Für das hohe Sicherheitsniveau der Telematikinfrastruktur (TI) gibt die gematik regelmäßig Gutachten in Auftrag, bindet externe Dritte ein und ist für alle Hinweise dankbar, die sie von Dritten zu möglichen Schwachstellen erhält.

Eine Forscherin im Forschungslabor SEEMOO der TU Darmstadt, Dr. Jiska Classen, hat die gematik darüber informiert, dass sie im Auftrag einer Fachzeitschrift mit einer Angriffsmethode auf ein Kartenterminal eine Schwachstelle identifiziert hat.

So ist es Classen unter Laborbedingungen gelungen, ein Kartenterminal in kurzer Zeit so zu manipulieren, dass es möglich wäre, die PIN vom Heilberufsausweis abzufangen, während dieser im Kartenterminal steckt und zugleich die PIN vom Arzt eingegeben wird. Dabei muss der Angreifer vor Ort in der Praxis die Manipulation vornehmen mit dem Risiko, jederzeit entdeckt zu werden.

Gleichermaßen hat die Forscherin festgestellt, dass es für einen derartigen Angriff – der zudem einen hohen technischen Aufwand und Know-how erfordert – keine Erfolgsgarantie gibt. 50 Prozent der Versuche der Forscherin waren erfolglos, da das Kartenterminal die Manipulation erkannte und einen Alarm auslöste.

Doch auch im Falle eines erfolgreichen Angriffs nach dieser Methode mit hohem Aufwand und langer Vorbereitungszeit, bringt dem Angreifer allein die abgefangene PIN des Heilberufsausweises keinen Nutzen. Ein Zugriff auf Patientendaten wäre auf diese Weise nicht möglich.

Anhand des geprüften Angriffsweges lässt sich gut erkennen, dass das Sicherheitsniveau der Telematikinfrastruktur insgesamt sehr hoch ist. Es ist zudem offensichtlich, dass die gezeigte Methode für einen Angreifer in einer Arztpraxis wenig attraktiv ist: Er muss sehr viel Aufwand betreiben, selbst ein hohes Risiko eingehen und hat dennoch vergleichsweise wenig Nutzen.

Die gematik hat die Hersteller und das Bundesamt für Sicherheit in der Informationstechnik über den Angriffsweg und die Ergebnisse der Forscherin informiert. Gemeinsam mit dem Hersteller wird die gematik erörtern, wie bei künftigen Geräte-Generationen diese Schwachstelle behoben werden kann. Die Schwachstelle hat aufgrund der geringen praktischen Ausnutzbarkeit keinen Einfluss auf die bestehende Zulassung bzw. im Feld befindliche Kartenterminals.

Frau Dr. Classen hat ihre Erkenntnisse und auch Sichtweise auf das Angriffsszenario in einem Blogbeitrag (in Englisch) veröffentlicht. Sie können ihn hier abrufen: https://naehrdine.blogspot.com/2020/12/your-critical-infrastructure-bug-wont.html?m=1