Gesundheitskarte

Sicherheit und Gesundheitskarte

Ich wollte schon länger einen ausführlicheren Beitrag zum Thema Gesundheitskarte schreiben, nur war ich mir die ganze Zeit nicht sicher, wie ich das Thema hier unterbringen könnte. Nach dem 11. September 2001 scheinen ja einige in Politik und Wirtschaft feuchte Hände bekommen zu haben, da mit einem Mal Projekte möglich waren, die aus technischer und rechtlicher Sicht sehr fragwürdig sind: Biometrie- und RFID-Pass, Vorratsdatenspeicherung, Online-Trojaner, Steuernummer, Gesundheitskarte, JobCard. Da kommt mir Kris' Blogbeitrag zur generellen Sicherheitsproblematik von Chipkarten wie der Gesundheitskarte gerade recht:

Kurz: Wenn man ein Angreifermodell für eine Sicherheitsanalyse konstruieren sollte, das für den Verteidiger möglichst pessimal ist, dann kommt etwas heraus, das einer kontaktlosen Chipkarte und ihrem typischen Benutzungsumfeld sehr, sehr ähnlich ist.

Für Fahrkarten mag das vielleicht ausreichend sein, für Zugangskontrolle eher nicht. Für Ausweise? Öh. Da wäre man schon sehr dämlich von einer Industrielobby gekauft, wenn man sich als Staat für so etwas entschiede. Ich erwarte jedenfalls auf Grund der Verteidigungssituation in diesem Szenario nicht, daß irgendeiner dieser Chip für nennenswerte Zeit einem Angriff stand hält. Nein, auch nicht die in meinem Paß und Perso.

Dass die Gesundheitskarte nicht nur von ein paar immer nörgelnden Randgruppen kritisch gesehen wird, verdeutlicht vielleicht dieser Ausschnitt einer heise-Meldung:

E-Learning-Blog: 

Einfach mal so dahingestellt

Im Rahmen eines Herz/Kreislauf-Problems könnten Versicherte verpflichtet werden, regelmäßig Fitnessstudios aufzusuchen und ihre Anwesenheit durch Stecken der Gesundheitskarte zu dokumentieren. Ebenso einfach könnten Arbeitgeber durch Stecken einer Karte ihren Zuschuss zu einer Rückentherapie dokumentieren.

Das nächste Großprojekt mit erheblichem Gefahrenpotenzial

In bester Tradition staatlicher Software-Großprojekte wird hier sehenden Auges ein weiteres extrem kostenträchtiges Prestigeprojekt angegangen, dessen Nutzen in keinem sinnvollen Verhältnis zu den Risiken und absehbaren Problemen steht. Eine erste Sichtung der Daten deutet auf eine massive Kostenexplosion bei der Einführung der Gesundheitskarte und ein weiteres Technologie-Desaster hin.

Die Sicherheits- und Zuverlässigkeitsauslegung der Software-Architektur der elektronischen Gesundheitskarte genügen den Anforderungen an ein bundesweit ganztägig im Einsatz befindliches System in keiner Weise. Im Ernstfall droht ein Totalausfall des Systems zu kritischen Zeiten, wie z. B. im Fall einer Grippeepidemie.

Quelle: Pressemitteilung des Chaos Computer Clubs vom 24. November 2006.

TollCollect, Hackerparagraph, Vorratsdatenspeicherung. Urheberrechtsnovelle. Vorratsdatenspeicherung. Die Politik hatte sich bei diesen Themen recht beratungsresistent gezeigt. Und das nächste Desaster-Projekt steht schon in den Startlöchern: die Gesundheitskarte. Einen kurzweiligen, hochinteressanten und bisweilen bizarren Einblick erhält man mit der knapp dreistündigen Chaosradiosendung vom 26. Juli 2006. Sicherheitsexperte Thomas Maus berichtet von seinen Erfahrungen mit dem Projekt. Wer es lieber ingenieurgerecht in Spiegelstrich-Aufmachung konsumieren möchte, dem sei Thomas Maus' Vortragsfolien zum Thema ans Herz gelegt.