Sicherheitsproblem durch falsch konzipierte Gesundheitskarte
Gesundheitskarte: Milliardengrab ohne Nutzen?

Behörden-ITBig DataData & StorageIT-ProjektePolitikRechtSicherheit

Neue Verschlüsselungstechnologien seien nicht der Weisheit letzer Schluss: Die elektronische Gesundheitskarte sei völlig falsch konzipiert worden, kritisiert Datensicherheits-Experte Thomas Maus.

Gesundheitskarte: Datenschutzskandal vorprogrammiert

 

 

Die technischen Diskussionen und Datenschutzskandale rund um die elektronische Gesundheitskarte reißen nicht ab. Erst vor wenigen Tagen forderte der Verband der Industie (BDI) einen Schnellstarrt der Karte auf dem gesundheitspolitischen Kongress in Berlin. Das bundeseigene Sicherheits-Institut BSI redet immerhin von “sicheren elliptischen Kurven” als Kryptografiemittel der Wahl und Krankenkassenvertreter Ingo Kailuweit setzte sich Ende Januar massiv für die Karte ein. Datenschützer rebellieren trotzdem.

Vor allem die geplante zentrale Datensicherung stößt auf Kritik.

PC-Professionell-Autor Joachim Jakobs befragte dazu den Datensicherheits- Experten Thomas Maus. Dieser warnt schon seit Jahren vor den Gefahren des Projekts, in der Politik hörte aber bislang kaum einer hin.

PC Professionell: Herr Maus, Sie kritisieren die Debatte um die elliptischen Kurven als Ablenkungsmanöver, das den Blick auf das wesentliche Problem der elektronischen Gesundheitskarte verstellt. Wieso lenken die Kurven ab und was ist das wesentliche Problem Ihrer Meinung nach?

Maus: Die Debatte um den richtigen Verschlüsselungsalgorithmus erweckt den Eindruck, dass man ja nur ein kleines technisches Detail ändern muss, bevor das große Projekt endlich wieder volle Fahrt aufnehmen kann. Das wesentliche Problem ist: Die Gesundheitskarte ist vom ersten Augenblick an falsch konzipiert worden. Die Fehler der Vergangenheit rächen sich heute.

PC Professionell: Was ist falsch an dem Konzept?

Maus: Ich habe den Eindruck, die Politik wollte die Daten von Anfang an in einer zentralen Infrastruktur haben – im SGB V ist der Einsatz dieser Daten zur Kontrolle von Patienten und Ärzten vorgesehen . Wenn ich mich aber politisch für eine zentrale Infrastruktur entscheide, muß ich für ein extrem hohes Maß an Sicherheit sorgen.

PC Professionell: Warum ist das so?

Maus: Wenn sich die Daten in 80 Millionen Geldbeuteln befinden, stellen sie ein weniger interessantes Angriffsziel dar als wenn sie in einer zentralen internetbasierten Infrastruktur gespeichert werden. Eine zentrale Infrastruktur erzeugt eine viel höhere Wertdichte und stellt damit ein interessanteres Angriffsziel dar, gegen welches mit höherer krimineller Energie vorgegangen wird. Dass solche Systeme nach dem Stand der Kunst kaum adäquat geschützt werden können, belegen spektakuläre Angriffserfolge gegen die IT des Bundeskanzleramts, des Weißen Hauses, der US-Streitkräfte, … Stark dezentrale Ansätze mögen niedrigere Sicherheitshürden bieten, doch ist der Ertrag eines erfolgreichen Angriffs in der Regel viel geringer.


Patientendaten in Gefahr

PC Professionell: Welche Risiken bestehen mit einer zentralen Lösung?

Maus: Bei zwei Millionen autorisierten Nutzern ist mit Versuchen zu rechnen, Daten illegal zu kopieren – Patientendaten werden zu astronomischen Preisen gehandelt. In den USA läuft gerade ein sehr großer Erpressungsversuch gegen einen eHealth-Provider, bei dem mit der Preisgabe der Daten gedroht wird – die organisierte Kriminalität hat das Geschäftsfeld entdeckt. Auch die Manipulation von Daten oder Sabotage zentraler Infrastrukturen sind ernst zu nehmende Drohungen – die Gefahren des ‘internationalen Terrorismus’ zu beschwören und das Gesundheitswesen von einer zentralisierten, sabotagegefährdeten Infrastruktur abhängig zu machen, das scheint mir nicht zusammen zu passen …

Und die Bahn hat ja gerade kürzlich demonstriert, dass zentrale Infrastrukturen selbst ohne Angriffe ausfallträchtig sind – stellen Sie sich das im Gesundheitswesen vor

PC Professionell: Was ist Ihrer Meinung nach die Konsequenz?

Maus: Mit diesem Anspruch an die Sicherheit werden alle Beteiligten geradezu zwangsläufig überfordert: Patienten und Ärzte kommen mit der PIN nicht klar, die Gematik hat bei ihrem Feldversuch in Dresden nachgewiesen, daß sie noch nicht einmal den Datenaustausch in einem lokalen Netz eines einzelnen Krankenhauses hinbekommt, und die Industrie kann die Patientendaten nicht innerhalb weniger Sekunden ver- und entschlüsseln. Das aber ist notwendig, um den Massenbetrieb »Gesundheitswesen« am Laufen zu halten.

PC Professionell: Kommen Sie denn mit Ihrer Kritik im Jahr des Basis-Rollout nicht ein wenig spät?

Maus: Ich sage das nicht erst seit heute – meine Kritik kam rechtzeitig vor dem gesetzlich festgelegten Roll-Out-Termin 1.1.2006: etwa in meinen Vorträgen 2004 und 2005 beim CCC. Die Verantwortlichen meinten, das belächeln zu können – das Lächeln dürfte inzwischen etwas gequält sein, denn viele meiner Prognosen sind eingetroffen.

PC Professionell: Was war denn Ihr Alternativvorschlag?

Maus: Mehrere – insbesondere die Kernfunktionen Ausweis und eRezept, an denen heute noch gebastelt wird, hätten sich so sehr schnell und leicht umsetzen lassen. Patientenakten sind eine echte Herausforderung – wie oben erläutert setze ich mich für eine dezentrale Lösung ein, zumal laut den Medizinern nur wenige Bürger von einer digitalen Patientenakte Nutzen haben.

PC Professionell: Dezentrale Lösung heißt für mich auch nicht CD oder USB-Stick – da sehe ich eine Reihe von Problemen. Diese Probleme rühren aber auch großteils daher, daß seit Jahrzehnten verbreitet Betriebssysteme genutzt werden, die eigentlich keine sind.


Fehlerquelle: ein Betriebssystem, das keines ist

PC Professionell: Viren, Trojaner und Würmer gab es aber auch schon vor dem Internet-Zeitalter. Früher wurde das Ungeziefer auf Disketten herumgereicht. Eine wirkliche Lösung scheint das noch nicht zu sein.

Maus: Dezentrale Lösung heißt für mich auch nicht CD oder USB-Stick – da sehe ich eine Reihe von Problemen. Diese Probleme rühren aber auch großteils daher, daß seit Jahrzehnten verbreitet Betriebssysteme genutzt werden, die eigentlich keine sind..

PC Professionell: Können Sie mir das etwas genauer erklären?

Maus: Ein Betriebssystem muß die Betriebsmittel verwalten und die Prozesse von einander wirksam isolieren. Wenn also ein Prozess versucht, einem anderen Prozes ins Handwerk zu pfuschen, indem er dessen Speicherbereiche manipuliert, wird er abgeschossen. Das sieht auf dem typischen Anwender-PC leider anders aus.

PC Professionell: Wie sieht die sichere Anwendung einer künftigen Gesundheitstelematik aus?

Maus: Symmetrischer und autonomer. Die Beteiligten müssen sich sicherheitstechnisch auf Augenhöhe begegnen können: Patientenkioske heischen auch nicht mehr Vertrauen als Bankautomaten: wie unklug Eingaben von PINs in fremde Geräte sind, demonstrieren die POS-Kassen, und die Unsicherheit gängiger PC-Anwendungen füllt die Medien. Gebraucht wird ein persönliches Gerät, mit dem der Patient seine Daten verwalten und weitergeben kann – und dabei einen ve
rtrauenswürdigen Ein- und Ausgabeweg hat.

Da es ein persönliches Gerät ist, kann es insbesondere auf Behinderungen oder Altersgebrechen angepaßt sein – der Blinde hat also eine Braille-Zeile oder Sprachausgabe und Kopfhörer. Ein persönliches Gerät erlaubt insbesondere Alternativen zur PIN, auch wenn die wirksame Willenserklärung durchaus ein schwieriges Thema bleibt. Schließlich lassen sich für den Fall fehlender Geschäftsfähigkeit auch noch Vollmachten im Gerät hinterlegen, etwa zwischen Eltern und Kindern.

PC Professionell: Und das digitale Ungeziefer?

Maus: Man darf sich dieses Gerät nicht einfach als PDA oder Mobiltelefon vorstellen. Es muß ein Sicherheitsmodul enthalten, welches einen sehr einfachen, eng umrissenen und genau definierten Funktionsumfang realisiert – und dessen Implementierung sehr genau geprüft ist: im wesentlichen kryptographische Funktionen, einfache Anzeigemöglichkeiten und Menusteuerung, sowie die Möglichkeit zum Austausch von Nachrichten mit anderen solchen Modulen. Wenn man dieses Modul in einen PDA oder ein Mobiltelefon integriert – was durchaus vorteilhaft sein könnte – wäre dieses Sicherheitsmodul völlig unabhängig von deren Prozessor und Speicher, eine getrennte Komponente, die die Oberhoheit über Anzeige und Eingabe besitzt.

Der Besitzer muß das Sicherheitsmodul aktivieren und einfach feststellen können, ob es gerade die Anzeige und Eingabe kontrolliert.

PC Professionell: Wieviel würde denn so ein Gerät kosten?

Maus: Wenn es millionenfach produziert wird, kann ich mir einen Stückpreis von 50 Euro vorstellen – in ein anderes Gerät integriert vielleicht auch weniger.

PC Professionell: Für viele Menschen eine Menge Geld…

Maus: Sicher. Das Gerät löst andererseits eine ganze Reihe von Problemen, die Staat und Wirtschaft isoliert angehen. Es könnte den elektronischen Personalausweis ersetzen, Bankautomaten sicher und barrierefrei machen, Kreditkartenzahlungen, Telefon- und Online-Banking absichern, den sicheren Dokumentenaustausch mit Behörden und Unternehmen ermöglichen, Bezahlvorgänge im Internet und virtuelle Fahrscheine realisieren, und vieles mehr. Wenn sich sich nur die diversen staatlichen Projekte in diesem Umfeld anschauen, relativieren sich die Kosten.

Es ist aber leider ein klassisches Infrastrukturprojekt, welches wohl kein einzelner Investor anpacken wird und welches nur Nutzen generiert, wenn es für alle Markteilnehmer und Anwendungsfelder offen ist.

Auch für diese Anwendungen wäre ein sicheres Betriebssystem sinnvoll.

PC Professionell: Was wäre denn zum Beispiel ein »richtiges« Betriebssystem?

Maus: Zum Beispiel alle Unix- und GNU/Linux-Derivate realisieren dies seit Anfang an, also teils seit den frühen Siebzigern.

PC Professionell: Aber auch dort gibt es digitale Schädlinge?!

Maus: Natürlich – es ist nur ein Sicherheitsmechanismus, der einen Teil der vielen Angriffsstrategien abwehrt! Die Wirksamkeit kann man aber vielleicht daran messen, daß der Schädlingszoo dort nur ein kleiner Bruchteil dessen ist, was wir beim Marktführer unter den Betriebssystemen gewohnt sind.

Am Rande: Die Bundesregierung begibt sich hier auch in einen unglücklichen Spagat.

PC Professionell: Wie meinen Sie das?

Maus: Auf der einen Seite treibt das Gesundheitsministerium ein Projekt voran, welches unüberwindbare Computersicherheit voraus setzt. Auf der anderen Seite treibt das Innenministerium ein Projekt voran, welches die Überwindbarkeit der Computersicherheit voraus setzt.

Auf der einen Seite soll das BSI die Bevölkerung über Sicherheitslücken aufklären und bei der Beseitigung helfen – inzwischen ja eine Schutzaufgabe mit Verfassungsrang -, auf der anderen Seite braucht das BKA genau solche Sicherheitslücken für die »Online-Durchsuchung« – ein Dilemma.

Der Bürger kann nun wahlweise am (IT-)Sachverstand der Regierung zweifeln, an der Ernsthaftigkeit mit der eine Schutzaufgabe von Verfassungsrang verfolgt wird, oder an jedem Stück staatlicher Software als potentiellem Bundestrojaner – was sowohl die Tätigkeit des BSI konterkariert als auch eGovernment-Projekte wie die Elektronische Steuererklärung.

Wenn dann das »BKA-Gesetz« Ärzte, und damit deren Patienten, beim Thema Online-Durchsuchung aus dem Kreis der Schutzbedürftigen ausschließt, also Sicherheitsbehörden auch Praxiscomputer online durchsuchen können sollen (§20u BKA-Gesetz in Verbindung mit §53 Strafprozessordnung), sind Zweifel sowohl an Glaube als auch Interesse der Bundesregierung an unüberwindlichen Sicherheitsmechanismen der Gesundheitstelematik unvermeidbar.


Beitrag zur Computer-Unsicherheit

PC Professionell: Wie bewerten Sie den »Hackerparagraphen« in diesem Zusammenhang?

Maus: Ein aktiver Beitrag zur Unsicherheit – in vielerlei Hinsicht: Um Sicherheitsmaßnahmen zu entwerfen und zu prüfen, müssen Sicherheitsexperten natürlich die Möglichkeiten und damit die Werkzeuge der Kriminellen genau kennen und auch selbst einsetzen. Ihr Besitz kann aber als Vorbereitungshandlung bestraft werden.

Nun hat zwar das Bundesjustizministerium öffentlich erklärt, daß etwa Systemadministratoren und Sicherheitstester die Werkzeuge für autorisierte Tests verwenden können, doch bleibt einiges an Verunsicherung: Darf ich als selbstständiger Sicherheitsexperte Werkzeuge mit mir führen, die für einen aktuellen Auftrag nicht benötigt werden, oder muß ich meine Systeme jedesmal umkonfigurieren? Was ist, wenn ich gerade keinen einschlägigen Auftrag habe? Kann ich mich mit neuen Werkzeugen auseinander setzen, deren Einsetzbarkeit sich erst noch erweisen muß?

PC Professionell: Es hat ja bereits eine Reihe von Selbstanzeigen in diesem Zusammenhang gegeben. Meines Wissens wurde noch keine dieser Personen verurteilt. Ist die Gefahr wirklich so groß?

Maus: Die letzte mir bekannte Selbstanzeige stammt vom Dezember 2008 – von Jürgen Seeger, dem Chefredakteur der Fachzeitschrift iX. Daran können Sie erkennen, wie groß die Verunsicherung in der Branche bis zum heutigen Tag ist.

Doch die nachteil
ige Wirkung reicht noch viel weiter:

Auf jeden Fall ist die Durchführung von Tests aufwändiger und langwieriger geworden: Wo früher der Auftrag der IT ausreichte, müssen Kunden heute meist auf mehreren Ebenen aufgeklärt werden, Justiziare werden involviert, …

Als kürzlich etwa über Sicherheitsprobleme der digitalen Lifesensor-Patientenakte berichtet wurde, bestürmten mich Journalisten. Eine qualifizierte Einschätzung hätte aber nicht-destruktive Prüfungen erfordert, die ich nach Rechtslage ohne Auftrag des Betreibers nicht durchführen darf. Dem öffentlichen Interesse an Aufklärung der Sicherheitslage, insbesondere dem Interesse der Bürger, die hochschutzbedürftige Daten diesem System anvertraut haben, steht also der Hacker-Paragraph entgegen. Auch Systemhersteller und -betreiber werden geschädigt, weil sie nicht kurzfristig entlastet werden können: Indem der Hacker-Paragraph die öffentliche, qualifizierte und fakten-basierte Expertendiskussion zur Sache unterbindet, beauftragten Expertisen immer der Ruch der Abhängigkeit anhaftet und schließlich die Strafandrohung anonyme Sicherheitswarnungen zum Regelfall macht, können sie als Waffe im Konkurrenzkampf mißbraucht werden – und der Gesundheitsmarkt ist hart umkämpft …

Schließlich: Gute Sicherheitstester sind rar – und wo soll der Nachwuchs herkommen? Exzellente Leute haben sich schon in ihrer Jugend intensiv mit solchen Werkzeugen beschäftigt – das ist heute aber nicht mehr möglich, denn in der Regel werden sie ja keine legitimen Zwecke vorweisen können. Das ist etwa so sinnvoll, wie ein Verbot des Hochleistungssports für Jugendliche, weil sie als Diebe leichter Polizisten davon laufen könnten – um dann darüber zu staunen, daß wir plötzlich keine Olympiasieger mehr haben. Natürlich muß die Energie in sinnvolle Bahnen gelenkt werden, aber das erreichen wir sicher nicht dadurch, daß wir das Feld den Kriminellen überlassen.

PC Professionell: Was bedeutet das in der Konsequenz?

Maus: Die Bundesregierung sollte die vielstimmige, aber einhellige Kritik von IT-Sicherheitsexperten sehr viel ernster nehmen – Kritik ist etwas sehr Positives: Nämlich fürsorgliche Zuwendung.

PC Professionell: Was sollte die Bundesregierung jetzt Ihrer Meinung nach bezüglich Gesundheits-Telematik tun?

Maus: Zunächst einmal Klarheit schaffen: Für wen soll es wieviel Sicherheit geben? Ich hoffe, die Frage wird zu Gunsten eines Höchstmaßes an Sicherheit für das gesamte Gesundheitswesen entschieden. Wir dürfen die Gesundheitstelematik unter keinen Umständen auf Sand bauen – die IT-Branche kann kein Interesse an einer daraus drohenden fundamentalen Vertrauenskrise haben. Der nächste Gesundheitsminister wäre gut beraten, einen Neustart zu wagen, mit geeigneterer Technik – und zuvor zu klären, welcher IT-Einsatz im Gesundheitswesen denn tatsächlich volkswirtschaftlichen und medizinischen Nutzen generiert.

PC Professionell: Wir danken für das Gspräch.

———————————————————————————————–

Hinweis: unabhängig von dieser Diskussion hat IT im Unternehmen zum Thema IT-Healthcare einen kleinen CeBIT2009-Wegweiser veröffentlicht. In Halle 9 treffen sich die Befürworter – und möglicherweise auch Kritiker an den E-Health-Plänen.