Sicherheitslücke in der Telematikinfrastruktur Secunet-Konnektoren speichern Seriennummern

Von Natalie Ziebolz

Die Gesundheitskarten-Terminals sind über Konnektoren mit der Telematikinfrastruktur verbunden. Der DSGVO und den Spezifikationen der Gematik zufolge, dürfen diese keine personenbezogenen Daten aufzeichnen. Genau das ist nun jedoch passiert. Das sagen Secunet und Gematik zu dem Fall.

Anbieter zum Thema

Kommt es beim Einlesen der Gesundheitskarte und der damit verbundenen Überprüfung der Sichheitszertifikate zu Fehlern, speichern die Konnektoren von Secunet die Seriennummer des jeweiligen eGK-Zertifikats
Kommt es beim Einlesen der Gesundheitskarte und der damit verbundenen Überprüfung der Sichheitszertifikate zu Fehlern, speichern die Konnektoren von Secunet die Seriennummer des jeweiligen eGK-Zertifikats
(© contrastwerkstatt – stock.adobe.com)

Mitte vergangenen Jahres wurden die Konnektoren von Secunet zugelassen, um die Gesundheitskarten-Terminals mit der Telematikinfrastruktur zu verbinden. Nun machen diese jedoch aufgrund von Datenschutzproblemen Schlagzeilen: Demnach werden personenbezogene Daten der Versicherten gespeichert – und dies verstößt gegen die Datenschutzgrundverordnung (DSGVO).

Die Kassenärztliche Bundesvereinigung (KBV) ist daher in Alarmbereitschaft. In einem Schreiben richtete sich der Verband direkt an Gematik-Geschäftsführer Markus Leyck Dieken und fordert schnellstmöglich eine Handlungsempfehlung sowie die Behebung des Problems. Es sei Aufgabe der Gematik, im Rahmen des Zulassungsprozesses zu prüfen, dass Konnektoren die in den Spezifikationen festgelegten datenschutzrechtlichen Anforderungen erfüllen. Auf diese Prüfung müssten sich Ärzte und Patienten verlassen können, so der Verband.

Seriennummern gespeichert

Doch wie schlimm ist das Problem überhaupt? „Während des Betriebs des Secunet-Konnektors müssen nach den Spezifikationen der Gematik eine Vielzahl von Zertifikaten geprüft werden. Dies umfasst unter anderem die Zertifikate der elektronischen Gesundheitskarte“, erklärt Secunet in einer Stellungnahme. „Schlägt die Online-Prüfung der Zertifikate fehl, so wird im Konnektor ein Log-Eintrag erzeugt, der auch die Seriennummer des jeweiligen Zertifikats enthält.“

Theoretisch sind darüber Rückschlüsse zum Patienten möglich, die Gematik stellt jedoch auf Nachfrage klar: „Die Seriennummer des eGK-Zertifikats ist ein pseudonymes Datum und könnte ausschließlich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden. Der TSP wiederum hat keinen Zugriff auf die betroffenen Protokolle. Nur die Leistungserbringer-Institutionen und gegebenenfalls die von ihnen hierzu beauftragten Dienstleister können auf Konnektoren-Protokolle zugreifen.“ Secunet ergänzt, dass in der Seriennummer zudem keine Informationen darüber enthalten seien, welcher TSP Zertifikatsherausgeber ist. Aus diesen Gründen seien die Zertifikats-Seriennummern nicht als personenbezogene Daten zu werten. „Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor“, so das Cybersecurity-Unternehmen.

Updates geplant

„Gleichwohl“, stellt die Gematik klar, „ist es nicht Intention der Spezifikation, wenn in den Konnektoren des Herstellers bei der Prüfung der eGK die Seriennummer eines Zertifikats der eGK in den internen Protokollen festgehalten wird. Der Hersteller wird dies mittels Update für die betroffenen Konnektoren beheben.“ Die Gematik empfiehlt Ärzten, dieses Update zu installieren, sobald es verfügbar ist. Wann genau das sein wird, hat Secunet jedoch auch auf Nachfrage nicht gesagt.

Das IT-Unternehmen bestätigt jedoch, dem Wunsch der Gematik entsprechen zu wollen und die Protokollierung so anzupassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können. Falls ein Fehler wegen einer gesperrten eGK zustande kommt, hat Secunet zudem bereits eine Lösung parat: „Durch Änderung des Loglevels auf FATAL kann für diesen Fehlerfall sofort ohne Firmwareupdate die Protokollierung der Seriennummer unterbunden werden.“

Ärzte brauchen sich aus Sicht der Gematik zudem keine Sorgen machen. Die Organisation geht rechtlich davon aus, „dass Leistungserbringer ihren datenschutzrechtlichen Sorgfaltspflichten nach der DSGVO hinreichend nachkommen, solange diese die Geräte bestimmungsgemäß verwenden und verfügbare Updates installieren“.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48041059)