Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.

Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.

Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.

Die Sicherheitslücken betrafen die Ausgabepro­zesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.

„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.

Eine Kaskade an Problemen

Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.

Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.

„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.

So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.

EUDI-Wallet: Fehler, die sich wiederholen

Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.

Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.

Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.

Signierte Daten, bitte schnell

In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.

Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“

Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.

Sichere Kanäle versus signierte Daten

Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.

Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).

Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.

Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.

Kritik von vielen Seiten

Dieses Siegel macht die Daten allerdings auch überaus wertvoll für Datenhandel und Identitätsdiebstahl, so die Warnung der Bundesdatenschutzbeauftragten, mehrerer Sicherheitsforscher:innen und zivilgesellschaftlicher Organisationen.

Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.

Und der Verbraucherschutz Bundesverband sprach sich im November 2024 in einem Gutachten ebenfalls klar gegen signierte Daten aus.

Risiken werden individualisiert

An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.

Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.

Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Einfach online einen neuen Personalausweis anfordern, den Wohnsitz ummelden oder Kindergeld beantragen: Das Onlinezugangsgesetz (OZG) von 2017 soll all das möglich machen – und zwar schon bis Ende 2022. Fast 600 Verwaltungsleistungen von Kommunen, Ländern und Bund sollen bis dahin digital zur Verfügung stehen, einfach zugänglich über einen Portalverbund. Das Ende von ausgebuchten Bürgerämtern und langen Schlangen.

IT-Sicherheit ist für die digitalisierten Verwaltungsleistungen wichtig, denn es werden jede Menge persönliche Daten verarbeitet. Doch mit der zugehörigen IT-Sicherheitsverordnung hat sich das zuständige Bundesinnenministerium Zeit gelassen. Sie definiert, welche Sicherheitsstandards bei der Umsetzung der Dienste zu erfüllen sind. Erst am 20. Januar trat sie in Kraft. Bis zur Umsetzungsfrist des OZG ist es also – in Verwaltungszeiträumen gesprochen – nicht mehr lange.

Angeflanschte Sicherheit

Einige der genannten Verwaltungsleistungen sind bereits digitalisiert, etwa die Arbeitslosmeldung. Bestimmte Grundregeln galten natürlich trotzdem, etwa die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum IT-Grundschutz. Aber die Systeme wurden entwickelt, bevor die konkreteren Vorgaben aus der Verordnung bekannt waren. IT-Sicherheitsexpert:innen kritisieren diese Reihenfolge.

„IT-Sicherheit kann man nicht nachträglich an ein System anflanschen. Sie muss von Anfang an mitgedacht werden, sonst bleibt sie ein Furunkel“, sagt Manuel Atug von der AG KRITIS, einer unabhängige Arbeitsgruppe, die sich für die IT-Sicherheit von Kritischer Infrastruktur wie Verwaltung und Energieversorgung stark macht. Atug arbeitet selbst seit über 23 Jahren in dem Bereich, er berät Unternehmen und auditiert IT-Systeme.

Schon 2020 hatte die AG KRITIS beim BMI nachgefragt, wie der Stand der IT-Sicherheitsverordnung ist. Damals war etwa Halbzeit für die Umsetzung des Gesetzes, aber offenbar lag nicht mal ein Entwurf vor. Warum hat es so lange gedauert? Trotz mehrmaliger Nachfrage haben wir auf diese Frage vom Innenministerium leider keine Antwort erhalten.

Dass Sicherheitsvorgaben erst nachträglich festgelegt werden, widerspricht dem Prinzip „Security by Design“. Das bedeutet, dass IT-Sicherheit schon bei der Konzeptionierung und Entwicklung eines Produktes mitgedacht werden soll – und nicht erst hinterher. Das Innenministerium und das ihm unterstellte Bundesamt für Sicherheit in der Informationstechnik (BSI) betonen das selbst. Im Lagebericht des BSI zur IT-Sicherheit 2018 heißt es etwa: „Dabei muss die Sicherheit der eingesetzten Systeme in der staatlichen Verwaltung, in der Wirtschaft und beim Endanwender durch ’security by design‘ und ’security by default‘ von vornherein gewährleistet sein.“ Außerdem: „Deutschland muss in dieser Frage eine Vorreiterrolle einnehmen.“

Schneller Umbau?

Es stellt sich die Frage, ob die bereits vorhandenen digitalen Dienstleistungen nun schnell umgebaut werden müssen. Laut der Verordnung haben die Verantwortlichen dafür Zeit. Bereits aktive Systeme oder solche, die bis Mitte 2022 in Betrieb genommen werden, dürfen von den Vorgaben abweichen – bis Ende 2022 oder „in begründeten Fällen“ sogar bis Januar 2024. Also zwei Jahre lang. Was solche Gründe für die Verlängerung sein können? Auch darauf haben wir bisher keine Antwort erhalten.

„Selbst wenn man nur einen Zettel ausfüllt, hat man die Vorgaben bis 2024 eingehalten“, kritisiert Atug. Damit meint er die vorgegebenen Selbsterklärungen. Darin sollen die Verantwortlichen auf einer Art Checkliste ausfüllen, welche Vorgaben der Verordnung und der konkretisierenden Technischen Richtlinien sie bereits umgesetzt haben. „Es sollte mittlerweile allgemein bekannt sein, dass wenn Leute ihre eigene Leistung bewerten sollen, sie wohl kaum dokumentieren, dass diese nicht zu ausreichenden Ergebnissen geführt hat“, schätzt die AG KRITIS die Selbstauskunft ein.

Nicht nur am Prozess, auch an der Ausgestaltung der Sicherheitsverordnung haben die Experten einiges zu bemängeln. Die alle drei Jahre vorgeschriebenen Penetrationstest für Systeme, die Schnittstellen zum Internet haben, seien zu wenig. Die vier Technischen Richtlinien, auf die die Verordnung etwa in Zusammenhang mit Nutzerkonten verweist, würden nicht genug Fragen abdecken.

IT-Sicherheit „mit Augenmaß“

Dass es hier nicht um das größtmögliche Maß an Sicherheit geht, legt auch eine Pressemitteilung zur neuen IT-Sicherheitsverordnung nahe: „Ein einheitliches Sicherheitsniveau ist wichtig für das Vertrauen der Bürgerinnen und Bürger sowie Unternehmen in staatliche Dienstleistungen“, heißt es dort von Bundes-CIO Markus Richter. Die Umsetzung des OZG ist unter den „innovativen Vorhaben“ seines Ressorts aufgeführt. Er sagt aber auch: „Genauso wichtig ist, dabei Augenmaß zu wahren und die mit großen Schritten voranschreitende OZG-Umsetzung nicht ohne Grund zu belasten“.

Angesichts der immer wieder auftretenden IT-Sicherheitsvorfälle in deutschen Verwaltungen verwundert diese Prioritätensetzung. Nach einem Ransomware-Befall im Landkreis Anhalt-Bitterfeld im Juli ist die dortige Datenwiederherstellung immer noch nicht abgeschlossen. Die Verwaltung war wochenlang arbeitsunfähig. Einige Dateien werden wohl für immer verloren sein, bisher sind zwei Millionen Euro Schaden entstanden. Auch der Landkreis Ludwigslust-Parchim arbeitet bis heute an der Bewältigung eines Ransomware-Falls und konnte deswegen lange etwa keine Coronazahlen melden.

Gerade vor diesem Hintergrund kann Atug den aktuellen Kurs bei der IT-Sicherheit für die Verwaltungen nicht verstehen: „BMI liefert so den kritische Infrastrukturen Sektor Staat und Verwaltung – also alle Behörden, Kommunen und Landkreise – wie auf einem Silbertablett kriminellen Banden aus. Wenn dann die Ransomware-Gangs nicht zuschlagen, weiß ich auch nicht mehr weiter.“ Ob man die aktuelle Verordnung heilen kann? Atug ist skeptisch: „Das ist prozedural schiefgelaufen. Jetzt die IT-Sicherheit nennenswert zu stärken und trotzdem den Zeitplan für das OZG einhalten, wird kaum möglich sein.“ Für ihn wirkt die Verordnung, als sei man „im Rahmen der Möglichkeiten stets bemüht“ gewesen.

Ob das für eine sichere, digitale Verwaltung reicht? Das wird sich zeigen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.