Konnektor geknackt – Schwachstelle beim E-Rezept?

Bei der Zukunftskonferenz VISION.A powered by APOTHEKE ADHOC hatte sich Flüpke vor einem Monat kritisch zum E-Rezept geäußert. Unzureichende technische Standards bei der Telematikinfrastruktur (TI), fehlende Sicherheitsmechanismen, um bei Systemausfällen die Versorgung zu sichern, sowie ein möglicher Missbrauch von Daten durch Apotheker:innen waren die drei wichtigsten Punkte, mit denen er Gematik-CEO Dr. Markus Leyck Dieken zur Weißglut brachte.

Die Gematik wies die Vorwürfe im Nachgang zurück, doch Flüpke machte sich an die Arbeit, um den Beweis für seine Aussagen zu liefern. Und tatsächlich gelang es ihm, einen TI-Konnektor von Secunet in eine virtuelle Maschine umzuziehen und den Speicher auszulesen. „Ich habe den Konnektor aufgemacht und konnte auf das Dateisystem zugreifen, also auf die Software und die Konfiguration.“

Alle Dateisysteme ausgelesen

Laut Computermagazin Heise musste Flüpke zunächst auf das gesicherte Linux-Betriebssystem des Konnektors zugreifen, was ihm offenbar mithilfe der gerätespezifischen Sicherheitsmodulkarte (gSMC Typ K) gelang: Anhand der Seriennummer auf dem Mainboard konnte er die PIN ermitteln. Da die Kommunikation zwischen Karte und Konnektor unverschlüsselt war, konnte er diese nun mitschneiden und über ein Entschlüsselungsmodul von seinem eigenen Gerät erneut an die gSMC-K übertragen. „So konnte er alle Dateisysteme mounten und auslesen“, schreibt Heise.

Flüpke fasst es so zusammen: „Nachdem ich die Sicherheitsmechanismen ausgehebelt habe, hatte ich die Kontrolle darüber, was an die TI gesendet wird.“

Hersteller gibt Entwarnung

Gegenüber dem Computermagazin gab der Hersteller Secunet Entwarnung: Anwender müssten sich keine Sorgen machen. Auf dem Gerät könne nur zuvor vom Hersteller signierter Code ausgeführt werden. Es gebe keine Möglichkeit, etwa auf den Fachdienste für das E-Rezept zuzugreifen, also auch nicht auf Patientendaten. Zwar könnten Fragmente des Codes für die „Sichere Inter-Netzwerk Architektur“ (SINA) im Konnektor gespeichert sein; die Geräte seien aber nicht kompromitiert. Und die PIN, die Flüpke aus der Seriennummer abgeleitet hatte, sei nur für die initiale Einrichtung erforderlich.

Dennoch weist der Hersteller darauf hin, dass alle ausrangierten Geräte gesperrt und entsorgt werden müssten. Insofern sei Flüpkes Vorgehen positiv zu bewerten, „da es der Sensibilisierung für das wichtige Thema IT-Sicherheit dient“.

TI (noch) nicht angegriffen

Flüpke selbst betont, dass er lediglich den Konnektor entschlüsselt, nicht aber die TI angegriffen hat. Dies sei lediglich mit einer auf einen Arzt angemeldeten SMC-B und einem entsprechenden VPN-Zugangsdienst möglich. Er hälte es aber für möglich, Zugang in die Produktivumgebung der TI erhalten und dort nach Schwachstellen zu suchen. „Damit sollte ich nun in der Lage sein, beliebige IP-Pakete in die produktive Telematik Infrastruktur (TI) der Gematik zu werfen“, so Flüpke bei Twitter.

Er sieht ebenfalls derzeit kein Sicherheitsproblem, denn er könne zwar die TI netzwerkmäßig erreichen, für Zugriffe auf die Fachdienste sei aber eine Authentifizierung erforderlich. Das funktioniere nur über die SMC-B-Karten der Heilberufler beziehungsweise beim Versichertenstammdatenmanagement über das Kartenterminal und die eGK. Allerdings könne er sich vorstellen, über die TI ins KV-Safenet zu gelangen, was aber noch zu beweisen sei.

Ihm sei es aber vor allem darum gegangen zu zeigen, dass der Austausch der Konnektoren überflüssig sei. Ein erster Schritt dazu sei getan; der Secunet-Konnektor sei dabei im Übrigen noch der professionellste gewesen. Die Geräte anderer Anbieter seien einfach nur Schrott. Auf dem Kurznachrichtendienst bot Flüpke der Gematik schon einen frechen Deal an: „Wenn ich zeige, wie ich das Zertifikat auf einem Konnektor verlängere, den ich nicht selber gebaut, sondern reverse-engineered habe, hört ihr dann auf, die 400 Millionen Euro Gesundheitsgelder zu verbrennen und gebt das den Pflegekräften statt der CGM & Co.?“