Logo Aerzteverlagszeitung
ArchivÖÄZ 2017ÖÄZ 3 - 10.02.2017

Datenmissbrauch: ELGA als Ziel von Hackern


Der Gesundheitssektor ist weltweit das häufigste Ziel von Hacker-Angriffen. Auch ELGA wird laut Experten ein attraktives Ziel sein – oder ist es sogar jetzt schon. Sicherheitslücken gibt es jedenfalls: Jeder, der an einen Usernamen und ein Passwort gelangt, kann in ELGA eingreifen.


„Digitale Gesundheitsdaten sind sehr begehrt, lukrativ und leider auch sehr anfällig“ – Univ. Prof. Thomas Szekeres, Präsident der Ärztekammer Wien, warnte kürzlich bei einer Pressekonferenz erneut vor der Gefahr des Datenmissbrauchs bei ELGA. Cybersecurity- Experte Thomas Stubbings ist sich sicher, dass ELGA nicht sicher ist: „Auch ELGA wird Ziel von Angriffen sein – oder ist es sogar jetzt schon.“ Er hat mit seinem Team im Auftrag der Ärztekammer Wien anhand von öffentlichen Dokumenten analysiert, wie anfällig ELGA für Angriffe ist.

„ELGA setzt auf ein dezentrales föderales Identitätsmanagement und Berechtigungskonzept – und genau das ist das Kernproblem“, betonte Stubbings. ELGA vertraut darauf, dass die Identitäten in der Peripherie, also an den Endpunkten (PCs, Tablets etc.) in den Krankenhäusern und Einrichtungen korrekt und sicher sind. „Das ist aber komplett unrealistisch“, stellte er klar. Wer an Username und Passwort gelangt, hat alle Berechtigungen, um in ELGA einzugreifen. Mehr braucht es nicht, um Gesundheitsdaten abzurufen, einzugeben, zu verändern etc.

Wie unsicher Passwörter zur alleinigen Authentifizierung sind, zeigen Hacker-Angriffe regelmäßig: Zuletzt wurde beim USamerikanischen Internet-Riesen „Yahoo“ auf diese Art eine Milliarde Userdaten gestohlen.

Auch durch Schadsoftware kompromittierte Endgeräte sind eine Sicherheitslücke: Sogar die ELGA GmbH geht in ihrer Risikoanalyse davon aus, dass schon jetzt jedes fünfte Gerät kompromittiert ist. Die Liste der Schwachstellen geht weiter: Die Protokollierung der Zugriffe ist nicht eindeutig; im Krankenhaus kann auch ohne Stecken der E-Card durch eine „permanente Kontaktbestätigung“ auf Patientendaten zugegriffen werden etc. Alles Schwachstellen, die Hackern den Missbrauch erleichtern. Es stimmt, dass auch jetzt schon Daten aus Krankenhäusern gestohlen werden können, aber „mit ELGA vergrößern sich Angriffsfläche und Auswirkungen dramatisch“, führte Stubbings vor Augen. Dann geht es nicht „nur“ um die Daten von einem einzelnen Krankenhaus, sondern im schlimmsten Fall um alle in ELGA gespeicherten Daten – von allen Österreichern, die nicht im Opt out sind. „Diese Bedrohungsszenarien sind keine Mythen, sie sind real“, warnte Johannes Steinhart, Vize-Präsident und Kurienobmann der niedergelassenen Ärzte in Wien. Für ihn ist es „schleierhaft“, warum die Verantwortlichen nicht mehr Wert auf die Sicherheit von ELGA legen. Steinhart und Szekeres sind sich jedenfalls einig: Ohne entsprechende Sicherheitslösung und Usability für Ärzte „darf ELGA nicht flächendeckend ausgerollt werden“.

Die ÖÄK fordert darüber hinaus seit langem, dass sämtliche Daten nur verschlüsselt abgespeichert und versandt werden dürfen sowie dass alle Verantwortlichkeiten innerhalb von ELGA eindeutig zu definieren sind.


Die Forderungen

Damit die Sicherheit von ELGA gewährleistet ist, fordert die Ärztekammer:

  • die Einführung einer zentralen Benutzerverwaltung für alle ELGA-berechtigten Anwender;
  • die Einführung einer verpflichtenden separaten Authentifizierung beim Einstieg in ELGA durch jeden ELGA-User;
  • die Verwendung einer starken Zwei-Faktor-Authentifizierung für Ärzte; das heißt durch Passwort und Token oder personalisierte SmartCard;
  • die Einführung einer flächendeckenden digitalen Signatur von Gesundheitsdokumenten;
  • die regelmäßige Notifikation an Patienten über jene Daten, die über sie gespeichert sind und die abgerufen werden, zum Beispiel über SMS oder E-Mail.



Gesundheitsdaten: lukratives Geschäft

Für Hacker sind digitale Gesundheitsdaten ein attraktives Ziel; der Gesundheitssektor ist laut dem US-amerikanischen IT-Unternehmen IBM („Cyber Security Intelligence Index 2016“) von allen Branchen am häufigsten von Angriffen betroffen. Die Anzahl solcher Vorfälle hat 2015 ein nie dagewesenes Ausmaß erreicht: Allein in diesem Jahr waren weltweit 100 Millionen Gesundheitsdaten gefährdet. Eine digitale Krankenakte wurde im Darknet – quasi am Internet-Schwarzmarkt – im Frühjahr 2014 um ganze 50 US-Dollar gehandelt, wie das FBI bekanntgab.




© Österreichische Ärztezeitung Nr. 3 / 10.02.2017