Neue Sicherheitslücken bei elektronischer Gesundheitskarte? – Freie Ärzteschaft fordert Stopp der Onlineanbindung der Arztpraxen
Die Freie Ärzteschaft (FÄ) fordert den Stopp des Onlineanschlusses der Arztpraxen und Kliniken an das zentrale IT-System im Gesundheitswesen. „Möglicherweise ist die Sicherheit der Patientendaten gefährdet“, sagte FÄ-Vizevorsitzende Dr. Silke Lüder am 10.01.2018 in Hamburg. „Derzeit ist unklar, ob die für den Onlineanschluss benötigten sogenannten Konnektoren jene Prozessoren enthalten, die von den soeben bekanntgewordenen Sicherheitslücken Meltdown und Spectre betroffen sind.“ Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Einführungsorganisation Gematik und das Bundesgesundheitsministerium müssten dies umgehend aufklären.
Nach 16-jähriger Planung sollen per Gesetz ab sofort alle Arztpraxen und Kliniken mit den Servern der Krankenkassen vernetzt werden. Erst Mitte Dezember 2017 erhielt der erste Konnektor eine Zulassung dafür. Die Gematik hatte die jahrelangen Verzögerungen immer wieder damit begründet, dass man eine ganz außergewöhnliche Datensicherheit herstellen würde. „Wir fragen uns, ob diese gewährleistet ist“, sagt Lüder. „Denn soeben wurde veröffentlicht, dass weltweit massenhaft Rechner mit ihren Prozessoren von den Sicherheitslücken betroffen sind. Auch die angekündigten Sicherheitsupdates können diese Hardware-Lücken nicht wirklich schließen. Nach Meinung von Experten müssten neue Prozessoren hergestellt werden.“
Es sollte keine Hardware in die Arztpraxen ausgeliefert werde, bei der nicht geklärt ist, ob sie diese neuen Sicherheitslücken enthält, betont Lüder. „Zudem halten wir an der jahrelangen Kritik von Ärzten, Patienten und Datenschützern fest: Personenbezogene Daten dürfen nicht in ein hyperkomplexes System mit zentralen Angriffspunkten gelangen. Stattdessen müssen ausschließlich dezentrale Systeme für die moderne Kommunikation und Datenhaltung in der Medizin zum Tragen kommen.“
Quelle: Pressemitteilung der Freien Ärzteschaft vom 10.01.2018
Wieso nur die Konnektoren?
Was ist mit den Servern der Gematik? Welche Prozessoren stecken in den PC’s der Leistungserfüller (Ärzte/Apotheker/Krankenhäuser)? Was für Prozessoren benutzt gemalto bei der Herstellung der eGK’s?
Wenn nur in einer einzigen Instanz eine kompromittierbare CPU steckt, ist doch die gesamte Kette nicht mehr vertrauenswürdig. Wie wollen die das jetzt ohne immensen finanziellen, logistischen und zeitlichen Aufwand sicherstellen? Bis Ende 2018 müsste schlimmstenfalls die gesamte IT-Hardware im Health-Sektor ausgetauscht und/oder gepatched werden, da sonst Abzüge drohen.
Oder es kommt wieder zu einer ähnlich obskuren Pressemitteilung wie bei gemalto im Jahr 2015. Über 5 Jahre nichts vom SIM-Karten-Hack gewußt, aber nach einer Woche bereits bekannt gegeben, dass keine Daten abhanden gekommen sein können. Respekt vor soviel Dreistigkeit.