I. Neue Gefährdungsszenarien durch das Aufbringen des biometrischen Passbildes auf die eGK - II.
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
I. Neue Gefährdungsszenarien durch das Aufbringen des biometrischen Passbildes auf die eGK II. Gefährdungen wegen fehlender Verschlüsselung der Daten auf der eGK I. Neue Gefährdungsszenarien durch das Aufbringen des biometrisch orientierten Passbildes auf die eGK im Vergleich zum Personalausweis Die Standardschreiben der Kassen für die Einforderung des Passbildes für die Gesundheitskarte leitet an wie das Passbild auszusehen hat und wie wir darauf abgebildet sein sollen. Der Augenbereich soll in jede Richtung zum Rand mittig im Passbild sein, das Gesicht frontal, die Gesichtshöhe mindestens 35 cm betragen und das Gesicht muss in vollem Umfang erkennbar sein. Eine vollständige Gesichtserkennung ist nur möglich in dem das Passbild, ohne Drehen des Kopfes in eine Profilansicht aufgenommen wird. Damit orientieren sich die Vorgaben an den Anforderungen biometrischer Passbilder im Personalausweis. Vergleichen Sie die gegebenen Vorgaben ihrer KK zur Übersendung des Passbildes mit den verfügbaren Beschreibungen der Einwohnermeldeämter und Sie werden den hohen Deckungsgrad der Beschreibungen feststellen. (siehe Beispiel). Die Aufbringung des biometrisch orientierten Passbildes auf die elektronische Gesundheitskarte soll mehr Sicherheit bringen gegen Mißbrauch, in dem ein weiteres offen einsehbares Identifikationsmerkmal hinzugefügt wird. Im Gegensatz zum Personalausweis sind jedoch keine hochwertigen zusätzlichen Sicherheitsmerkmale auf der elektronischen Gesundheitskarte enthalten, wie z.B. holographische und kinematische Elemente, mehrfarbige Guillochen, Mikroschriften, UV-Aufdrucke, Laserkippbilder oder andere Merkmale. Diese Sicherheitsmerkmale basieren auf den hohen Anforderungen, die vom Staat in führender Position an die Personalausweise der Bürger gestellt werden. Die souveräne Oberhoheit eines Staates liegt, neben vielen anderen Ausdrucksformen, in dem unantastbaren Monopol, einzigartige Ausweispapiere zu produzieren, um sein großes Sicherheitsinteresse in jeder erdenklichen Hinsicht wahrzunehmen. In dieser Hinsicht hinkt ein direkter Vergleich zur elektronischen Gesundheitskarte, denn es würde eine umfangreiche Expertise erfordern die Aspekte und Feinheiten dieser Regelungen für den Staat und die Bürger heraus zu arbeiten, um sie mit der Situation des eGK/TI-Systems zu vergleichen. In einem wichtigen Aspekt sind Vergleiche hilfreich, um die Zielsetzungen der eGK und die damit verbundenen Gefahren aufzuklären. Die Diskrepanz der Qualität der Sicherheitsmerkmale zwischen Personalausweis und eGK legen nahe, dass das Sicherheitsbedürfnis des Staates für den Personalausweis weitaus höher bewertet wird als die Sicherung der Medizin- und Gesundheitsdaten der Bürger. Die eGK ist und bleibt eine Plastikkarte mit integriertem Mikrochip. In der jetzigen Situation, in der die Daten auf der neuen eGK noch nicht hochgradig verschlüsselt sind und auch in Zukunft in verschieden beschriebenen Interaktionsszenarien ohne PIN-
Abfrage ausgelesen werden sollen, entsteht mit der Aufbringung des Passbildes eine vollständig gegenteilige Situation für eine neue Form der Gefährdung. Die neuartige Gefährdung basiert auf der Tatsache, dass Chipkarten mit handelsüblichen Druckern, für diesen Zweck, selbst bedruckt werden können. Kartendrucker sind nicht teuer und leicht zu handhaben, siehe z.B. http://www.interprinter.de Eine denkbare Manipulation der eGK besteht darin, das auf der eGK aufgedruckte Bild einer Person mit Nitro abzuwischen und über einem Chipkartendrucker mit einem anderen Personenbild zu überdrucken. In der Arztpraxis wird dem neuen Merkmal vertraut, passt das Bild zur Person und wird nicht eine weitere identifizierende Information zusätzlich verlangt, könnten so ärztliche Leistungen erschlichen werden. Für einen längeren Zeitraum, in dem die Daten weiter in ungeschützter Form im XML- Format auf der eGK vorliegen, wird es nicht erforderlich sein eine PIN einzugeben. Selbst wenn die Eingabe der PIN später dazukommt ist dies kein Hinderungsgrund die Chipkarte für Manipulationen zu überdrucken. Vier Szenarien für Manipulationen sind denkbar: 1 Der Diebstahl der eGK oder einer Handtasche einer versicherten Person, die ihre eGK ggf. zusammen mit dem Zettel der aufgeschriebenen PIN aufbewahrt, weil Sie sich diese nicht merken kann. 2 Das Abschauen der PIN während der Eingabe, um danach die eGK zu entwenden und zu überdrucken. 3 Der Konnektor wird gehackt und ein Keylogger installiert, der die Tastaturanschläge auf dem Chipkartenterminal abgreift und damit die PIN erfährt, um danach die eGK zu entwenden und zu überdrucken ( http://de.wikipedia.org/wiki/Keylogger ) 4 Über die bekannt gewordene Sicherheitsschwachstelle der von der gematik zugelassenen ehealth-BCS-Terminals. Bei der geplanten Online-Anbindung besteht die Gefahr, dass bei Anwendungen, die eine PIN-Eingabe erfordern, diese mittels einer sog. Phishing-Attacke ausgelesen werden könnten. Damit sind der Datenschutz und die Datensicherheit nicht gewährleistet. (Sicherheitsschwachstelle wurde in der Resolution der Vertreterversammlung der KZBV zur Einführung der elektronischen Gesundheitskarte (eGK) am 9.6.2011 veröffentlicht) Die bisherige eGK verführte nicht dazu, über ein Passbild, eine bestehende Sicherheit zu suggerieren. Bei Vorlage der alten eGK in den Praxen waren entweder die Personen bekannt oder es wurde vielleicht noch zusätzlich die Vorlage des Personalausweises
oder Führerscheins verlangt, abgesehen davon dass dafür die Rechtsgrundlage strittig ist. In den restlichen Fällen konnte Mißbrauch mit der alten Karte betrieben werden, wofür aber keine aussagefähigen Statistiken gefunden werden konnten. Nun entsteht genau die gegenteilige Situation mit der neuen eGK, anstatt mehr Sicherheit zu schaffen werden mehr Gefährdungen erzeugt, die u.a darauf beruhen, dass einer Chipkarte mit Passbild, deren Motiv mit der Person übereinstimmt, die sie vorlegt, hochgradig vertrauenswürdig erscheint. Wozu dann noch weiter Nachfragen und Prüfen? Mehr Sicherheit entsteht ganz sicher nicht über das Passbild, im Gegenteil im Bereich der Datenerfassung und Datenverarbeitung in den Untiefen des eGK/TI-Systems entstehen weitere gefährdende Situationen, die bisher nicht aufgefallen sind. Die Erfassung der biometrischen Passbilder führt zu einer zentralen Speicherung der Passbilder, in der mehrere Kopien des Passbildes einer Personen über die üblichen Datensicherungsverfahren in Rechenzentren über Festplatten und Bandsicherungen (z.B. IBM-Storage oder Netapp Storage-Systeme), über die Sicherungsverfahren virtueller Maschinen und Daten, z.B. über Veam-Backup für Redundanz hergestellt werden. Dadurch werden Passbilder in biometrischer Qualität vielfach repliziert und einem Datenverarbeitungsprozess übergeben, in einer Umgebung, die bei weitem nicht so abgesichert ist wie die Produktionsumgebung für Personalausweise. Weiterhin dürfen die Krankenkassen für die Auftragsdatenverarbeitung, die dafür erforderlichen Daten für die Herstellung und den Versand der Krankenversicherungskarte, z.B. für die Lichtbildanforderung, an Fremdunternehmen übergeben, wie z.B. dem Unternehmen Swiss Post (ehemals Systemform MediCard GmbH), Systemformstraße 5, 83209 Prien am Chiemsee. Damit entstehen technisch und örtlich unterschiedliche Speicherorte und es entstehen mehrfache Kopien zur Sicherung und zur Produktion der eGK. Entgegen jeder möglichen Aussage, die Passbilder werden nicht dauerhaft gespeichert, was im übrigen eine optionale Kontrolle der Passbilder nach der Aufbringung und Auslieferung unmöglich machen würde, ist der komplette Prozess im eGK/TI-System nicht beschrieben. Insbesondere besteht hohe Unsicherheit über die vielfache Replikation der biometrischen Passbilder, ihres Verbleibs, ihrer Aufbewahrung, Sicherung und Löschung auf unterschiedlichen Datenträgern. Wegen der beschriebenen Möglichkeit, die eGK mit jedem dafür geeigneten handelsüblichen Chipartendrucker mit einem anderen Passbild zu verfälschen, besteht schon jetzt die Möglichkeit geeignete Bilder einer Person im Internet zu suchen, die eGK zu entwenden und mit einem anderen manipulierten Passbild zu überdrucken. Zusätzlich sollte die zukünftige Entwicklung der Bildverarbeitung im Internet berücksichtigt werden! Sie haben die Ausführungen zu den Metadaten kennengelernt und Sie haben vielleicht schon davon gehört das Google seine Suche nach Bildern im Internet verbessern will. Bisher ist es über eine Suchmaschine nur möglich zielgerichtet Bilder zu finden, in
dem der vergebene Name des Bildes ausgewertet wird. Sucht man Bilder zu den Alpen
dann werden die Bildnamen oder die Bildquelle, in in Ihrem nahen textlichen Kontext,
z.B. einer Geschichte über die Alpen, ausgewertet.
Es ist aber bisher nicht möglich direkt und effektiv den Inhalt der Bilder weltweit mit
Bilderfassungssoftware auszuwerten. Wenn ein Bild alpen.jpg heißt, aber nicht die
Alpen zeigt, sondern das Meer, hat man ein Problem. Dies soll sich grundlegend
ändern, in dem intelligente Bildverarbeitungssoftware die Bildinhalte auswertet.
Zusätzlich kommt wieder XML und die nächste Stufe des Internets hinzu, das
semantische Web, in Form von ausgeklügelten Metainformationen, die die Inhalte der
Bilder, sowie wir sie sehen, ergänzen und damit die zielgerichtete Auswertung
optimieren.
Das heißt, die Handhabung der biometrischen Passbilder mit XML-Technologien und
Metadaten führt dazu, dass diese sensiblen Daten in ein weltweites Austauschformat
umgewandelt werden, was prinzipiell eine Einbindung der visuellen Information einer
Person in alle anderen personenbeziehbaren Informationen und Datenbanken
erleichtert.
Besonders gravierend sind die offen verfügbaren Passbilder im Falle von Datenlecks
des eGK/TI-Systems. Durch die Kombination der nicht geschützten
Versicherungsnummer und der biometrischen Passbilder entsteht eine Offenlegung der
Privatsphäre, die nicht mehr korrigiert werden kann.
Warum das eGK/TI-System nicht an die Möglichkeit gedacht dass Passbild in
verschlüsselter Form vorzuhalten und erst zusammen beim Stecken der Karte auf
einem Display mit anzuzeigen ist eine weitere offene Fragen, die man stellen kann.
II. Gefährdungen wegen fehlender Verschlüsselung der Daten auf der eGK
Aktuell existieren eine ganze Reihe von Gefährdungen, die mit Umständen der
technischen Entwicklung des eGK/TI-Systems zusammenhängen. Dazu gehören:
• der offen einsehbare Charakter der personenbezogenenen Informationen auf
der Karte zusammen mit dem Passbild
• keine Verschlüsselung der Daten auf der eGK, die im XML-Format mit
Metadaten ergänzt vorliegen
• Vorspiegelung von Sicherheit durch ein aufgebrachtes biometrisches Passbild
• Großflächiger Rollout der eGK trotz fehlenden Ausbau's der telematischen
Infrastruktur
• Ausnahmebedingungen für das Auslesen von Daten, die eine PIN-Eingabe
überflüssig machen, wie z.B. das geplante Auslesen des Notfalldatensatzes und
der digitalen Information über die Organspendeerklärung
Die aktuellen Folgen sind:
1. Offenlegung eines erhöhten Datenumfangs personenbezogener Daten auf der
eGK
2. Offenlegung personenbezogener Daten in der im Aufbau befindlichen
telematischen Infrastruktur in den Rechenzentren
3. Einsehbarkeit geschützter Daten für nicht autorisierte Personen4. Offenlegung sensibler schützenswerter Daten, die zu Nachteilen im Leben und
Beruf führen
5. Massives Migrationsproblem* der Datenumwandlung von komprimierten und
nicht verschlüsselten Daten in verschlüsselt verkettete Datensätze
*
Migration bezeichnet in IT-Systemen den Umzug von Systemen in eine neue
Umgebung, die weiterentwickelte Technologien beeinhaltet, meistens verbunden mit
Software-Updates. Durch die Staffelung der Rolloutphasen mit zunächst
unverschlüsselten Daten, die später verschlüsselt werden, sind Änderungsschritte
notwendig die bisher nicht ausreichend beschrieben worden sind und wo nicht
sichergestellt ist, dass die unsicheren Daten in jeder Hinsicht, bezogen auf jede
existierende Datenkopie, ungewandelt oder gelöscht werden.
Rolf D. Lenkewitz
Systemadministrator
Bergstraße 6
87769 Oberrieden
0163 170 68 09
r.lenkewitz@ocmts.de
http://www.it-ler-analysiert-die-egk.deSie können auch lesen
