E-Rezept: CCC will massive Sicherheitslücke aufgedeckt haben

Beim CCC-Jahreskongress, der seit Freitag in Leipzig stattfindet, haben die IT-Experten des Vereins die Ergebnisse ihrer Untersuchung präsentiert: Demnach gebe es nicht nur Probleme bei einem einzelnen Anbieter, sondern strukturelle Sicherheitsmängel bei der Herausgabe der Chipkarten. CCC sowie Spiegel und NDR war es nach eigenen Angaben gelungen, sowohl einen elektronischen Heilberufsausweis, einen Praxisausweis und eine elektronische Gesundheitskarte über einen Dritten zu bestellen und an eine Wunschadresse liefern zu lassen. Einen Konnektor wiederum konnten sie frei im Internet bestellen – was bisher auch kein Geheimnis war.

Gleichzeitig habe der CCC ein Datenleck bei einem Anbieter für elektronische Chipkarten entdeckt, nämlich Medisign: Demnach sollen allein an einem Tag im Oktober die persönlichen Daten von 168 Ärzten, die in den zwei davorliegenden Wochen einen Antrag auf eine SMC-B-Karte gestellt haben, frei im Internet zugänglich gewesen sein. Darunter hätten sich ausgefüllte Arztausweisanträge samt Namen, Geburtsdatum, Meldeadresse, Kontoverbindungen und Personalausweisnummer befunden. Laut Spiegel und NDR sollen sich Unbefugte mit diesen Daten SMC-B-Karten erschleichen können.

Dem NDR zufolge hatte das zuständige CCC-Team im Namen des CCC-Mitglieds und niedergelassenen Anästhesisten Christian Brodowski einen elektronischen Arzt- und einen Praxisausweis bestellt. Dabei sei ihnen aufgefallen, dass beim Bank-Ident- und dem zeitversetzten Kammer-Ident-Verfahren für die Identifizierung kein erneutes persönliches Erscheinen notwendig ist und sich die Ausweise an jede beliebige Adresse senden lassen.