Die arvato Systems GmbH, die elektronische Gesundheitskarte (eGk), das Safe-Harbor-Abkommen und das Urteil des EuGH vom 06.10.2015 – ein Schriftwechsel (Teil 3)

Adinfinitumfr/ November 12, 2015/ alle Beiträge, Telematik-Infrastruktur/ 2 comments

Nach dem Safe-Harbor-Urteil des Europ. Gerichtshofs fragte die Bürgerrechtsgruppe dieDatenschützer Rhein Main bei der Arvato Systems GmbH  nach der Sicherheit der Daten und Programme, die für die Gematik erstellt werden. Daraus entwickelte sich ein Schriftwechsel …

Das Antwortschreiben von Arvato Systems war für die Gruppe Anlass für weitere Fragen. In einem Schreiben vom 03.11.2015 wurde angefragt:

  • Wie genau werden die VPN-Verbindungen zwischen den Kommunikationspartnern im Telematiknetz vermittelt?
  • Ist es korrekt, dass sie VPN-Konzentratoren einsetzen? Oder werden die VPN-Verbindungen nur zwischen den Primärsystemen aufgebaut?
  • Falls sie auf die Konzentratoren setzen: Welche VPN-Router kommen zum Einsatz? Wie wird Ausfallsicherheit und Hochverfügbarkeit erreicht ohne die Versichertendaten in den Arvato-Rechenzentren zwischenzuspeichern? Inwiefern werden VPN-maskierte Datenpakete außerhalb Deutschlands geroutet?

Die zweite Antwort von Arvato enthält den aufschlussreichen Satz:

Zum einen betreffen Ihre Fragen vornehmlich die Lose 1 und 2, darüber hinaus dürfen und können wir Ihnen keine Fragen beantworten, die sicherheitsrelevante Informationen beinhalten.
Hier scheint jemand auf „Security by Obscurity“ zu setzen. Dies ist ein abwertender Ausdruck, mit dem Sicherheitsexperten eine Sicherheitarchitektur bezeichnen, die darauf hofft, Sicherheit dadurch zu erreichen, dass man geheimhält, wie die Sicherheit funktionieren soll. Es ist jedoch längst anerkannt, dass Sicherheit, die darauf setzt, das Verfahren geheim zu halten, nicht funktioniert. Funktionierende Sicherheitssysteme gehen nicht davon aus, das Verfahren geheim halten zu können, sondern gehen davon aus, dass der Feind das System kennt und setzen vielmehr auf die Geheimhaltung kryptographischer Schlüssel. Da die Fragen lediglich auf das System abzielten, hätte also Arvato kein Problem damit haben dürfen, diese zu beantworten.

Sollten sie tatsächlich von der Gematik dazu vergattert sein, zum Aufbau des Systems zu schweigen, ist dies umso entlarvender für die am Projekt beteiligten Partner. Letztlich sagen sie durch diese Verschleierung, dass sie nicht imstande sind, ein System aufzubauen, das tatsächlich auch bei Sicherheitsexperten als sicher durchgeht.

Was kann man jedoch öffentlich verfügbaren Dokumenten zu unseren Fragen entnehmen?

In einer Präsentation mit dem Titel eGK – Ein Einblick in den Aufbau der Telematikinfrastruktur vom 07. April 2014, gehalten von Dr. Tino Großmann von der Compugroup Medical findet sich auf Seite 10 der Hinweis, dass VPN-Konzentratoren zum Einsatz kommen. Auf Seite 11 sieht man ein Bild des Gerätes „Thales nShield Connect„. Dieses Bild kann beispielhaft sein, es könnte aber auch bedeuten, dass tatsächlich dieses Gerät zum Einsatz kommt. Im Prinzip kämen auch Geräte von Cisco in Frage. In beiden Fällen ist davon auszugehen, dass Verschlüsselungshardware aus den USA zum Einsatz kommt. Seit den Snowden-Enthüllungen muss solche Hardware als durch amerikanische Geheimdienste kompromittiert gelten.

Die Zertifizierung der VPN-Konzentratoren für das eGK/TI-System wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgenommen. Im Zertifizierungsdokument des BSI steht:

Der VPN-Konzentrator TI bildet die Schnittstelle zwischen den dezentralen Systemen und der zentralen Telematikinfrastruktur desDeutschen Gesundheitswesens und Bestandsnetzen. Er unterstützt die sichere Nutzung von Diensten in der zentralen Telematikinfrastruktur.

Der VPN Konzentrator TI stellt einen Teil des VPN- Zugangsdienstes (und damit der TI- Plattform) dar (siehe Abbildung 1). Seine allgemeine Aufgabe ist es, die Verbindung zwischen zentralen und dezentralen Komponenten herzustellen. Der VPN-Konzentrator TI speichert zu schützende Daten nicht dauerhaft.

Ein Problem stellt allerdings auch schon eine nicht dauerhafte Speicherung sensibler Daten im VPN-Konzentrator dar, da die Daten während dieser Zeit dort abgezweigt werden können. Gegen die Kompromittierung der Hardware wird mittlerweile von Gematik und BSI gefordert, dass die Lieferkette der Hardware kontrolliert werden soll. Es stellt sich die Frage, wie das überhaupt geschehen soll, wenn zumindest Teile der Hardware aus den USA stammen. Sind solche Forderungen dann nicht nur Augenwischerei, um kritische Stimmen zum Verstummen zu bringen?

Und damit sind wir wieder am Ausgangspunkt des Schriftwechsels der Datenschützer Rhein Main mit der Arvato Systems GmbH:

Werden Daten Ihres Unternehmens zu diesen Unternehmen in den USA ausgelagert, dort gespeichert und verarbeitet, die im Zusammenhang stehen mit Metadaten und Cloudspeicher-Lösungen und dem von der gematik beauftragten „Aufbau der zentralen Infrastruktur“ „im Rahmen der Einführung der eGK, Erprobung Online-Rollout (Stufe 1, Los 3)? … Welche rechtlichen und tatsächlichen Schlussfolgerungen zieht arvato Systems aus dem Urteil des EuGH vom 06.10.2015 für die Auslagerung von Datenbeständen des Unternehmens in die USA?

Fragen, die nach wie vor nicht hinreichend beantwortet sind und die Anlass sind, auch der Gematik als Auftraggeber der Arvato Systems GmbH Fragen zur Sicherheit des im Aufbau befindlichen IT-Systems rund um die elektronische Gesundheitskarte zu stellen.

Für Informationen zu diesem komplexen Thema bedanken wir uns bei Rolf D. Lenkewitz, der zum Thema einige Recherchen angestellt hat.

 

Links:

https://ddrm.de/2015/10/09/die-arvato-systems-gmbh-die-elektronische-gesundheitskarte-egk-das-safe-harbor-abkommen-und-das-urteil-des-eugh-vom-06-10-2015/

https://ddrm.de/2015/11/03/die-arvato-systems-gmbh-die-elektronische-gesundheitskarte-egk-das-safe-harbor-abkommen-und-das-urteil-des-eugh-vom-06-10-2015-ein-schriftwechsel-teil-2/

https://de.wikipedia.org/wiki/Security_through_obscurity

http://www.health-it-talk.de/healthnet/servlet/icm.File/enc_d3M9aGVhbHRobmV0JmJsb2JJZD0xMzAmYmluYXJ5TWFpbklkPTExNA__/eGK_ORS1-Projektoverstellung-April_2014.pdf

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/ReportePP/PPinEvaluierung/BSI-CC-PP-0060.pdf?__blob=publicationFile

https://ddrm.de/wp-content/uploads/B-2015.11.09-von-arvato-systems-safe-harbor-anon.pdf

2 Comments

  1. Nur um mal etwas Klarheit in die Sache zu bringen: Arvato hat bei der Ausschreibung Los3.1 gewonnen, also Aufbau und Betrieb der TI-Zentraldienste. Zu den Losen 1 und zwei sowie 3.2 und 5 können bzw dürfen die gar nichts sagen.

    Also Abschnitt Online Rollout Stufe 1
    Los 1 und 2, endnutzernahe Dienste Testregion wären zuständig: T-Systems, Strategy&, CompuGroup medical, KoCoConnector
    Los 5 (CVC-Root, Aufbau und Betrieb): Atos

    Beim der Stufe 2 mit den Tests der G2-Karte wären zuständig:

    Los 1 und 2 (Ausgabe der neuen eGK-Karten G2 inkl. COS): Giesecke & Devrient, T-Systems
    Los 3 und 4 (Ausgabe von HBA und SMC-B inkl PKI): Bundesdruckerei, T-Systems

    1. Auf der Webeseite der gematik https://www.gematik.de/cms/de/gematik/ausschreibungen/vergabeverfahrenonlinerolloutstufe1/vergabeverfahrenorstufe1.jsp
      ist ein PDF verlinkt: https://www.gematik.de/cms/media/dokumente/ausschreibungen/gematik_infobroschre_onlinerollout_stufe1_v1_0_0.pdf
      Auf Seite 26 und 27 sieht man in der Tabelle das Los 1 & 2 VPN beinhaltet. Wir sind davon ausgegangen dass mit der schriftlichen Bestätigung von arvato Los 1 & 2 übernommen zu haben, sich im Abgleich mit dem PDF dann ergibt das VPN zutrifft. Wenn Sie jetzt schreiben arvato hat Los 3.1 gewonnen dann wären die Quellen dazu für uns sehr interessant.

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*