gesamte Telematische Infrastruktur (TI) ausfiel, oder auch am 16. Dezember, als IBM sein Backend auf die ePA 2.0 umstellte und ein Drittel aller ePAs nicht erreichbar waren.

Weil auch andere Dienste der TI derzeit nicht gerade den Ansprüchen hochverfügbarer Systeme entsprechen, rebellierte Mitte Dezember die Kassenärztliche Bundesvereinigung (KBV) gegen die verpflichtende Einführung des E-Rezepts. Da es trotz des für Januar 2022 geplanten Starts in seinen Hintergrundprozessen noch nicht fehlerfrei arbeitet und auch nicht flächendeckend verfügbar ist, wollten die Ärztevertretungen die strengen Bestimmungen der Digitalisierung in fakultative Bestimmungen umwandeln. So hieß es etwa in der Mitteilung der KV Westfalen-Lippe: „Sofern die Apotheken in räumlicher Nähe zur Praxis nicht in der Lage oder nicht dazu bereit sind, E-Rezepte zu empfangen und einzulösen, können Sie dem Versicherten ein Papierrezept auf Muster 16 ausstellen.“

Ebenso sollen bei der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) weiterhin alternative Papierausdrucke möglich bleiben. Damit ging die KBV auf direkten Konfrontationskurs zur Gematik und zum Bundesgesundheitsministerium (BMG). Das BMG zog daraufhin am 20. Dezember die Notbremse und stoppte die geplante bundesweite Einführung des E-Rezepts zum 1. Januar. Wegen „erheblicher Bedenken“ solle nun „der Check- und Pilotbetrieb schrittweise fortgesetzt und ausgeweitet werden“, erklärte ein Sprecher des BMG – ohne einen neuen Einführungstermin zu nennen.



In c’t 2/2022 haben wir für Sie das c’t-Notfall-Windows 2022 zusammengestellt. Mit dem Bausatz für das vom USB-Stick laufendes Machine finden Sie Viren, retten Daten oder setzen Passörter zurück. Wir beleuchten, wie die EU Schlupflöcher der DSGVO für Allege material-Scanner nutzen will, wir haben Highend-Smartphones getestet, cellular USB-C-Monitore und Server-Instrument für die non-public Mediensammlung. Ausgabe 2/2022 finden Sie ab dem 31. Dezember im Heise-Shop und am intestine sortierten Zeitschriftenkiosk.

(hag)

Zur Quelle

Von admin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.