FAQ: Schwachstelle in Kartenterminals



Ähnliche Dokumente
HÄUFIG GESTELLTE FRAGEN ZUR AKTUELLEN ENTWICKLUNG

Der elektronische Stromzähler EDL 21. Bedienungsanleitung. Service

Die elektronische Signatur. Anleitung

Häufig gestellte Fragen zur aktuellen Entwicklung bei der elektronischen Gesundheitskarte (egk)

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Vernetzung im Gesundheitswesen. Die häufigsten Fragen zur elektronischen Gesundheitskarte.

Kontaktlos bezahlen mit Visa

Updateanleitung für SFirm 3.1

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

Leichte-Sprache-Bilder

Mediumwechsel - VR-NetWorld Software

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Informationen zum Thema Datensicherheit

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

DER SELBST-CHECK FÜR IHR PROJEKT

Einen Wiederherstellungspunktes erstellen & Rechner mit Hilfe eines Wiederherstellungspunktes zu einem früheren Zeitpunkt wieder herstellen

Um sich zu registrieren, öffnen Sie die Internetseite und wählen Sie dort rechts oben

Ihren Kundendienst effektiver machen

proles-login. Inhalt [Dokument: L / v1.0 vom ]

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Windows 10 > Fragen über Fragen

Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh

Was meinen die Leute eigentlich mit: Grexit?

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Einrichtung eines Zugangs mit einer HBCI-Chipkarte bei der Commerzbank

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Anleitung zur Installation und Freischaltung der Signaturlösung S-Trust für Mitglieder der Rechtsanwaltskammer des Landes Brandenburg

Monitoring-Service Anleitung

Handbuch. NAFI Online-Spezial. Kunden- / Datenverwaltung. 1. Auflage. (Stand: )

Lernwerkstatt 9 privat- Freischaltung

Updatehinweise für die Version forma 5.5.5

Campus Management (CM)

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises

Online-Dienste des EPA

Das Persönliche Budget in verständlicher Sprache

FastViewer Remote Edition 2.X

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Java Script für die Nutzung unseres Online-Bestellsystems

Die Post hat eine Umfrage gemacht

Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me

Kurzanleitung für die Abgabe der Abrechnung über das Mitgliederportal der KV Sachsen

Häufig gestellte Fragen zum elektronischen Stromzähler EDL21

Händlerbedingungen für das System GeldKarte

Update-Anleitung für SFirm 3.1

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Windows 10 activation errors & their fixes.

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

Aufruf der Buchungssystems über die Homepage des TC-Bamberg

icloud nicht neu, aber doch irgendwie anders

Mediumwechsel - VR-NetWorld Software

Dow Jones am im 1-min Chat

Nicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003

AMTS-Datenmanagement Arzneimitteltherapiesicherheit. Fachanwendung der Gesundheitskarte (egk)

Quartalsabrechnung! " " " " " " " Stufe 1! Beheben von Abrechnungsfehlern" Stufe 2! Neue Abrechnung erstellen"

Lieber SPAMRobin -Kunde!

Umstellung und Registrierung Release

ALF-BanCo - Chipkarte einrichten in 3 Schritten

Lizenzen auschecken. Was ist zu tun?

Installation OMNIKEY 3121 USB

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Anleitung zum erfassen von Last Minute Angeboten und Stellenangebote

Anleitung über den Umgang mit Schildern

HintergrÜnde. zur Urheberrechtsabgabe. rechnen sie mit uns.

Einlesen einer neuen Chipkarte in der VR-NetWorld Software Seccos 6 gültig bis 2013

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Änderung des Portals zur MesseCard-Abrechnung

Bevor Sie mit dem Wechsel Ihres Sicherheitsmediums beginnen können, sollten Sie die folgenden Punkte beachten oder überprüfen:

Kapitel I: Registrierung im Portal

Cookies. Krishna Tateneni Jost Schenck Übersetzer: Jürgen Nagel

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Zimmertypen. Zimmertypen anlegen

Pädagogik. Melanie Schewtschenko. Eingewöhnung und Übergang in die Kinderkrippe. Warum ist die Beteiligung der Eltern so wichtig?

PROFIS Software Lösungen

Zunächst empfehlen wir Ihnen die bestehenden Daten Ihres Gerätes auf USB oder im internen Speicher des Gerätes zu sichern.

Problem crazytrickler unter Windows 8:

BSV Software Support Mobile Portal (SMP) Stand

Anleitung für Kunden zum Umgang mit verschlüsselten s von der LASA Brandenburg GmbH

4.1 Download der App über den Play Store

E-Government Sondertransporte (SOTRA) Registrierung von Benutzerkennung

WAS finde ich WO im Beipackzettel

FAQ Trainerportal (Häufig gestellte Fragen zum Trainerportal)

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

Installation der smart-q Terminal App

Partnerportal Installateure Registrierung

Durchführung der Datenübernahme nach Reisekosten 2011

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Anleitung zur Installation und Nutzung des Sony PRS-T1 ebook Readers

Anleitung zum Login. über die Mediteam- Homepage und zur Pflege von Praxisnachrichten

Anleitung zur Installation und Nutzung des Sony PRS-T1 ebook Readers

AUF LETZTER SEITE DIESER ANLEITUNG!!!

Hausarzt relevante medizinische Informationen übermittelt werden, sofern der Patient damit einverstanden ist und einen Hausarzt benennt.

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Diese Ansicht erhalten Sie nach der erfolgreichen Anmeldung bei Wordpress.

Transkript:

Schwachstelle in den Kartenterminals: Fragen und Antworten 25. Mai 2010 Bei den Kartenterminals zum Einlesen der elektronischen Gesundheitskarte (egk) hat die gematik in der Software eine Schwachstelle festgestellt. Durch diesen Fehler ist die PIN des elektronischen Heilberufsausweises (HBA) nicht ausreichend geschützt. Wir haben dazu einige Fragen und Antworten zusammengestellt: A) Fragen zur Art der Schwachstelle in den Kartenterminals 1. Was für eine Schwachstelle ist entdeckt worden? Die Kartenterminals für die egk haben offenbar eine Schwachstelle in der Software. Die PIN für den elektronischen Heilberufsausweis ist dadurch nicht ausreichend geschützt. Hacker könnten durch diesen Fehler theoretisch von außen an die PIN des Arztes gelangen. Die Schwachstelle kann sich aber überhaupt nur auswirken, wenn mehrere Faktoren zusammenkommen: Es müsste erstens einer Schadsoftware gelingen, im Terminal eine PIN-Abfrage vorzutäuschen. Zweitens müsste der Arzt, Zahnarzt oder Psychotherapeut gerade in diesem Moment seinen Heilberufsausweis benutzen und der gefälschten Aufforderung zur PIN-Eingabe auch nachkommen. Theoretisch könnte dann die PIN an die Schadsoftware zurückgemeldet werden und damit das Terminal verlassen. 2. Welche Terminals sind betroffen? Betroffen sind ausschließlich Ehealth-BCS-Terminals. Sie gehören zu den aktuellen Kartenterminals, die zurzeit im Basis-Rollout ausgeliefert werden. Das Problem betrifft damit alle stationären Kartenterminals, die speziell für die egk zugelassen und erstattungsfähig sind. Bei den mobilen Kartenterminals tritt das Problem nicht auf. Eine Liste mit allen erstattungsfähigen, zugelassenen Kartenterminals für den Basis-Rollout steht auf der Internetseite der Gesellschaft für Telematikanwendungen der Gesundheitskarte (gematik) bereit: www.gematik.de. 3. Wie wahrscheinlich ist der Eintritt eines Schadens? Die Gefahr eines Missbrauchs ist sehr gering. Hackern müsste es nicht nur gelingen, sich Zugriff auf den Computer verschaffen, der am Kartenterminal angeschlossen ist, und mittels einer Schadsoftware eine gefälschte PIN-Abfrage durchführen. Zusätzlich müsste auch der Karteninhaber der Aufforderung folgen und seine PIN eingeben. Um daraufhin eine elektronische Unterschrift des Arztes fälschen zu können, müsste der Angreifer auch noch den Heilberufsausweis in seinen Besitz bringen. Erst dann könnte ein Schaden entstehen. Somit ist solch ein so genannter Phishingangriff auf ein Kartenterminal erst 1

möglich, wenn zuvor alle Sicherungssysteme und stufen der IT in einer Arztpraxis durchbrochen werden konnten. 4. Welcher Schaden kann entstehen? Die persönliche Identifikationsnummer wird zum Beispiel genutzt, um eine elektronische Unterschrift zu erstellen oder um sich am Portal einer Kassenärztlichen Vereinigung anzumelden. Ein Angreifer, der in den Besitz des Arztausweises sowie der PIN gelangt, kann theoretisch Geschäfte im Namen des Arztes tätigen. Dies ist vergleichbar mit dem Missbrauchsszenario bei EC-Karten. Die Verbreitung der HBA sowie die Akzeptanz der esignatur sind jedoch weitaus geringer. 5. Ist bereits ein Schaden entstanden? Nein, es ist kein Versuch bekannt, eine PIN über die Schwachstelle der Kartenterminals zu erbeuten. 6. Wie ist die Schwachstelle entdeckt worden? Die für die Zertifizierung der Terminals zuständige gematik hat die Schwachstelle in der Software bei Routinetests entdeckt. B) Fragen zur Behebung und dem Umgang mit der Schwachstelle 7. Wie kann die Schwachstelle behoben werden? Sowohl die bereits ausgelieferten Geräte als auch Terminals, die aktuell ausgeliefert werden, müssen die fehlende Sicherheitsfunktion nachträglich durch ein Software-Update erhalten. Vertragsärzte, -zahnärzte und -psychotherapeuten, die sich vor der Einführung der egk im Oktober noch ein Terminal kaufen müssen, sollten sich vom Hersteller am besten bestätigen lassen, dass er die Software so schnell wie möglich aktualisiert. 8. Wann ist mit einem Update zu rechnen? Da lediglich eine kleine Änderung in der Software der Kartenterminals notwendig ist, geht die KBV aktuell von einer Verfügbarkeit innerhalb von einem Quartal aus. Die Verpflichtung der Kartenterminalhersteller zu einem Update wird voraussichtlich noch bis zum 27. Mai 2011 durch die Gesellschafter der gematik beschlossen und freigegeben. Falls kein Update durch die Gerätehersteller angeboten wird, verfällt die Gerätezulassung für einen noch festzulegenden Zeitraum (Empfehlung der gematik: bis Ende des Jahres), so dass von einem hohen Update-Willen der Hersteller auszugehen ist. 2

9. Wie kann ich meine Praxis bis dahin schützen? Zur Vorsicht wird Vertragsärzten geraten, die bereits einen elektronischen Heilberufsausweis besitzen. Sie sollten beim Kartenterminalhersteller anfragen, ob ihr Terminal auch betroffen ist. Für diesen Fall raten Experten, vorerst auf die Nutzung des Ausweises zu verzichten und keine PIN in das Terminal einzugeben, bis die Software des Kartenterminals aktualisiert wurde. Dies gilt auch für Ärzte oder Psychotherapeuten, die ein Kartenterminal mit Bezahlfunktion besitzen. Alle anderen Ärzte und Psychotherapeuten müssen keine zusätzlichen Sicherheitsvorkehrungen treffen. 10. Hat der Fehler Auswirkungen auf die elektronische Signatur (qsig), zum Beispiel für meine elektronische Abrechnung? Ja, aktuell ist nicht zu empfehlen, eine elektronische Signatur mit Hilfe der ehealth-bcs- Kartenterminals zu erstellen. Dazu ist erst ein Update des Kartenterminals durchzuführen. Andere Kartenterminals zur Signaturerstellung können weiterhin genutzt werden. Die Gefahr tritt aktuell bei jeglicher PIN-Eingabe in Zusammenhang mit einem Heilberufsausweis oder einer sonstigen Signaturkarte in die betroffenen BCS-Lesegeräte auf. 11. Hat die Schwachstelle Auswirkungen auf die Bezahlfunktion meines Kartenterminals? Ja, aktuell ist es nicht zu empfehlen, eine PIN in ein ehealth-bcs-kartenterminal einzugeben. Dazu zählen auch PIN-Eingaben im Rahmen einer Bezahlfunktion. Eine Bezahlfunktion kann jedoch weiterhin genutzt werden, wenn zum Beispiel lediglich eine Unterschrift des Kunden/Patienten benötigt wird. Aktuell gibt es lediglich ein zugelassenes ehealth-bcs-kartenterminal, das eine Bezahlfunktion anbietet (medhybrid von Hypercom/medline). Dieses Gerät wird über verschiedene Vertriebspartner, teilweise mit verändertem Namen, verkauft. Nach einem entsprechenden Update der Kartenterminalsoftware ist die Verwendung von PINs wieder möglich. 12. Sind Patientendaten in Gefahr? Nein, Patientendaten sind nicht betroffen. Bis zum Update können die Terminals ganz normal zum Einlesen der Krankenversicherungskarte verwendet werden. Ein neues Gerät ist nicht erforderlich. Die Daten der Versicherten sowohl auf der Chipkarte als auch in den Praxissystemen sind durch die Schwachstelle in der Software der Kartenterminals in keiner Weise gefährdet. Auch in den Regionen, wo die neue egk bereits im Einsatz ist, besteht keine Gefahr. Die Nutzung der egk erfordert zurzeit keine PIN-Eingabe. Folglich kann es auch keine PIN- Ausspähung an den zum Einsatz kommenden Kartenlesegeräten geben. Die egk enthält im aktuellen Einführungsschritt auch keine medizinischen Patientendaten, die ausgespäht 3

werden könnten. Eine PIN-Eingabe ist erst bei Nutzung der egk im Online-Betrieb notwendig, der aber noch in Entwicklung und noch nicht freigegeben ist. C) Konsequenzen und weiteres Vorgehen 13. Was unternimmt die KBV? Die KBV hat die Hersteller der Kartenterminals aufgefordert, die fehlende Sicherheitsfunktion unverzüglich einzubauen und den Praxen eine aktualisierte Fassung der Kartenterminalsoftware zur Verfügung zu stellen. Dazu ist für die Hersteller nur eine kleine Änderung in der Programmierung erforderlich. Die KBV hat dem Datenschutz bei der elektronischen Gesundheitskarte immer die höchste Priorität eingeräumt. Die Richtigkeit des Leitsatzes Qualität vor Schnelligkeit zeigt sich einmal mehr. Im Sinne des Vertrauens in die Telematik und der Akzeptanz der elektronischen Gesundheitskarte erwartet die KBV, dass jetzt alles darangesetzt wird, die Sicherheit wieder zu gewährleisten. 14. Wer kommt für Kosten der Nachbesserung auf? Ein für Leistungserbringer kostenneutrales Update ist eine Bedingung der KBV zur Fortführung des Basis-Rollouts. Die Frage der Refinanzierung ist aktuell in Klärung. Dies betrifft sowohl die möglichen Kosten für das Software-Update der Kartenterminals als auch die anfallenden Installationskosten (z.b. Beauftragung eines Service-Technikers). 15. Was passiert, wenn mein Kartenterminalhersteller kein Update anbietet? Die KBV setzt sich dafür ein, dass die Besitzer von Kartenterminals, deren Zulassungen entzogen werden, einen kostenneutralen Anspruch auf ein anderes Kartenterminal erhalten. Für einen Übergangszeitraum nach Entzug der Zulassung wird das alte Gerät weiter verwendbar sein. 16. Wie kann die Software eines Kartenterminals aktualisiert werden? Jedes ehealth-bcs-kartenterminal ist update-fähig. Die Umsetzung dieser Update- Fähigkeit ist allerdings herstellerabhängig. Es ist häufig verbreitet, dass für die Installation eines Updates am Kartenterminal die Eingabe einer so genannten Administrations-PIN notwendig wird. Diese PIN ist zumeist bei der erstmaligen Installation des Gerätes durch den Arzt festzulegen. 17. Sind weiterhin Geräte für den Basis-Rollout erhältlich? Aktuell können weiter Geräte im Rahmen des Basis-Rollout gekauft werden. Vertragsärzte und Vertragspsychotherapeuten, die sich vor der Einführung der egk im Oktober noch ein 4

Terminal kaufen müssen, sollten sich vom Hersteller am besten bestätigen lassen, dass er die Software so schnell wie möglich aktualisiert. 18. Werden der Basis-Rollout und die Einführung der egk fortgesetzt? Sollte sich abzeichnen, dass die Hersteller die Schwachstelle nicht umgehend beheben oder unerwartete Kosten entstehen, wird die KBV einen Stopp des Basis-Rollouts der Terminals prüfen. 19. Ist der Zeitplan für den Basis-Rollout einhaltbar? Der Zeitplan ist einhaltbar, da die Kartenterminals ohne Gefährdung aktuell gekauft und für das Einlesen der egk genutzt werden können. Um zeitnah die Geräte zur Erstellung von elektronischen Unterschriften wieder nutzen zu können, muss ein Update der Geräte stattfinden. Die Kartenterminalhersteller sind dazu aufgefordert, zeitnah Updates zur Verfügung zu stellen. 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback