I. Die Gefährdungslage der eGK, einem in Wahrheit unbekannten System

Hinweis: Öffnen Sie vor dem Lesen dieser Seite das referenzierte Dokument “gematik_whitepaper_sicherheit.pdf” auf das sich diese Ausführungen beziehen separat in einem  Browserfenster, aufgerufen über den direkten Link zur gematik-Webseite. Das Urheberrecht und die orginale Downloadquelle bleiben so gewahrt! <hier öffnen>

Das öffentlich verfügbare “gematik_whitepaper_sicherheit.pdf“ (Download über Webside der Gematik GmbH) beschreibt ein futuristisches Gesundheitssystem welches mit neuartigen Lösungen eine angeblich ausreichende Sicherheit herstellen will. Das Dokument will die selbstgestellte Frage beantworten:

Wie werden die Gesundheitsdaten in Zukunft geschützt?

Der Kern des System besteht aus der eGK (elektronischen Gesundheitskarte) des Patienten, der elektronischen Heilberufskarte des Arztes (HBA), dem sogenannten Konnektor (Online-Terminal) in der Arztpraxis und der Telematikinfrastruktur der Telematik-Rechenzentren. Die genannten Komponenten erzeugen in einem gemeinsamen einmaligen Verschlüsselungsverfahren Datenpakete, die über das Internet auf Basis gängiger Sicherheitsbausteine (SSL, ipSec) an die Rechner der Telematikinfrastruktur geschickt werden. Dort werden sie nach Aussage des Dokumentes auf Seite 25-27 ‚zugeordnet’ und wieder ‚zusammengesetzt’. was eine teilweise Umkehr der Prozesse erfordert, die durch die eGK, den elektronischen Heilberufsausweis des Arztes und den Konnektor verursacht wurden.

Im Whitepaper wird die geschätzte Datenmenge aller Patientendaten auf mehrere Dutzend Terabyte (1TB = 1024 GB) geschätzt, ohne Bilddaten, die in den Telematik Rechenzentren konzentriert abgespeichert werden.

Damit wird spektakulär deutlich, hier werden alles sensiblen Daten des Gesundheitssystem aller Patienten in Deutschland zentral verwaltet!

Die Sicherheit dort soll in erster Linie durch ein weiteres Verfahren garantiert werden, einer Protokollierung, Audit genannt, die erfasst welche Personen und Prozesse wann und wieso auf die Daten des Patienten zugreifen. Der IT-unerfahrene Patient soll Zugriff auf diese Protokollierung erhalten und jederzeit bestimmen können was mit seinen Daten passiert. Sowohl vom Arzt, als auch vom Patienten müssen Arbeitsleistungen und Zeit dafür aufgewendet werden.

All dies wird als einmalige Lösung beworben.

Der Teufel steckt allerdings im Detail und aus dem Whitepaper selbst lassen sich erhebliche Widersprüche ableiten und dutzende technische Nebelfelder identifizieren, die zu mehr Fragen führen, als das Sicherheit hergestellt wird.

So wird, ohne weitere Details zu nennen, von Telematikrechnern, der Telematikinfrastruktur und dem Konnektor gesprochen, der begrifflich davon ablenkt, dass wir es mit einem Industrierechner und Online-Terminal zutun haben, der genau wie ein PC, eine eindeutig identifizierbare IP-Adresse besitzen muss.

Der Konnektor, der ein Einwahlgerät ins Internet darstellt, wird vermutlich mit ähnlichen Eigenschaften ausgestattet sein, wie wir es von modernen Routern und Switchen her kennen, die jeder von Ihnen zuhause stehen hat, um ins Internet zu gehen.  Damit entsteht ein zusätzliches Einfallstor in der EDV-Struktur der Teilnehmer des Systems.

Die Telematikinfrastruktur, nur versteckt als große Rechenzentren auszumachen, besteht in Wahrheit aus einer unübersehbaren Anzahl an IT-Systemen, Applikationen und Komponenten, angefangen von Servern, Hard- und Software, Datenbank-Anwendungen, wie beispielsweise Oracel- oder Microsoft-SQL-Servern, die alles Daten formal speichern, über Hardware-Speichersysteme, bis hinzu Sicherungs- und Wiederherstellungs-möglichkeiten gegen Datenverlust. Damit entsteht im System selbst eine dutzendfache Multiplikation der Daten / Redundanz > http://de. Wikipedia.org/wiki/Redundanz_(Technik).

Auf Seite 20 im Dokument heißt es:

Die medizinischen Daten – wie zum Beispiel Befunde, Diagnosen, Therapiemaßnahmen oder Röntgenbilder – werden danach aus den Rechnersystemen, die der Arzt verwendet, zum Konnektor geschickt.(Quelle/Urheberrecht siehe PDF Whitepaper Sicherheit http://www.gematik.de/cms/de/egk_2/telematikinfrastruktur/sicherheit/sicherheit_1.jsp

Mit dieser Aussage wird deutlich dass eine enge Anbindung über Software und Hardware in beide Richtungen zwischen den EDV-Systemen der Ärzte und den Rechnersystemen der telematischen Infrastruktur eingerichtet wird. Über den Konnektor besteht eine  bidirektionale Verbindung (Request and Response Stream in beide Richtungen zwischen Arzt-EDV und telematischer Infrastruktur).

Fazit:

Das Whitepaper Sicherheit der Gematik GmbH unterschlägt weite Teile des Systems, seiner Komponenten, den Workflow und den wahren Umfang potentieller Gefahren. Weiterführende Informationen zur Systemarchitektur finden sich versteckt unter FAQ der Gematik-Webseite im Dokument gematik_GA_Gesamtarchitektur_V1_3_0.pdf:

Das Dokument erfüllt in nicht ausreichender  Form die Anforderungen an eine übersichtliche Darstellung, die normalerweise an ein Sicherheitsdokument im Bereich der Informationstechnologie gestellt werden. Ein erster Hinweis dafür ist die Grafik (siehe Gefahrenliste). Die Überbetonung der kryptografischen Verschlüsselung lenkt davon ab, dass sehr viele Schnittstellen existieren, wo lesbare Stammdaten generiert werden. Es wird zwar –für uns nicht nachprüfbar- ständig behauptet dass diese permanent verschlüsselt und protokolliert bleiben, aber gleichzeitig spricht das Dokument davon dass die Daten an den Stellen im System, wo benötigt, weiter verarbeitet werden können. Davon ausgehend ist der verschlüsselte Teil der Datentransport-Strecke sicherlich nur ein kleiner Ausschnitt  des gesamten Systems. Ein vollständiger Überblick kann nur dann entstehen, wenn ein vollständiger Workflow vorliegt, in dem die Interaktionen und Wege der eGK nachvollzogen werden können.

Offensichtlich wird sofort: das hochkomplexe Zusammenspiel aller bekannten und vermuteten Systeme und Komponenten, die die Telematikinfrastruktur bilden, bieten eine breite Angriffsfläche mit vielfältigen Gefährdungsmöglichkeiten.

Die Widersprüche und Auslassungen in diesem Dokument machen es erforderlich eine detaillierte und umfassende Analyse und Visualisierung des telematischen Systems von dritter Seite durchzuführen.

Erst nach Vorlage einer solchen Ausarbeitung würde das wahre Ausmaß der Zielsetzungen, Absichten und Gefährdungen sichtbar werden, die das eGK-System beinhaltet.

Der offensichtlich größte Widerspruch im Dokument der Gematik GmbH liegt in der Gleichzeitigkeit der Behauptungen, alle Daten blieben unantastbar für andere, nur zugänglich für den Patienten und der Aussage dass eine Weiterverarbeitung der Daten an verschiedenen  Stellen stattfindet. Im Zusammenhang zur enormen Größe und den Kosten des Projektes muss man sich fragen, wofür dann eine zentrale Speicherung und Weiterverarbeitung in Rechenzentren umgesetzt wird? Die von der Gematik gegebenen Antwort hierauf eine höhere Sicherheit für sensible Daten erzielen zu wollen, als dies dezentral bei den Ärzten, Apotheken und Krankenkassen möglich sei, muss einer umfassenden kritischen Betrachtung unterzogen werden.

Im Internet kennen wir beispielsweise die Möglichkeit des direkten Austauschs von Daten zwischen zwei Teilnehmern, in dem über eine Software eine direkte Verbindung hergestellt wird, dazu ist kein Rechenzentrum notwendig, in dem die Austauschdaten aller Teilnehmer abgespeichert werden! (Austauschsystem z.B. BitTorrent > de.wikipedia.org/wiki/BitTorrent). Die Behauptung auf Seite 24 im Whitepaper Sicherheit, dass ein Telematik-System für die langfristige Sicherung der Gesundheitsdaten erforderlich sei,  ist schlichtweg eine irreführende Minimalisierung von alternativreichen Lösungen.

Mit dieser Aussage wird eher eines der Ziele des Systems deutlicher: Es geht vermutlich darum die medizinischen Daten, die ein kostbares Gut sind (eigene Aussage), in der Zukunft des Systems, einer umfassenden zentralen Auswertung in einem einheitlichen Datenbank-Format zuzuführen und gleichzeitig über die Vernetzung mit den Arztpraxen in Echtzeit eine lückenlose Kontrolle aufzubauen. In diesem Kontext fehlt es außerdem an einer kritischen Folgenabschätzung der zukünftigen Entwicklung des Systems und dem theoretischen Wachstum seiner Möglichkeiten.

Eines muss den Beteiligten klar sein, mit einem zentralen Datenpool aller Gesundheitsdaten der Bevölkerung in Rechenzentren existiert eine optionale Grundlage alle relationalen* Daten „cross over“ auszuwerten. Diese Macht sollte niemand besitzen!

Ähnliche Zielsetzungen sehen wir in dem System „Datev“ wo das Finanzamt permanenten Onlinezugriff auf die betriebswirtschaftlichen Daten der Unternehmen erhält.

In Bezug auf hochsensible Gesundheitsdaten sollte das dezentrale Prinzip weiter gelten und die Freiheit des Bürgers in wahrer informationeller Selbstbestimmung eingehalten werden, eine zentrale Speicherung und Verarbeitung wird damit überflüssig. Wie schreibt die Gematik GmbH treffend im Whitepaper Dokument auf Seite 11:

„Datensparsamkeit und Datenvermeidung gehören zu jedem sicheren System“.

Technischer Hinweis:

Prinzipiell kann die Rohdaten-Menge unabhängig von Patienten-Stammdaten Gliederungen „cross over“ in relationelle Beziehungen gesetzt werden. Damit würde ein mächtiges Reportwerkzeug zur Auswertung aller Daten vorliegen. Das Argument der Verschlüsselung und die Argumente einer zukunftsweisenden Datenbehandlung sind leichtsinnige Auffassungen, die aus Sicht der Kybernetik, der Informationstechnologie, der Chaostheorie und der Evolution über einen längeren Zeitraum nicht haltbar sind.

Diese Aussagen über die eigenen IT-Konstruktionen und die hergestellte Sicherheit sind reine Axiome, die beweislos vorausgesetzt werden. Die Boolesche Logik kennt das ja/nein, das wahr oder falsch,  das entweder/oder, die symmetrische Differenz, d.h. die Sicherheit wird in diesem System nicht von Dauer sein, genauso wenig wie der freiwillige Verzicht anhalten wird auf die wertvollen Gesundheitsstammdaten zuzugreifen. Die Wissenschaft der Kybernetik bietet eine hervorragende Grundlage Informationssysteme wie die eGK zu beschreiben. Komplexe interaktive multiple IT-Systeme sind eingebettet in wirtschaftliche, soziale und technische Umgebungen mit hoher Dynamik. Die Kybernetik mit Ihrer konzeptionellen Basis und Kernbegriffen von Steuerung und Rückkopplung, White and Black Box greift diese Dynamik auf und macht Sie zu Faktoren einer ständigen Beeinflussung, die das IT-System penetriert (Steuerungs- und Rückkopplungsfaktoren). Eine Vorstellung für die Rolle der Kybernetik in den IT-Prozessen finden Sie in der Grafik auf der Seite “Gefahrenliste”. Aus diesen Gründen, die in den nächsten Monaten noch weiter ausgearbeitet werden, ist ein Paradigmenwechsel für die Konzepte und Konstruktionen von informationstechnischen Systemen eine dringende Anforderung für die Bewahrung des Datenschutzes und der Demokatie!

 

II. Analyse des Gematik Dokumentes „Die  elektronische Gesundheitskarte whitepaper SICHERHEIT Wie werden Gesundheitsdaten in Zukunft geschützt?“, Dokumentenname: gematik_whitepaper_sicherheit.pdf“

Einleitung

Die Analyse ist eine Annäherung an ein interaktives Online-System mit hoher Komplexität, deren Komponenten weder vollständig, noch in transparenter Form vorliegen.

Es geht darum ein Gefühl für die Dimension der elektronischen Smart-Card, der eGK zu erhalten, die zusammen mit der Gematik-Software als User Interface (GUI/Frontend) in einem vernetzten Gesamtsystem zu betrachten ist. Die eGK, die elektronische Smartcard ist nicht das System, sie ist eine der Komponenten einer hochkomplexen interaktiven Online-Applikation von Krankenkassen, Institutionen und technischen Betreibern, wie Telematik-Unternehmen und Rechenzentren. Die Anwendungen, spezielle Hardware, wie z.B. Online-Terminals und Software sind ein System, das sich über alle Schichten des OSI-7-Schicht Referenzmodells erstreckt. Das OSI-7-Schicht Modell ist ein Referenzmodell für den Datenverkehr und Netzwerkprotokolle und ermöglicht die Darstellung der Signalwege, der Kommunikation und der beteiligten Anwendungen. Weiterführende Informationen finden Sie bei Wikipedia.

Das  OSI-7-Schicht Modell ist eine der wesentlichen Grundlagen um eine Online-Applikation, eine über das Internet und Landesgrenzen hinweg verteilte Anwendung, zu beschreiben. Zusätzlich werden weitere geeignete Instrumente, Konzepte und Tools, wie z.B. Visio  und UML (Beschreibungssprache) eingesetzt, um eine hochkomplexe Anwendungen, wie sie die  EGKAS darstellt, zu visualisieren und damit offenzulegen.

Der erste Gesamteindruck des eGK-Applikations-Systems, hier mit der eigenen Wortschöpfung [EGKAS] abgekürzt,  muss zu allererst zu der fachlichen Feststellung führen, dass eine sichere Analyse nur dann vollumfänglich möglich wäre, wenn das Design der beteiligten Hardware und Softwarekomponenten für die Öffentlichkeit in einer übersichtlichen und verständlichen Form aufbereitet wird. Dies wird einerseits nicht erbracht, weil dann die Schwachstellen für Angreifer des Systems sichtbar werden und andererseits geduldet um ein nicht-angeifbares infomationtechnisches System zu präsentieren. Ideal ist da die Überbetonung der kryptografischen Verschlüsselung einer Wissenschaft für IT-Spezialisten!

Die hauptsächliche Aufmerksamkeit gegenüber der systemischen Organisation der Telematik-Applikation, den potentiellen Funktionen und zukünftigen Möglichkeiten wird damit erheblich geschwächt. Realistischerweise kann eine externe Analyse, ohne Vorlage konkreter Informationen und Darstellungen, nur eingeschränkt erfolgen.

Kein modernes IT-System und keine IT-Anwendung kann sich jedoch den aktuell vorherrschenden technischen Abhängigkeiten entziehen und muss die am Markt verfügbaren elektronischen Komponenten und Software-Bibliotheken nutzen.  Ein Beispiel hierfür ist die Auswahl der Webservices-Technologie (WS/SOA/XML) für da eGK-System.

Die Informationen darüber sind mehr oder weniger allgemein verfügbar und können zusammen mit den freigegebenen Veröffentlichungen der Hersteller und Betreiber kombiniert werden für eine Systemanalyse. Damit existiert ein konkreter Ansatzpunkt  ein System-Schemata und eine Funktionsübersicht zu erstellen und die Gefährdungen zu analysieren. Dabei geht es deutlich nicht nur um die Aufdeckung von technischen EGKAS-Schwächen oder den Einzelpunkt der Verschlüsselung, es geht vielmehr um die Visualisierung und Funktionsübersicht einer modernen Online-Applikationen, mit all Ihren Möglichkeiten, in einer langfristigen Perspektive der Betrachtungen.

Die Eingliederung der bisher in seinen Details unbekannten Online-Applikation in das OSI-7-Schicht Modell erzeugt bereits im Vorfeld den Hinweis auf unübersehbar viele Möglichkeiten an potentiellen  EGKAS Zugriffen, die das System und die Bürger gefährden können.  Und Sie relativiert die Überbetonung der Verschlüsselung als wesentliches Merkmal der Absicherung. Die „Point to Point“ Verschlüsselung, also von der Karte zum Rechenzentrum, egal welche kryptografischen Verfahren eingesetzt werden, sind lediglich ein kleiner Teil der Strecke, die die Daten in der vernetzten Gesamtstruktur zurücklegen. Eine wesentliche Frage an das Gesamtsystem ist z.B. die Frage nach den dahinter liegenden Verarbeitungs- Datenbank- und Storagesystemen (Stichworte: Redundanz, BackUp, Recovery, Desaster Recovery, NetApp, etc).  Die erhobenen Daten werden an unterschiedlichen physikalischen Orten (Festplatten, Bändern) in verschiedenen Formaten existieren und abgreifbar sein! Die Abspeicherung und Wiederherstellung duplizierter Daten aus Speicher- und Sicherungsystemen wird in den technischen eGK-Dokumenten als Bestandteil der IT-Prozesse gern übergangen.

Bevor diese Analyse in diese Bereiche vorstößt werden Schritt für Schritt, anhand der Textpassagen in dem PDF-Dokument die Ausführungen einem kritischen Faktencheck unterworfen.

Hinweis: Öffnen Sie vor dem Lesen dieser Seite das referenzierte Dokument “gematik_whitepaper_sicherheit.pdf” auf das sich diese Ausführungen beziehen separat in einem  Browserfenster, aufgerufen über den direkten Link zur gematik-Webseite. Das Urheberrecht und die orginale Downloadquelle bleiben so gewahrt! <hier öffnen>.

Das gematik_whitepaper_sicherheit.pdf ist vom Charakter her in weiten Teilen mehr eine Werbebrochüre als ein technisches Whitepaper Sicherheit. Daher kann nicht auf alle Abschnitte eingegangen werden. <Tabelle Faktencheck öffnen>

 

 

Bundesweite Aktionsgemeinschaft
11

Letztes Update: 10.6.2013