Sicherheitslücke in elektronischer Patientenakte der Techniker Krankenkasse
Auf heise online wurde am 30.12.2021 als Vorabdruck ein Beitrag aus der Zeitschrift c‘t veröffentlicht, der auf schwerwiegende Sicherheitsmängel bei der elektronischer Patientenakte (ePA) der Techniker Krankenkasse (TK), die TK-Safe, hinweist.
Im Beitrag wird u. a. festgestellt: „Ende November bekamen wir einen anonymen Tipp, dass die Android-Version 3.15.0 (Produktversion 3.1.0.13) der TK-App es über ihre Funktion TK-Safe erlauben würde, eigentlich verbotene Zip-Container in die ePA zu laden. Bei der anschließenden Prüfung gelang es uns tatsächlich, eine Zip-Datei in die ePA hoch- und wieder herunterzuladen. Eigentlich sollte die App einen solchen Upload durch eine Typ-Prüfung der Datei verhindern. Dazu kontrolliert sie aber offenbar nur dessen MIME-Typ in den Metadaten. Um dies zu umgehen, konstruierten wir einen Zip-Container ‚Röntgenbilder.zip‘, fügten die zusätzliche Endung ‚.txt‘ an und luden sie auf Google Drive hoch. Dieses stufte die Datei anhand der Dateinamensendung als MIME-Typ ‚text/plain‘ ein. Anschließend entfernten wir die .txt-Endung wieder aus dem Namen und konnten ‚Röntgenbilder.zip‘ vom Google Drive über TK-Safe als ‚Dokument ohne besondere Form‘ in die ePA hochladen… Aufgrund einer Sicherheitslücke… gelang es uns, eine verbotene Zip-Datei in die ePA hochzuladen.“
Im Beitrag wird darauf verwiesen, dass nach einem Hinweis der c‘t-Redaktion an die gematik und an die TK die gefundene Sicherheitslücke zwar zwischenzeitlich geschlossen wurde. Zugleich wird in dem Beitrag aber auf ein Problem aufmerksam gemacht, das für die Nutzung der ePA in den Praxen von Ärzt*innen und Psychotherapeut*innen besteht: „Damit stellt sich die Frage, wer die Verantwortung trägt, falls es doch ein Schadcode in die ePA schafft und sich an der ‚Plausibilitätsprüfung‘ sowie den ‚geeigneten Maßnahmen‘ vorbeimogelt. Weil bei der ePA stets nachgewiesen werden könne, wer eine Datei ins System einstellt, sei das System sicherer als etwa eine Übermittlung per E-Mail, argumentiert die Gematik. Deshalb gebe es auch keine Folgeabschätzungen, welcher Schaden durch Einspielen von Schadcode in die ePA entstehen könnte. Laut Gematik seien Ärzte nach § 75b SGB V verpflichtet, ‚Standardsicherheitsmaßnahmen gegen Malware‘ einzuhalten. Ärzte und andere Leistungserbringer sollten daher aktualisierte Virenscanner und frisch gepatchte PDF-Reader auf ihren Systemen haben….“
Soll mit diesem Vorgehen der gematik die Haftung für Sicherheitsmängel in der ePA von der gematik und den Krankenkassen auf die Ärzt*innen und Psychotherapeut*innen übertragen werden? Im Unterschied zu Versicherten (die derzeit noch frei entscheiden können, ob sie eine ePA nutzen wollen – opt-in) können sich Ärzt*innen und Psychotherapeut*innen, aber auch Apotheker*innen, einer Krenntnisnahme / Nutzung der in einer ePA enthaltenen Dateien nicht entziehen. Nach § 346 SGB V gibt es für sie eine Mitwirkungspflicht, wenn Versicherte eine ePA mit Daten befüllt haben oder befüllen lassen wollen.