Hacker-Experiment: Kartenterminals in Kliniken und Arztpraxen manipulierbar

Gesundheitskarten steckt man etwa in versiegelte und gegen Manipulationen geschützte Kartenterminals von Ingenico. Doch das hält einen Angreifer kaum auf.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht

(Bild: Albert Hulm)

Lesezeit: 15 Min.
Inhaltsverzeichnis

Die kleinen Kartenterminals "ORGA 6141 online" vom Hersteller Ingenico Healthcare ähneln einem EC-Kartenleser. Dort hinein stecken nicht nur Patienten ihre elektronische Gesundheitskarten, sondern auch Ärzte ihren elektronischen Ausweis für Heilberufler nebst Sicherheitskarten der Praxis. Ärzte authentifizieren sich nach dem Einstecken ihrer Karte über eine PIN, um allerlei Patientendaten lesen und schreiben zu dürfen. Dazu zählen aktuell die Stamm- und Notfalldaten, elektronische Arztbriefe sowie E-Medikationspläne. Ab 2021 kommen die elektronische Patientenakte sowie E-Rezepte hinzu.

Weil die Authentifizierung über die Terminals sicherheitskritisch ist, sind sie mit Aufklebern des Bundesamts für Sicherheit in der Informationstechnik (BSI) versiegelt. Sie sollen verhindern, dass das Gehäuse des Terminals unbemerkt geöffnet und die Elektronik manipuliert wird. Ärzte sind zudem aufgefordert, Terminals nur über eine "sichere Lieferkette" zu beziehen, damit ihnen kein gehacktes Terminal untergeschoben wird.

Mehr zum Thema digitales Gesundheitswesen

Dass diese "sichere Lieferkette" durchaus ihre Lücken hat, deckten Ende 2019 die Sicherheitsexperten Tschirsich, Brodowski und Zilch auf. Sie konnten sich Gesundheitskarten, Konnektoren und Kartenleser unter anderem an Käsetheken liefern lassen, ohne dass jemand ihre Identität überprüfte.

Das war die Leseprobe unseres heise-Plus-Artikels "Hacker-Experiment: Kartenterminals in Kliniken und Arztpraxen manipulierbar". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.