Hacker des CCC enthüllen Sicherheitslücken in elektronischer Patientenakte (ePA)

Der Chaos Computer Club (CCC) hat Ende 2024 gravierende Schwachstellen in der elektronischen Patientenakte (ePA) aufgedeckt. IT-Experten demonstrierten, wie leicht sich unbefugt Zugriff auf Millionen Gesundheitsdaten erlangen lässt. Die Enthüllungen werfen Zweifel an der Sicherheit des kurz vor dem Rollout stehenden Systems auf.

Die Sicherheitsforscher Martin Tschirsich und Bianca Kastl zeigten, dass elektronische Gesundheitskarten per einfachem Telefonanruf auf fremde Namen bestellt werden können – in nur 10 bis 20 Minuten. Mit diesen Karten ist unautorisierter Zugriff auf ePA-Daten möglich.

Die neue ePA-Version 3.0 verzichtet in Arztpraxen auf eine PIN-Eingabe. Dadurch reicht bereits der Besitz einer Gesundheitskarte, um Zugriff auf sensible Patientendaten zu erhalten, was das Risiko von Missbrauch erhöht.

Noch brisanter: Fehler in der Spezifikation erlauben das Erstellen digitaler Zugriffsschlüssel, ohne eine Gesundheitskarte zu besitzen. Ein einziger kompromittierter Praxiszugang könnte bis zu 1.500 Patientenakten offenlegen.

Die für die ePA verantwortliche Gematik hat eine Maßnahmen angekündigt. Zum Start der Pilotphase im Januar 2025 soll zunächst nur eine kleine Gruppe von Leistungserbringern Zugriff erhalten. Zusätzliche Sicherheitsmaßnahmen, darunter stärkere Verschlüsselung, sollen folgen.

Der CCC kritisiert die Reaktion als unzureichend und fordert ein Ende der “Experimente am lebenden Bürger”. Kritiker sehen in der ePA ein zentrales Sicherheitsrisiko, während Befürworter die Vorteile für das Gesundheitswesen betonen.

Related Posts

Sicherheitslücke in Next.js ermöglicht Umgehung von Autorisierung (CVE-2024-51479)

Die Schwachstelle CVE-2024-51479 in Next.js, einem React-Framework für die Entwicklung von Full-Stack-Webanwendungen, ermöglicht die Umgehung von Autorisierungsmaßnahmen in bestimmten Szenarien. Betroffen sind Anwendungen, die Autorisierung basierend auf Pfadangaben in Middleware durchführen.

Read More

Credential-Dumping Sicherheitslücke CVE-2024-50570 in FortiClient

Die Schwachstelle CVE-2024-50570 in FortiClient (Windows und Linux) ermöglicht es lokalen, authentifizierten Angreifern, VPN-Passwörter aus dem Speicher auszulesen. Die Ursache ist eine unsichere Speicherung sensibler Informationen (CWE-312), ausgelöst durch die JavaScript-Garbage-Collection. Betroffen sind die Versionen älter als 7.4.3, 7.2.8 und 7.0.14.

Read More

Spring Framework Path Traversaö Lücke CVE-2024-38819: Exploit veröffentlicht

Am 17. Oktober 2024 wurde die Sicherheitslücke CVE-2024-38819 öffentlich dokumentiert. Diese Schwachstelle betrifft Anwendungen, die statische Ressourcen über die funktionalen Webframeworks WebMvc.fn oder WebFlux.fn bereitstellen. Angreifer können Path-Traversal-Angriffe ausführen und auf Dateien des Dateisystems zugreifen, die durch den Prozess der Spring-Anwendung erreichbar sind.

Read More