Sicherheitslücken der eGK

[Update 2012-02-08]

Kleine Änderungen, Links aktualisiert.

[Update 2012-02-01]

Ich ziehe mich aus dem Themengebiet „elektronische Gesundheitskarte“ weitgehend zurück. Diese Seite, so wie sie in der Vergangenheit war, wird archiviert.. Die Informationen sind, Stand 2012-01-25, immer noch aktuell, zutreffend und mir -oder mir bekannten Dritten gegenüber- immer noch nicht widerlegt.

Andererseits wurden akute Gefahren durch (teilweise noch vorübergehenden) Verzicht auf Funktionalitäten beseitigt. Solange die eGK nur als Versicherungsnachweis eingesetzt wird, besteht, auch bei geplanter Online-Aktualisierung der Versichertenstammdaten, meines Erachtens keine nennenswerte Gefahr aus datenschutztechnischer Sicht. Darüber hinaus ist zumindest mein echter, regulärer, im Januar 2012 in NRW ausgestellter elektronischer Arztausweis (HBA) nicht mit CV-Zertifikaten ausgestattet (und nach veralteten Spezifikationen erstellt).

Im März 2009 entdeckte ich eine theoretische Möglichkeit, wie bei damals gültigen Spezifikationen und krimineller Energie ein Apotheker in der Lage wäre, elektronische Rezepte zu duplizieren und mehrfach abzurechnen. Diese Erkenntnisse wurden im kleinen Kreis bekannt gemacht und dürften mit zu dem Moratorium der eGK im November 2009 (http://heise.de/-863578) geführt haben. Aus den Spezifikationen der elektronischen Gesundheitskarte verschwand das elektronische Rezept erst im Februar 2011.

Im Mai 2011 veröffentlichte ich auf einer selbst organisierten Informationsveranstaltung eine grundsätzliche Angriffsmöglichkeit auf wesentliche Teile der eGK. Es wurde beschrieben, wie sich jedermann Lese- und Schreibrechte wie ein Arzt auf die eGK beschaffen könnte, und wie diese Sicherheitslücke -auch und gerade in Verbindung mit den von den Krankenkassen zu bezuschussenden Kartenlesegeräten (eHealth-BCS-Kartenterminals) für Ärzte und Krankenhäuser- dazu führen könnte, dass kein Patient und kein Versicherter sich aktuell oder zukünftig sicher sein könne, dass die von ihm gesteckte Karte wirklich nur wie vorgesehen (Video, 8 Minuten) ausgelesen werden würde. Dadurch, dass jedes Kartenterminal mit einem beliebigen Computer verbunden sein und über diesen Computer ein Angreifer sich Arztrechte auf die Karte verschaffen könnte, sind die „ungeschützten“ und erst recht die „geschützten“ Daten den Gefahren der unberechtigten Kenntnisnahme, einer zentralen Speicherung, einer Manipulation und/oder einer Zerstörung ausgesetzt, ohne dass diese Angriffe auch nur rechtzeitig bemerkt oder gar einem Verursacher zugeordnet werden könnten. Die Wirkungslosigkeit der Protokollierung der Zugriffe auf der eGK wurde nachgewiesen, und Beispiele solcher Manipulationen gegeben:

  • Kopieren von elektronischen Rezepten

  • Tauschbörse für elektronische Rezepte

  • unberechtigte (zentrale) Speicherung von vertraulichen Daten

  • Austausch von Notfalldaten/Basisdatensatz auf der eGK

  • Zerstörung von Notfalldaten/Basisdatensatz auf der eGK

  • Überschreiben von aktuellen Patientenverfügungen und/oder Notfalldaten durch veraltete Versionen dieser Daten.

  • Eintragen von falschen Protokolldaten oder Verdrängen echter Protokolldaten.

Alle diese Angriffe könnten ebenfalls bei Einsatz der eGK am heimischen PC passieren, mit oder auch ohne Zutun des Nutzers.

Nebenbei wies ich nach, dass die eGK im Rahmen solcher Angriffe auch logisch zerstört werden könnte, so dass nur noch die Funktion als Versicherungsnachweis erhalten bliebe aber kein Zugriff des Patienten mehr auf Protokolldaten oder von Patient und Arzt auf zentral abgelegte medizinische Daten möglich sei (ohne neue Karte).

Als Befürworter der eGK hielt ich es für sinnvoll, diese Angriffsmöglichkeiten noch rechtzeitig vor dem großen „Basis-Rollout“ zu veröffentlichen; für eine Diskreditierung der eGK oder ihrer Stakeholder wäre eine Veröffentlichung nach „Basis-Rollout“ effektiver gewesen.

Bei allen Äußerungen wurde betont, dass es sich um technisch machbare Angriffe handelt, es wurde keine Wertung unter Berücksichtigung von kommerziellen Interessen oder „Hackerehrgeiz“ vorgenommen. Es wurde erklärbar dargestellt wie es zu solchen Denkfehlern kommen konnte, und dass der Forderungskatalog der einzelnen Stakeholder (Ärzteschaft, Patientenvertreter, Industrie (nicht aber der Datenschützer)) in einigen Punkten modifiziert werden müsste.

Die kurzfristig einzig wahrnehmbare Reaktion der Stakeholder war eine Darstellung und Diskreditierung meiner Person als desillusionierter oder überforderter Mitarbeiter im eGK-Umfeld. Auf sachlich-fachlicher Ebene konnte meine Argumentationskette nicht widerlegt werden.

Somit musste ich denn die Vortragsinhalte zu Papier bringen und später auch noch Ideen zur Nutzung der eGK als Organspendeausweis in einer Aufklärung über populäre Irrtümer über die eGK kommentieren.


Konsequenzen:

  • Das elektronische Rezept steht immer noch im Gesetz, nicht aber mehr in den Spezifikationen der eGK

  • Ich habe lange nichts mehr zum Thema Nofall-/Basisdaten auf der eGK gelesen

  • Auch um den Organspendeausweis auf der eGK ist es ruhig geworden.

  • Die eGK wird jetzt „in einem ersten Schritt“ „nur“ als Versicherungsnachweis betrachtet

  • Die administrativen Daten (VSDD) der eGK sollen „in einem ersten Schritt“ online aktualisierbar und der Versicherungsnachweise sperrbar sein, „Alternative 2012“ der Krankenkassen.

  • Die „Qualifizierte elektronische Signatur (QES)“ für die Heilberufler (die Ärzte) soll zwingend als zweiter Schritt folgen.


Anmerkungen zur qualifizierten elektronischen Signatur:

  • Für Privatpersonen hat OpenLimit eine kostenlose Software angekündigt, die mit neuem Personalausweis (nPA) und elektronischer Gesundheitskarte (eGK) genutzt werden kann.

  • Zu meinem elektronischen Arztausweis (Heilberufsausweis, HBA) wurde mir eine kostenpflichtige Version einer solchen Software angeboten.

  • Die Nutzung der QES mit eGK oder nPA ist (zumindest noch) freiwillig.

  • Die Nutzung der QES mit HBA soll für Ärzte zwingend werden.

  • Wenn man jemanden zur Nutzung der QES verpflichten will, muss ein höheres Sicherheitsniveau als unter praktischen Gesichtspunkten mit einem Allround-PC erreichbar gewährleistet werden. Deshalb halte ich die QES-Funktionalität in einem Konnektor für sinnvoll, wenn nicht für unverzichtbar.


Prognose:

  • Die aktuelle eGK (Generation 1 oder 1+) wird bis Ende 2013 in Stückzahlen von 70 bis 80 Millionen (ca. 70 Mio Versicherte, zzgl. Nachkarten wegen Verlust, Kassenwechsel, etc.) ausgerollt. Die aufgebrachten Zertifikate sind fünf Jahre gültig, die eingesetzten asymmetrischen Verschlüsselungsverfahren (RSA 2048 bit) sollen in fünf Jahren (sicherheitshalber) nicht mehr genutzt werden.

  • Somit steht in fünf Jahren routinemäßig ein Austausch aller Karten an. RSA 2048 wird vermutlich durch Elliptische-Kurven-Kryprographie (ECC) ersetzt. Die neuen Karten werden mindestens „Generation 2“ oder „neue Gesundheitskarte“ heißen.

  • Die Offline-Funktionalität der eGK (Notfalldaten, Rezept und ähnliches) wird in der Versenkung verschwinden oder aber mit Online-Verfahren ergänzt werden.
    (Die Offline-Funktionalität wurde erdacht, um Datensicherheit bei Ausfall der Telematik- oder Telekommunikationsinfrastruktur (auch bei Naturkatastrophen oder dem obligaten Terrorismus) als Rückfallposition zu haben. Ferner sollte sie dem Versicherten/dem Patienten eine Alternative zur zentralen Speicherung ermöglichen (Datenhoheit des Patienten)).
    Da eine reine Offline-Lösung aber vermutlich nicht sicher im Sinne des Datenschutzes realisierbar sein wird (bestenfalls ergänzt um eine Online-Komponente) und das Leben zukünftig -glaubt man etlichen Prognosen- bei Ausfall der Telekommunikationsinfrastruktur sowieso nicht mehr lebenswert sein wird, dürfte das Gesundheitswesen in diesem Szenario zweitrangig werden. Lokale Ausfälle können durch mobile Kommunikation ersetzt werden, und gegen Stromausfall ist sowieso kein Kraut gewachsen, außer Notstromaggregaten.

  • Ein reines Online-Szenario würde etliche Abläufe beschleunigen oder gar überflüssig werden lassen.

  • Eine Zusammenlegung der „Online-eGK“ mit dem neuen Personalausweis ist nicht sinnvoll, da auf der eGK wenigstens noch Schlüsselmaterial gespeichert ist, das vom Innenminister und seinen Behörden unabhängig ist.

  • Vielleicht profitiert man von dieser Gelegenheit, um die eGK dann auch, wie Reisepass und Personalausweis, kontaktlos zu gestalten. Das würde zwar neue Kartenleser erfordern, aber die jetzt ausgerollten sollten in fünf Jahren wirtschaftlich abgeschrieben sein.

  • Ganz vielleicht harmonisiert man bei der Gelegenheit die Gesundheitskarte im europäischen Rahmen, oder bereitet eine solche Harmonisierung vor (ist zeitlich doch reichlich knapp).

  • Die aktuelle eGK genügt teilweise den Anforderungen des SGB V, wenn auch mit erheblicher Verspätung, nimmt aber den Druck von den verantwortlichen Stellen und verschafft Zeit für die o.a. Änderungen. Mit der aktuellen eGK können die Ausgabe- und Handhabungsprozesse getestet, ggf. optimiert werden. Fotos müssen nicht erneut gesammelt werden, da schon für die aktuelle eGK gespeichert.

  • In diesem Sinne ist die aktuelle eGK ein riesiger Feldtest.

Ich hoffe, dass die Argumentationskette -- "Es gibt viele persische Ärzte" - "Perser bauen Atombomben" - "Man muss verhindern, dass Atombombenbaupläne in Arztbriefen verschlüsselt und unbemerkt gespeichert und versandt werden" - "Man muss aus sicherheitspolitischen Gründen Arztbriefe lesen können" -- nicht zu Änderungen  der bestehenden Konzepte führt.


Anmerkungen zum gläsernen Patienten:

Ich zähle hier nur Fakten auf, ohne Position zu beziehen. Ganz ohne Kontrollmöglichkeiten (oder auch nur Controlling) geht es nämlich auch nicht. Aber informiert sollte man sein.

IST-Zustand ohne eGK

Privatpatienten reichen jede Rechnung mit Diagnosen und Leistungen zur Erstattung bei ihrer Versicherung ein. Wenn sie wirklich nicht wollen, dass die Versicherung von Erkrankungen oder Maßnahmen erfährt müssen sie selber, ohne Anspruch auf Erstattung, zahlen. Sie haben allerdings die Möglichkeit, Selbstbeteiligung zu vereinbaren und somit einen „Puffer“ für solche Fälle anzulegen. Ein Datentransfer von Arzt zu Versicherung findet im Regelfall nicht statt.

Die Daten von Kassenpatienten werden vom Arzt an die Kassenärztliche Vereinigung (KV) gesandt. Die übermittelten Daten beinhalten Namen, Adresse, Diagnose(n), durchgeführte Leistungen, verordnete Medikamente, relevante Vorerkrankungen, Datum des Arztkontakts, .... Wenn der Patient das nicht möchte, muss er privat bezahlen, ohne die Möglichkeit, einen Puffer anlegen zu können.
Spätestens seit 2004 sind die KVen verpflichtet, diese Daten nicht mehr gruppiert an die einzelnen Krankenkassen zu senden, sondern jeden Einzellfall jedes Quartal (§ 295 Abs 2 SGB V). Ihr Arzt weiß das -nach meinen Erfahrungen- vermutlich noch nicht einmal, weil bis 2004 die KVen durch die Gruppierung von Daten quasi eine Anonymisierung vornahmen und Kassen nur vereinzelt die Daten eines einzelnen Patienten anforderten (§§296 bis 299 SGB V), zur Prüfung der Qualität und der Wirtschaftlichkeit.

Die Rezepte, die Kassenpatienten in der Apotheke einlösen, wandern nach digitaler Erfassung ebenfalls an die Krankenkassen.

Spätestens mit Einführung der Diagnosis-Related-Groups (DRG) für die Abrechnung von Krankenhausleistungen wird die Krankenkasse oder Versicherung bei Aufnahme über aktuelle (Verdachts-)diagnose und spätestens bei Entlassung über tatsächliche Diagnose und mehr oder weniger relevante Vor- und Nebenerkrankungen informiert.

Bei Kuranträgen beispielsweise oder bei Anträgen auf umfangreichere Behandlungen psychischer Erkrankungen sowie bei Anträgen auf Zahnersatz oder für bestimmte Hilfsmittel, bei Pflegebedürftigkeit usw. wird die Krankenkasse ebenfalls umfassend informiert, sogar vom Patienten unterschrieben.

Schon heute, ohne eGK, könnte man also von einem „gläsernen Patienten“ und „zentraler Speicherung“ reden. Die zentralen Stellen KÖNN(T)EN

  • Ärztehopping feststellen

  • gestellte Diagnosen zwischen Ärzten und deren Verordnungsverhalten vergleichen

  • feststellen, welche verordneten Medikamente in der Apotheke eingelöst werden

  • familiäre Häufungen von Diagnosen feststellen

  • Entwicklung von Erkrankungen individuell nachverfolgen.

  • Zusammenhänge zwischen eingelösten (nicht zwangsläufig eingenommenen) Medikamenten und Krankheitsverlauf abschätzen

  • Auswirkungen anderer Verordnungen, bspw. physikalischer Therapie, auf Krankheitsverlauf feststellen

Was den Kassen regelmäßig nicht vorliegt ist der einzelne Arztbrief, der aktuelle Blutdruckwert, das einzelne Röntgenbild, aber die daraus abgeleitete Diagnose und Behandlung.

Als Arzt einerseits aber auch als Patient andererseits finde ich es schade, dass eine solche Sammlung der Daten meiner Patienten und meiner Daten nur der Kasse zur Verfügung steht. Somit könnte man überlegen ob ein Zugriff auf solche Daten mittels eGK nicht auch in meinem Interesse liegen könnte. Ich konnte (als grundsätzlich Gesunder) kürzlich auf zwanzig Jahre meiner Krankengeschichte zugreifen, obwohl ich in der Zeit etliche Male umgezogen und bei mehreren Ärzten in mehreren Städten in Behandlung war (allerdings nicht bei einer deutschen Krankenkasse). Es war irgendwie doch interessant, und erstaunlich, welche Unfälle oder gesundheitlichen Vorfälle ich im Laufe der Zeit wieder vergessen hatte.


Soll-Zustand mit eGK

Auch die Politik bedauert es, dass dieser Datenschatz nur bei den Kassen vorliegt. Wenn ich den Entwurf zum Versorgungsstrukturgesetz richtig interpretiert habe, ist die Sammlung dieser Daten -natürlich pseudonymisiert, vielleicht sogar anonymisiert- bei einer noch zu schaffenden Stelle geplant, um der Politik Daten für gesundheitspolitische Entscheidungen zu liefern (§ 303ff SGB V, zzgl. Änderungen aus Versorgungsstrukturgesetz). Die eGK ist hierbei von Nutzen, da über die mit ihr neu eingeführte lebenslange Versichertennummer eine Zuordnung selbst nach Pseudonymisierung auch über Kassenwechsel hinaus möglich ist. Man weiß dann (primär) nicht, zu welchem Patienten die Daten gehören, aber man weiß, es ist der selbe Patient.

Noch nicht einschätzen kann ich den aktuellsten Vorstoß einiger Politiker, das Haftungsrecht bei Ärzten zu verändern und die Krankenkassen zur Unterstützung von Patienten gegen ihre Ärzte zu verpflichten. Eine solche Unterstützung ist natürlich effektiver, wenn man über die komplette Patientenakte verfügt (inkl. Röntgenbilder und Laborbefunde), und effizienter, wenn man die Akte ohne Staatsanwalt bekommt.
Während nach aktueller Rechts-, Spezifikations- und Zulassungslage ein Zugriff der Kassen auf die mittels eGK verschlüsselten Patientendaten m.E. unmöglich ist (da können die Hacker so gut sein wie sie wollen), so ist es nur die Sache einer Rechts- und Spezifikationsänderung, der Kasse einen Zugriff zu ermöglichen (so wie ein Patient es theoretisch auch nach aktueller Spezifikationslage freiwillig und aktiv und unter Mitwirkung des behandelnden Arztes, nicht aber versehentlich könnte, genau so, wie er sich Kopien von Arztbriefen besorgen und der Krankenkasse zuschicken könnte).

Für den mobilen Versicherten, der häufiger umzieht, in einer anderen Stadt arbeitet als der in der er wohnt, könnte es interessant sein, seine Daten Online verfügbar zu haben. Der Quasi-Gesunde wird nicht permanent seine Krankengeschichte -auf Papier ausgedruckt- in der Hand- oder Manteltasche mit sich führen und USB-Sticks sind schnell verloren. Der Richtig-Kranke ist im Regelfall nicht mehr mobil, da kann eine Papierakte gute Dienste leisten, aber die Quasi-Gesunden sind in der Überzahl.


Bonusmaterial

Die Konzepte, Architekturen, Spezifikationen und andere Dokumente rund um die eGK und die Telematikinfrastruktur haben einen Umfang von mehreren tausend Seiten. Kein Wunder, dass so viele unspezifische Vorbehalte (neben konkreten) gegen die eGK bestehen, wenn deren Funktionsweise unklar ist. Mit den folgenden Zeilen soll ein Grundverständnis geschaffen werden, welches eine sachliche Diskussion ermöglicht. Natürlich können die o.a Dokumente nicht in wenigen Zeilen zusammengefasst werden, und es werden für den kritischen Leser immer noch Fragen offen bleiben.


Kryptographie für Anfänger

Wenn Sie vor 1980 geboren sind und keine Gelegenheit hatten, sich im Informatikstudium mit Kryptologie zu beschäftigen, wenn Sie sich nicht vorstellen können, wie elektronische Signatur und Hybridverschlüsselung funktioniert oder Sie nur eine unklare Vorstellung davon haben, wenn Sie seinerzeit auf das Abitur verzichtet haben (oder selbst, wenn nicht), dann können Sie hier Arbeitsmaterial und Erklärungen finden, die Ihnen ein „Begreifen“ der Thematik ermöglichen. Hierfür werden ein paar unwissenschaftliche und bisher nicht gewagte Vereinfachungen genutzt, die ich aber für legitim halte. Wenn Sie diese Grundlagen „begriffen“ haben, gibt es im Internet zahlreiche Fundstellen für weiterführende Literatur.

Umschlüsselung von medizinischen Daten

Wenn ein Versicherter seine eGK verliert oder wenn eine neue EGK ausgestellt wird weil das alte Verschlüsselungsverfahren/Verschlüsselungsmaterial nicht mehr gültig ist, dann wären à priori die mit der alten Karte verschlüsselten medizinischen Daten nicht mehr verfügbar, da das Schlüsselmaterial (die privaten Schlüssel) nur auf der eGK vorhanden ist. Um dieses Problem, das rechnerisch ca. 20 Millionen mal pro Jahr, also rechnerisch alle 1,5 Sekunden auftreten wird, anzugehen, gibt es eine Treuhandstelle, die in der Lage ist, den privaten Schlüssel der eGK zu rekonstruieren. Damit werden die zentral abgespeicherten Daten wieder verfügbar; die lokal auf der Karte abgespeicherten Daten müssten neu erstellt werden oder beim Arzt Sicherheitskopien aufgespielt werden.

In der Treuhandstelle liegt dieser private Schlüssel aber nicht nutzbar vor. Vielmehr wurde der Schlüssel beim erstellen und Schreiben auf die eGK zusätzlich geteilt und auf zwei (oder mehr) Institutionen verteilt, die zusammenarbeiten müssen, um den Schlüssel zu rekonstruieren.

Da man einen 2048-bit-Schlüssel nicht einfach in der Mitte durchschneiden kann (das Ergebnis wären zwei 1024-bit Schlüssel und damit eine Absenkung des Sicherheitsniveaus um den Faktor 2^1024) wird der Schlüssel mittels XOR-Verknüpfung mit einer Zufallszahl „geteilt“.

XOR (eXklusiv OdeR) folgt folgender Logik: Das Output-Bit ist „1“ wenn beide Input-Bit unterschiedlich sind, und „0“, wenn beide identisch sind: „1“ XOR „0“ -> „1“, „0“ XOR „0“ -> „0“, „1“ XOR „1“ → „0“.


privater Schlüssel : 001101000100111 = 1A27 (hex)
Zufallszahl:         110101010111011 = 6ABB (hex)

XOR-Ergebnis:        111000010011100 = 709C (hex)


In Wirklichkeit bestehen die Zahlen aus 2048 Nullen und Einsen, und nicht nur aus 15.

Die dritte Zeile wird errechnet, und eine Institution erhält dieses Ergebnis, eine zweite Institution erhält die Zufallszahl. Der private Schlüssel wird gelöscht.

Zur Rekonstruktion des Schlüssels verknüpfen beide Institutionen die Zufallszahl der einen Partei XOR dem oben erzielten Ergebnis und erhalten den privaten Schlüssel.


Zufallszahl:         110101010111011 = 6ABB (hex)
XOR-Ergebnis (s.o.): 111000010011100 = 709C (hex)

Rekonstr. Schlüssel: 001101000100111 = 1A27 (hex)

Mit diesem rekonstruierten Schlüssel kann wegen der Hybridverschlüsselung nicht auf die verschlüsselten Dokumente zugegriffen werden, sondern nur auf die symmetrischen Schlüssel, die für die eigentliche Verschlüsselung benutzt wurden. Diese symmetrischen Schlüssel werden mit dem rekonstruierten Schüssel entschlüsselt und neu mit dem öffentlichen Schlüssel der neuen Karte verschlüsselt. Die eigentlichen medizinischen Daten werden nicht angefasst (und sind für die Treuhandstelle auch nicht erreichbar).

Nach dieser Operation kann (nur) mit der neuen eGK auf die ursprünglich mit der alten eGK verschlüsselten Datenobjekte zugegriffen werden. Um diesen Vorgang nachvollziehen zu können muss man das Prinzip der Hybridverschlüsselung verstanden haben (s.o., Arbeitsmaterial).