Am 29.12. berichteten im Vortrag „Tut mal kurz weh – Neues aus der Gesundheits-IT“ Martin Tschirsich, Christoph Saatjohann und Dr. med. Christian Brodowski über eine Reihe potenzieller Angriffsmöglichkeiten auf Patientendaten über die IT-Infrastruktur von Arztpraxen.
So konnten sie bei einem netzweiten Scan bei 67 Arztpraxen Konnektoren der Telematik-Infrastruktur identifizieren, deren eigentlich für das Praxisverwaltungsprogramm (PVS) vorgesehenen Schnittstellen im Internet exponiert waren. Bei 29 dieser Konnektoren war die Authentifizierung des Nutzers abgeschaltet. Nach Aussage von Saatjohann wären damit elektronische Patientenakten (ePA) ohne Benutzernamen und Passwort zu öffnen gewesen – wenn denn die ePA schon ausgerollt wäre. Diese Sicherheitslücke sei kein Designfehler der Konnektoren, die gemäß Spezifikation funktionierten, sondern sei auf falsche Konfigurationen in der Praxis-IT zurückzuführen, und diese wiederum, zumindest in einigen Fällen, auf wenig fachkundige Betreuung der Praxis-IT.
Tschirsich gab eine Vorschau auf die im nächsten Jahr anstehende theoretische Analyse der kryptographischen Sicherheit der Sicherheitsprotokolle, die dem Schlüsselgenerierungsdienst der Telematik-Infrastruktur zugrunde liegen. Ein Gutachten der TU Graz hatte 2020 gezeigt, dass diese unter Umständen einem Man-in-the-Middle-Angriff nicht widerstehen können – jedenfalls nicht beweisbar.
Brodowski stellte einen mit wenig Aufwand erfolgreichen Angriff auf digitale Anwesenheitslisten (im Rahmen der Corona-Schutzverordnung) von Restaurants vor. Diese mehr als 87.000 corona-relevanten Datensätze und über 5 Millionen Reservierungsdaten hätten eine umfangreiche Profilbildung der Gäste möglich gemacht (und durch Zugang zur API auch die Bestellung von „tausend Bieren“).
Saatjohann hatte bereits auf dem Kongress 2019 über die Telematik-Infrastruktur berichtet, Tschirsich und Brodowski hatten Sicherheitslücken in der Infrastruktur elektronischen Patientenakte (ePA) publik gemacht hatten. Saatjohann ist Doktorand im Labor für IT-Sicherheit der FH-Münster, Tschirsich unabhängiger IT-Sicherheitsberater und Brodowski Facharzt für Anästhesie.
Die festgestellten Fehlkonfigurationen in den Konnektoren wurden bereits Mitte Dezember 2020 publiziert und nach Angaben der Vortragenden mittlerweile behoben.
Auch die Corona-Warn-App beschäftigte die CCCler: Lars Roemheld, Director AI & Date beim health innovation hub (hih) des BMG, zeichnete die Entwicklung der Corona-Warn-App mit den beträchtlichen organisatorischen und rechtlichen Herausforderungen nach und stellte sich den Fragen aus dem (virtuell teilnehmenden) Publikum. Die Aufzeichnungen der Vorträge sind auf https://media.ccc.de/c/rc3 zugänglich.