Nach Skandal um Sicherheitslücke

Elektronische Praxisausweise werden wieder an Zahnärzte ausgegeben

Ab sofort können Zahnarztpraxen in ganz Deutschland wieder elektronische Praxisausweise beziehen. Eine durch den Chaos Computer Club aufgedeckte Sicherheitslücke hatte Ende Dezember 2019 zu einem kurzfristigen Stopp in der Ausgabe der sogenannten Praxis- & Institutionsausweise geführt. Wie die KZBV betonte, seien zahnärztliche Praxisausweise aber zu keinem Zeitpunkt von der Sicherheitslücke betroffen gewesen.


Sicherheitslücke Praxisausweise

Nachdem IT-Sicherheitsexperten des Chaos Computer Clubs im Dezember 2019 eine Sicherheitslücke bei der Bestellung von elektronischen Praxisausweisen aufgedeckt hatten, gibt es für Zahnärzte nun Entwarnung. © frank peters – Fotolia


Experten des Chaos Computer Clubs (CCC) war es im vergangenen Jahr gelungen, an einen elektronischen Heilberufsausweis (eHBA), einen Praxisausweis (SMC-B) und die Gesundheitskarte (eGK) eines Versicherten zu gelangen. Auf der CCC-Jahrestagung kurz vor Weihnachten in Leipzig demonstrierte IT-Sicherheitsberater Martin Tschirsich, dass es selbst IT-Laien problemlos möglich sei, sich Identitäten zu erschleichen. Dazu nutzte er eine Sicherheitslücke in den Zugangsprozessen: Im Namen Dritter konnte er so Arzt- und Praxisausweise an beliebige Adressen bestellen und damit auf Anwendungen der Telematikinfrastruktur (TI) und Gesundheitsdaten von Versicherten zugreifen.

Zusätzliches Datenleck bei persönlichen Daten von Ärzten

Bei der Überprüfung von Chipkarten-Anbietern fielen den Datenexperten weitere strukturelle Sicherheitslücken auf. Besonders eklatant war das Datenleck, dass der CCC im Fall des Anbieters Medisign GmbH aufdeckte: Hier waren allein an einem Tag im Oktober die persönlichen Daten von 168 Ärzten frei im Internet verfügbar. Die betroffenen Mediziner hatten offenbar in den beiden vorangegangenen Wochen einen Antrag auf den elektronischen Arztausweis gestellt.

So gelangten die Hacker an Arztausweise

Tschirsich und sein Team waren an einen elektronischen Arztausweis und einen Praxisausweis gelangt, indem sie die Dokumente online im Namen eines anderen CCC-Mitglieds bestellten, das zugleich als Anästhesist niedergelassen war. Die Computerspezialisten bemerkten, dass beim BankIdent- und dem zeitversetzten KammerIdentverfahren für die Identifizierung kein erneutes persönliches Erscheinen erforderlich ist. Der bestellte Ausweis ließ sich zudem an eine beliebige Adresse senden. Besonders kurios: Der Chipkarten Anbieter Medisign GmbH hinterfragte die Identität des Empfängers selbst dann nicht kritisch, als Reporter des NDR und „Spiegel“ bei einer vergleichbaren Aktion unter Ausnutzung der Sicherheitslücke einen Arztausweis an die Adresse eines Lüneburger Käseladens bestellten.

KZBV: Zahnärztliche Praxisausweise nicht von Sicherheitslücke betroffen

Wie die Kassenzahnärztliche Bundesvereinigung (KZBV) mitteilte, seien mittlerweile alle zugelassenen Anbieter von Praxis- & Institutionsausweisen (SMC-B) über die Sicherheitslücke informiert. D-Trust und T-Systems hätten die Ausgabeprozesse bereits wieder gestartet. Warum der Ausgabeprozess so zügig wiederaufgenommen werden konnte, erklärte die KZBV mit den besonderen Festlegungen im zahnärztlichen Bereich. Elektronische Praxisausweise für Zahnarztpraxen seien ausschließlich direkt über die zuständige Kassenzahnärztliche Vereinigung (KZV) in dem jeweiligen Bundesland erhältlich, so die KZBV. Damit könne als Lieferadresse immer nur die Meldeadresse des Zahnarztes oder die bei der zuständigen KZV hinterlegte Praxisadresse angegeben werden. Die vom CCC aufgezeigte Sicherheitslücke habe daher bei zahnärztlichen Praxisausweisen zu keinem Zeitpunkt bestanden, so die KZBV.

KZBV erleichtert über schnelle Wiederaufnahme der Kartenausgabe

Nach Prüfung des Sachverhalts hat die gematik nun einer übergangsweisen Wiederaufnahme der Kartenausgabe zugestimmt. Wie Dr. Karl-Georg Pochhammer, stellv. Vorsitzender des Vorstandes der KZBV betonte, basierten alle bereits an Zahnarztpraxen ausgegeben SMC-Bs auf diesem sicheren Ausgabeprozess. Sie sind damit bis zum Ende ihrer Laufzeit uneingeschränkt einsetzbar. „Auch wenn im zahnärztlichen Bereich mit deutlich mehr als 90 Prozent die meisten Praxen bereits mit der notwendigen Technik für die Anbindung an die Telematikinfrastruktur ausgestattet sind, ist die KZBV erleichtert, dass die Ausgabe der SMC-Bs so schnell wiederaufgenommen werden konnte. Denn den Praxen, die immer noch nicht an die TI angebunden sind, droht mit Inkrafttreten des Digitale Versorgung-Gesetzes ab 1. März ein erhöhter Honorarabzug“, erklärte Pochhammer.