Herr Tschirsich, auf der elektronischen Patientenakte, die diese Woche eingeführt wird, ruhen große Hoffnungen. Sie und Ihre Kollegin Bianca Kastl vom Chaos Computer Club entdeckten jedoch gravierende Sicherheitslücken. Welche?
Wir haben nachgewiesen, dass Angreifern der Zugriff auf sämtliche digitalen Patientenakten möglich wäre.
Die Einführung der ePA gilt als eines der größten digitalen Projekte in Deutschland. Rezepte, Arztbriefe, Diagnosen und sonstige Gesundheitsdaten von mehr als 70 Millionen Versicherten sollen ab 15. Februar digital gebündelt werden, fast jeder ist also betroffen. Warum entdeckten Sie als Außenstehender solche Schwachstellen, und nicht die Nationale Agentur Gematik, die sie verantwortet?
Die Gematik hat Teile dieses Systems durch simulierte Hackerangriffe überprüft. Solche punktuellen Tests stochern aber oft im Nebel. Eine systematische Sicherheitsanalyse, die alle potenziellen Bedrohungen auflistet und Aussagen zur Sicherheit des Gesamtsystems trifft, hat nach allem, was wir wissen, aber nicht stattgefunden.
Zur Person
Martin Tschirsich ist Geschäftsführer eines IT-Unternehmens in Wiesbaden und Mitglied im Chaos Computer Club, der sich als "größte europäische Hackervereinigung" bezeichnet und einer "Hackerethik" verpflichtet sieht. Der Informatiker ist spezialisiert auf die Sicherheit digitaler Infrastruktur und war bereits Sachverständiger im Bundestag. Ende Dezember 2024 berichteten er und seine Kollegin Bianca Kastl beim Chaos Communication Congress in Hamburg, wie sie die Zugänge zur elektronischen Patientenakte fanden
Was treibt Sie an, sich ehrenamtlich mit einem so komplexen System zu befassen?
Beruflich kümmere ich mich um ähnliche Fragestellungen. Wir sichern digitale Infrastrukturen. Vor allem aber: Auch ich bin als Patient von der Datenverarbeitung der ePA betroffen. Deshalb will ich wissen, ob meine medizinischen Daten manipuliert werden können. Erst recht Daten von Patienten mit sensiblen Diagnosen. Ich engagiere mich schon seit 2019 für die Sicherheit der elektronischen Patientenakte und konnte schnell Defizite identifizieren.
Waren Sie selbst überrascht?
In der Tat, der zeitliche Aufwand war gar nicht so groß. Wir befassen uns im Chaos Computer Club seit 2019 mit der elektronischen Patientenakte. Bei den ersten Versionen war der Schaden, der durch Sicherheitslücken entstehen konnte, begrenzt, weil man diese Akte als Versicherter beantragen musste. Dafür entschieden sich nur ein bis zwei Prozent der Bevölkerung. Mit der aktuellen Version ist das Schadenspotenzial viel größer, weil alle gesetzlich Versicherten eine digitale Akte bekommen, sofern sie keinen Widerspruch erheben. Durch einen unberechtigten Zugriff entstünde also ein viel höherer Schaden, da fast die gesamte Bevölkerung betroffen wäre – und tatsächlich ist das möglich. Das haben wir belegt.
Wie?
Wir haben gezeigt, wie wir uns die Schlüssel für den Zugang zu allen Akten besorgen können.
Der Datenschutz habe bei der Patientenakte "oberste Priorität", schrieb beispielweise die AOK ihren Versicherten vor Monaten – zu Unrecht?
Das Erschreckende ist, dass wir Schwachstellen schon seit Jahren – und mit Nachdruck noch einmal im August 2024 – an alle Verantwortlichen kommuniziert haben. Aber erst nach unserer praktischen Demonstration dieser Schwachstellen sehen wir erste Gegenmaßnahmen. Das finde ich unverantwortlich.
Leider hatte Karl Lauterbach kein offenes Ohr
Können Sie das bitte konkreter machen: Wen haben Sie über Sicherheitslecks informiert?
Zunächst die Gematik, und damit auch das Bundesgesundheitsministerium, das strikte Zeitvorgaben macht und entscheidet, ob die Behebung der Mängel in den Zeitplan passt oder nicht. Dort hat man sich wohl für das Prinzip "Augen zu und durch" entschieden.
Wen meinen Sie mit "man"?
Eine Woche vor Weihnachten gab es einen dringenden Kontaktaufnahmeversuch von Gesundheitsminister Karl Lauterbach. Wir konnten ein Gespräch mit ihm führen.
Wie hat er auf Ihre Entdeckungen reagiert?
Leider hatte er kein offenes Ohr, sondern er hat uns zu verstehen gegeben, dass diese Akte kommt – komme, was wolle, so war unser Eindruck. Man werde von dem Prinzip Opt-out nicht abweichen, und mit der Akte am 15. Januar in die Pilotierung und danach in den bundesweiten Rollout gehen.
Lauterbach versprach auf X: "Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind."
Der Minister hatte in den vergangenen Tagen eine sehr erratische Kommunikation. Zunächst verlangte er eine hundertprozentige Sicherheit gegen Hackerangriffe – das ist eine nicht erfüllbare Forderung, die wir niemals vertreten würden. Inzwischen ist er zurückgerudert und sagt, es gehe nur darum, große Hackerangriffe zu verhindern. Wir fordern dagegen Aufklärung über die Risiken. Wichtig ist, dass der Nutzen die Risiken überwiegt und jeder Mensch selbstbestimmt entscheiden kann.
Was sagt das Gesundheitsministerium?
Ein Sprecher des Bundesgesundheitsministeriums hat sich gegenüber dem stern zu den Vorwürfen des Chaos Computer Clubs geäußert. Wir dokumentieren die Stellungnahme in voller Länge:
Die Darstellung ist so nicht richtig.
Der Minister hatte um eine Videokonferenz mit dem CCC am 20. Dezember gebeten, weil er die Arbeit des Chaos Computer Clubs schätzt und die neu entdeckten Schwachstellen in der Sicherheitsarchitektur der ePA [Anm. d. Red.: elektronische Patientenakte] persönlich besprechen wollte.
Der CCC hatte zwar schon in der Vergangenheit die Sicherheitsstruktur der ePA kritisiert. Aber dass gleichzeitig ein Institutionsausweis (SMC-B Karte) samt dazugehöriger Pin und der Vertrag mit einem Zugangsdienst illegal beschafft werden und außerdem ein Lesegerät so manipuliert werden konnte, war in dieser Kombination neu und erst seit Dezember bekannt. Darauf haben sowohl das Bundesgesundheitsministerium wie auch die Gematik direkt reagiert. Diese neue Sicherheitslücke wird derzeit technisch aufgelöst und ist bis zum Start der ePA in Deutschland behoben. Die ePA für alle geht nicht ans Netz, bevor solche Risiken für den massenhaften Angriff nicht ausgeschlossen sind.
Anders als mehrfach dargestellt, wurde die ePA nicht gehackt, sondern der Angriff des CCC war rein theoretischer Natur. Ein Zugriff auf 70 Millionen elektronische Patientenakten war im Dezember nicht möglich, weil es die ePA für alle zu diesem Zeitpunkt schlicht noch nicht gab. Erst zum 15. Januar wird die elektronische Patientenakte schrittweise angelegt und zunächst auch nur in Modellregionen getestet.
Die vom CCC adressierten Schwachstellen sind dem BMG bekannt und werden bis zum bundesweiten Rollout technisch behoben. Die Lösungen dafür werden in enger Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik entwickelt und Risiken bewertet. In der Pilotphase ist das Angriffsszenario des CCC nicht relevant, weil nur für die Testphase registrierte Ärztinnen und Ärzte Zugriff auf Patientenakten im Behandlungskontext haben.
Die Sicherheitsbedenken des CCC haben Bundesgesundheitsministerium und Gematik insofern nicht nur ernst genommen. Dass der Chaos Computer Club die ePA einem Stresstest unterzogen hat, haben beide Seiten sogar ausdrücklich begrüßt. Auf Fachebene steht die Gematik mit dem CCC im ständigen Austausch. Die Bedenken des CCC werden angehört und Gegenmaßnahmen vorgestellt und erörtert.
Lehnen Sie die elektronische Patientenakte grundsätzlich ab?
Nein, aber die aktuelle ePA bleibt weit hinter dem zurück, was möglich wäre. Für Einige kann sie aber jetzt schon nutzbringend sein, darunter Menschen, die auf eine vernetzte Versorgung angewiesen sind, wo es wichtig ist, dass alle Daten, zum Beispiel die Medikationsliste, vollständig vorliegen. Es bleibt eine persönliche Entscheidung.
Könnten Kriminelle gestohlene Daten dazu nutzen, Menschen zu erpressen?
So einen Fall gab es vor wenigen Jahren in Finnland, als Kriminelle Tausende Patientenakten der Psychotherapeutenkette Vastaamo leakten und das Unternehmen und Patienten erpressten – mit gravierenden Auswirkungen für die Betroffenen, die bis heute nachwirken.
Wo sehen Sie denn das größte digitale Einfalltor für Hacker?
Im jetzigen System haben wir ein Problem mit den Generalschlüsseln. Es gibt in diesem digitalen Gesundheitssystem viel zu viele Stellen, die aufgrund ihrer Position in diesem System Zugriff auf alle Akten nehmen könnten, neben Apotheken und Krankenhäusern beispielsweise auch IT-Dienstleister. Eine entscheidende Rolle spielt das Versichertenstammdatenmanagement.
Was ist das?
Als Patient legen Sie der Praxis ihre Gesundheitskarte vor, die sie prüfen muss. Mithilfe eines Kartenlesegeräts wird die Kartennummer ausgelesen und an die Krankenkasse geschickt. Jede Praxis muss dabei nachweisen, dass sie die Stammdaten der Versicherten auf Aktualität geprüft hat. Sonst drohen Honorarabzüge. Die Krankenkasse antwortet mit einem automatisierten "Prüfungsnachweis". Damit bekommt die Praxis zugleich Zugriff auf die digitale Patientenakte.
Klingt logisch, man vereinfacht damit Vorgänge. Wo ist der Haken?
Dieser Prüfungsnachweis der Kasse belegt nur, dass Stammdaten geprüft wurden – nicht aber, ob die Gesundheitskarte echt ist. Dieser kleine Unterschied bedroht nun 70 Millionen Akten. Jemand kann allein durch eine Kartennummer einen Prüfungsnachweis erzeugen – und hat damit den Zugang zur elektronischen Patientenakte.
Durch simples Hochzählen von Kartennummern ohne Vorlage einer echten Gesundheitskarte lassen sich Zugangsschlüssel erzeugen
Er muss doch eine echte Karte im Lesegerät stecken, oder?
Nein, die Kasse fragt lediglich nach einer Kartennummer. Hinzu kommt: Diese Nummern werden aufsteigend vergeben. Das heißt, durch simples Hochzählen von Kartennummern ohne Vorlage einer echten Gesundheitskarte lassen sich Zugangsschlüssel erzeugen – im Extremfall sogar für sämtliche Gesundheitskarten, die im Umlauf sind.
Aber im Moment sind die Patientenakten doch noch leer?
Alle Aktenkonten werden zwischen dem 15. Januar und dem 15. Februar angelegt. Solange Versicherte keinen Widerspruch eingelegt haben, werden dort Abrechnungsdaten der Kassen eingetragen, Rezepte hinterlegt, auch Abrechnungsdiagnosen aus vorhergehenden Jahren sollten gespeichert werden.
Wie kommt nun jemand Unbefugtes ran an unsere Akten?
Es gibt mehrere Wege. Unter anderem haben wir IT-Support für Arztpraxen gemacht, die im Internet danach gesucht hatten. In diesen Fällen wurde uns ein digitaler Zugang zur Praxis gegeben. Kriminelle nutzen derartige Zugänge über IT-Dienstleister gerne aus, um bösartige Absichten zu verfolgen.
Wir stellen leider immer wieder fest, dass erst gehandelt wird, wenn man es demonstriert
Erfuhren die Praxen von der Gefahr?
Praxen sind über das grundsätzliche Risiko informiert. Wir haben aber dokumentiert, dass es ein sehr einfacher Weg ist, um Zugriff auf das zentrale Aktensystem zu bekommen – über die Institutionskarte und den sogenannten Konnektor. Das ist eine Art Router, der in der Praxis steht. Übrigens alles Remote, ohne persönlich erscheinen zu müssen. Das heißt, der IT-Spezialist schaltet sich auf den Rechner der Praxis und steuert ihn, er muss dazu nur mit einem Klick autorisiert werden.
Dass der Zugriff auf Patientendaten so simpel ist, klingt besorgniserregend.
Die Risiken des Remote-Zugangs sind bekannt. Wir stellen aber leider immer wieder fest, dass erst gehandelt wird, wenn man es demonstriert. Deswegen war es uns wichtig, alle Angriffsszenarien auch praktisch durchzuführen, und zwar mit kalkulierbarem Aufwand. Und der Zeitaufwand für den Zugriff auf eine Institutionskarte war gering.
Konkret?
Wenige Stunden! Noch einfacher war es, gebrauchte Karten über Online-Kleinanzeigenportale zu bestellen.
Viele Arztpraxen suchen einen Nachfolger oder stehen zum Verkauf – ein Einfallstor?
Gerade über den Nachlass lässt sich so etwas leicht erwerben, weil die Verantwortung für die Institutionskarte auf Menschen übergeht, die sich damit oft nicht auskennen. Diese Unkenntnis macht es Hackern leicht, an Zugangstechnik und Karten zu kommen.
Das widerspricht dem Prinzip der Informationssicherheit, Schaden möglichst lokal zu begrenzen
Haben Sie das gemacht?
Wir haben über Kleinanzeigen Geräte gekauft, bei denen schon auf den Fotos ersichtlich war, dass die Institutionskarte drinsteckte, haben die Verkäufer freundlich um die Pin gebeten – und bekommen. Wir haben mehrere Institutionskarten, zu denen wir auch die entsprechende Pin kennen.
Was mussten Sie dafür bezahlen?
Ein paar hundert Euro.
Mit Kartenlesegerät, Pin, Praxiskarte und der Nummer der Patientenkarte kommen Sie zwar an eine einzelne Patientenakten heran – wie aber an 70 Millionen?
Wenn ich eine Institutionskarte besitze, habe ich bereits Zugriff auf die für eine Praxis freigegebenen Akten. Das sind in einer Hausarztpraxis im Schnitt etwa tausend Patientenakten. Den Zugriff auf weitere Akten erlange ich durch das Hochzählen von Kartennummern.
Die Gematik räumte ein, dass Ihre Szenarien "technisch möglich, aber nicht sehr wahrscheinlich" seien.
Wir haben Zugangsschlüssel erzeugt und damit nachgewiesen, was tatsächlich machbar ist. Es gibt schätzungsweise eine Viertel bis halbe Million dieser Institutionskarten. Es reicht, wenn eine Einzige in die Hand eines potenziellen Angreifers gelangt. Bei einer Kette mit einer Viertelmillion Gliedern muss nur ein einziges brechen, damit die gesamte Kette reißt. Das widerspricht dem Prinzip der Informationssicherheit, Schaden möglichst lokal zu begrenzen. Wir wissen, dass schon jetzt jeden Tag irgendwo in Deutschland eine Arztpraxis von Cyberkriminellen angegriffen wird.
Sie beschreiben damit auch ein Dilemma Ihrer Recherche: Auf der einen Seite weisen Sie auf Schwachpunkte hin, zugleich liefern Sie Kriminellen möglicherweise Anreize, es zu probieren.
Genau deswegen war es uns wichtig, schon im Vorfeld mit den Verantwortlichen zu sprechen und unsere Unterstützung anzubieten. Teilweise sind Mängel schon lange bekannt. Dass man auch ohne echte Gesundheitskarte Prüfungsnachweise erzeugen kann, ist spätestens seit 2016 dokumentiert. Schon 2022 hatte auch der damalige Bundesdatenschutzbeauftragte Ulrich Kelber auf Angriffsszenarien hingewiesen, damals noch beim E-Rezept, das auf denselben Zugangsmechanismen beruht. Wir haben im August 2024 mit allen Verantwortlichen, insbesondere der Gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI ), über das konkrete Angriffsszenario bei der elektronischen Patientenakte gesprochen und eindringlich um eine grundsätzliche Behebung gebeten.
Wie reagierte die Gematik?
Die Gematik kündigte damals eine interne Risikobewertung an. Offenbar hielt man aber die bestehende Sicherung durch die Institutionskarten für ausreichend.
Was sagt die Gematik?
Eine Sprecherin der Gematik hat sich gegenüber dem stern zu den Vorwürfen des Chaos Computer Clubs geäußert. Wir dokumentieren die Stellungnahme in voller Länge:
Die vom CCC beschriebene technische Schwachstelle erforderte bis Dezember 2024 keinen akuten Handlungsbedarf. Dieser ergibt sich erst aus der vom CCC vorgestellten Kombination. Dieses Gesamtszenario ist neu und hat eine neue Risikobetrachtung notwendig gemacht. Denn wichtig für die Nutzung der TI-Anwendungen [Anm. d. Red.: Telematik-Anwendungen] ist, dass ein sicherer Herausgabeprozess die Karten bestmöglich schützt. Illegale Beschaffungen von Karten sowie unberechtigte Zugriffe auf TI-Anwendungen wie die ePA [Anm. d. Red.: elektronische Patientenakte] sind strafbar. Zusammen mit BSI [Anm. d. Red.: Bundesamt für Sicherheit in der Informationstechnik] und weiteren Behörden setzen wir auf höchste Sicherheitsmaßnahmen bei den Institutionskarten und persönlichen Ausweisen (SMC-B und HBA).
Im Konsens mit BMG [Anm. d. Red.: Bundesgesundheitsministerium] und BSI haben wir ein Maßnahmenpaket entwickelt, das die Punkte des CCC adressiert. Somit steht weder dem Start in den Modellregionen zum 15. Januar noch dem darauffolgenden bundesweiten Rollout nach Umsetzung der Maßnahmen etwas entgegen. Die ePA für alle kann sicher von Praxen, Krankenhäusern, Apotheken und natürlich von Patient:innen genutzt werden.
Die Pilotierungsphase ist auf mehrere Wochen angesetzt. Nach erfolgreichem Abschluss und Erfüllung der Sicherheitsvoraussetzungen startet die bundesweite Einführung. Der genaue Termin für den bundesweiten Rollout steht noch nicht fest. Dazu werden das BMG und wir transparent kommunizieren.
Die zusätzlichen Sicherheitsmaßnahmen sind bereits in Erarbeitung und haben folgenden Fokus:
- Verhinderung, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können.
- Schließung der Sicherheitslücke durch eine zusätzliche Verschlüsselung der Krankenversichertennummer.
- Sensibilisierung der Nutzerinnen und Nutzer der Telematikinfrastruktur im Umgang und Schutz der technischen Infrastruktur, Ausweisen und Karten.
- Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung.
Mit anderen Worten. Man hat Ihre Warnungen in den Wind geschlagen?
Wir hätten uns gewünscht, dass wir in diese Risikobewertung einbezogen werden. Wir wissen, dass die Gematik auf fachlicher Ebene gute Arbeit machen kann. Aber auch, dass sie entsprechende Freigaben braucht und vom Bundesgesundheitsministerium abhängig ist, das 51 Prozent der Gesellschafteranteile hält.
Sie sagten, Minister Lauterbach habe vor wenigen Wochen den Austausch mit Ihnen gesucht. Wissen Sie, was genau der Grund war?
Die von uns bereits im August 2024 berichteten schwerwiegenden Sicherheitsmängel. Wir haben der Gematik im Dezember gezeigt, wie wir kurz zuvor mehrere solcher Institutionsausweise besorgen konnten, mit gerade mal vier Stunden Zeiteinsatz.
War Lauterbach bei dieser Vorführung dabei?
Nein, aber es gab daraufhin den besagten sehr dringlichen Versuch einer Kontaktaufnahme. Sein Büro rief an und bat um ein Gespräch noch vor unserer Veröffentlichung der Sicherheitslücken auf dem 38. Kongress des Chaos Computer Clubs in Hamburg Ende Dezember.
Wie lief das Gespräch mit Lauterbach ab?
An der Videokonferenz nahmen neben Lauterbach auch Mitarbeiter des Ministeriums und der Gematik teil. Der Minister hat seine Sicht der Dinge dargelegt und für die elektronische Patientenakte geworben.
Konnten Sie mit Ihren Bedenken durchdringen?
Nein, wir bekamen keine Gelegenheit dazu. Auch nicht, um weitere Sicherheitsmängel darzulegen. Herr Lauterbach hat uns mitgeteilt, dass man von der Einführung der Akte am 15. Januar nicht abweichen möchte und die ePA kommen wird, auch ohne die von uns kritisierten Ursachen für mögliche Angriffe zu beheben. Es würden aber Gegenmaßnahmen umgesetzt, um einen groß angelegten Angriff zu erschweren.
Sie sehen hier die Verantwortung bei Gesundheitsminister Lauterbach?
Ganz klar.
Nach dieser Abfuhr beschlossen Sie, in die Öffentlichkeit zu gehen?
Es ist üblich, identifizierte und gemeldete Sicherheitsmängel im Nachgang auch zu veröffentlichen. Damit stellen wir für Betroffene Transparenz über Risiken her. Zugleich können derartige Systeme von Anfang an robuster gebaut werden. Alle Beteiligten profitieren davon.
Sie waren also immer an einer Kooperation interessiert?
Ja, wir teilen ja den Wunsch nach einer besseren Versorgung. Dennoch kritisieren wir die aktuelle Umsetzung der ePA. Gute Kritik ermöglicht Weiterentwicklung.
Wie viel Sicherheit wäre für so ein sensibles Datensystem angemessen?
Wichtig wäre als allererstes eine unabhängige Risikobewertung nach einer umfassenden Bedrohungsanalyse. Denn auch wir haben nur einen kleinen Ausschnitt beleuchtet. Dieses System ist derart komplex, dass kaum einer einen Durchblick hat. Alle Sicherheitszusagen beruhen auf unvollständiger Kenntnis des Gesamtsystems. Das heißt, sie sind unseriös.
Wer ist dazu in der Lage?
Es gibt viele Institutionen in Deutschland, die sich auf dieses Thema spezialisiert haben. Wir haben ja bereits digitale Infrastrukturen, die sicher sind. Der neue Personalausweis ist seit vielen Jahren im Gebrauch, ohne dass es gravierende Schwachstellen gab.
Die Gematik kündigte an, dass bereits "technische Lösungen zum Unterbinden der Angriffsszenarien" konzipiert und umgesetzt würden. Also offensichtlich geschieht doch etwas?
Wir sind hierbei nicht einbezogen. Ich sehe die Gefahr, dass erneut nur Symptome übertüncht werden.
