Durch die Hintertür
Hacker-Experiment: Wie sich Kartenterminals in Kliniken und Arztpraxen manipulieren lassen
Wenn Sie in letzter Zeit beim Arzt waren, dann haben Sie Ihre Gesundheitskarte mit hoher Wahrscheinlichkeit in ein Kartenterminal von Ingenico gesteckt. Diese Geräte sind versiegelt und gegen Manipulationen geschützt. Doch das hält einen Angreifer nur kurz auf.
Die kleinen Kartenterminals „ORGA 6141 online“ vom Hersteller Ingenico Healthcare ähneln einem EC-Kartenleser. Dort hinein stecken nicht nur Patienten ihre elektronische Gesundheitskarten, sondern auch Ärzte ihren elektronischen Ausweis für Heilberufler nebst Sicherheitskarten der Praxis. Ärzte authentifizieren sich nach dem Einstecken ihrer Karte über eine PIN, um allerlei Patientendaten lesen und schreiben zu dürfen. Dazu zählen aktuell die Stamm- und Notfalldaten, elektronische Arztbriefe sowie E-Medikationspläne. Ab 2021 kommen die elektronische Patientenakte sowie E-Rezepte hinzu.
Weil die Authentifizierung über die Terminals sicherheitskritisch ist, sind sie mit Aufklebern des Bundesamts für Sicherheit in der Informationstechnik (BSI) versiegelt. Sie sollen verhindern, dass das Gehäuse des Terminals unbemerkt geöffnet und die Elektronik manipuliert wird. Ärzte sind zudem aufgefordert, Terminals nur über eine „sichere Lieferkette“ zu beziehen, damit ihnen kein gehacktes Terminal untergeschoben wird.