Zugriff auf Gesundheitsdaten

CCC: ePA ist nicht sicher

, Uhr
Der CCC warnt vor Sicherheitslücken in der ePA, die ab Mitte Januar 2024 eingeführt wird.Foto: Andrea Gaitanides/stock.adobe.com
Berlin -

Sicherheitsforschende haben auf dem diesjährigen 38. Chaos Communication Congress (kurz: 38C3) des Chaos Computer Clubs (CCC) gezeigt, wie einfach es ist, mit wenig Aufwand gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter zu beschaffen und so auf Gesundheitsdaten zuzugreifen. Die Gematik hat dazu bereits Stellung bezogen.

Der Kongress, der sich auf digitale Sicherheit und Technik konzentriert, beleuchtet immer wieder Schwächen in den Prozessen und dem Umgang mit Gesundheitskarten, die bereits auf der Tagung vor zwei Jahren thematisiert wurden. „Der Chaos Computer Club (CCC) begleitet die Lösungen aus dem Hause Gematik seit Jahren mit einer morbiden Faszination“, heißt es auf der Website der Organisation. „Von geplanter Obsoleszenz bei den Konnektoren über das Ident-Verfahren bis zu dem von Anfang an bescheinigten bedenklichen Kosten-Nutzen-Verhältnis waren die Projekte um die ePA von Turbulenzen begleitet“, heißt es weiter.

Eine erneute Analyse des aktuellen Stands, deren Ergebnisse auf der diesjährigen Veranstaltung des CCC präsentiert wurden, habe nun erneut „Bedenkliches“ ergeben. Immerhin wird bereits ab dem 15. Januar die ePA für alle deutschlandweit eingeführt. Zum Stichtag sollen die Krankenkassen die ePA automatisch für alle gesetzlich Versicherten anlegen, sofern diese nicht ausdrücklich widersprechen.

ePA ist nicht sicher

Man habe erneut gezeigt, wie mit geringem Aufwand und wiederholt gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschafft werden können, um auf Gesundheitsdaten zuzugreifen. Diese Sicherheitslücken liegen vor allem in den Ausgabeprozessen, den Beantragungsportalen und dem realen Umgang mit den Karten im praktischen Einsatz, wie bereits auf einem früheren Kongress des CCC demonstriert werden konnte.

Zudem konnten die Forschenden aufzeigen, dass durch Mängel in der Spezifikation Zugriffstoken für Akten beliebiger Versicherter erstellt werden können, ohne dass die Gesundheitskarten selbst vorgelegt oder eingelesen werden müssen. Dies würde es Kriminellen ermöglichen, auf die Akten von mehr als 70 Millionen Versicherten zuzugreifen.

Wie bereits bei früheren Untersuchungen gelang der Fernzugriff auf Patientenakten durch unsicher konfigurierte IT-Systeme, sowohl in den Gesundheitseinrichtungen als auch über Dienstleister-Zugänge. Dennoch soll im Rahmen der Initiative „ePA für alle“ dieses Experiment auf nahezu alle Versicherten ausgeweitet werden.

Während Sicherheitsforschende des CCC die ePA testeten, wurde am Fraunhofer-Institut das Sicherheitskonzept von einer KI überprüft und mit nur geringen Mängeln als „sicher“ bewertet. Diese Einschätzung lässt sich jedoch nicht ernsthaft als gesichert betrachten. Die Gematik hatte nach diesem Gutachten verkündet, dass die ePA für alle sicher sei – eine Einschätzung, die nun laut CCC als irreführend und fehlerhaft angesehen werden muss.

Der CCC fordere deshalb eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, eine transparente Kommunikation dieser Risiken gegenüber den Betroffenen sowie einen offenen Entwicklungsprozess über den gesamten Lebenszyklus. „Vertrauenswürdige digitale Infrastrukturen können nur entstehen, wenn der Entstehungsprozess selbst Vertrauen schafft“, betont die Organisation.

Gematik bezieht Stellung

Die Gematik hat bereits auf diese Hinweise und Forderungen reagiert: „Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen.“ Dazu zählen unter anderemdie illegale Beschaffung eines Institutionsausweises (SMC-B Karte) samt PIN, der Vertrag mit einem Zugangsdienst und eine komplexe technische Manipulation.

Die Gematik betont im engen Austausch mit den zuständigen Sicherheitsbehörden, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), zu stehen. Dieses habe bereits technische Lösungen entwickelt, um die Angriffsszenarien zu verhindern, und hat mit deren Umsetzung begonnen. „Für die ab 15. Januar startende Pilotphase bedeutet dies, dass zunächst nur die in der Modellregion teilnehmenden Leistungserbringer auf die ePA der Versicherten zugreifen können. Die elektronischen Patientenakten aller Versicherten bundesweit sind somit gut geschützt“, heißt es von Seiten der Gematik.

Vor dem bundesweiten Rollout werden technische Lösungen wie der Schutz vor missbräuchlichem Gebrauch von Telematik-Ausweisen, zusätzliche Verschlüsselung der Krankenversichertennummer, die Sensibilisierung der Nutzer und erweiterte Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung umgesetzt.

Die Gematik betont weiterin, dass die ePA nach höchsten Sicherheitsstandards entwickelt werde, die in Zusammenarbeit mit dem BSI und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) abgestimmt sind. Ein mehrstufiges Sicherheitskonzept schützte die Telematikinfrastruktur, deren Sicherheit kontinuierlich geprüft werde.

E-Rezept Gesetzgebung Gesundheitspolitik
Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
ePA: Honorar erst ab Sommer
Medikationsliste zum Start nur einsehbar
ePA: Honorar erst ab Sommer
Gesundheitspolitik: Das ändert sich 2025
ePA, Klinikreform & Telemedizin in Apotheken
Gesundheitspolitik: Das ändert sich 2025
„ePA startet als Rumpf-Akte“
Gedämpfte Erwartungen
„ePA startet als Rumpf-Akte“
2025: Noch mehr Geld für die Gematik
Erstmals mehr als 100 Millionen Euro
2025: Noch mehr Geld für die Gematik
Mehr zum Thema
Kaum CardLink in Apotheken
E-Rezept: Immer noch die alten Probleme
Digitalisierung
Mehr als 500 Millionen E-Rezepte eingelöst
Keine Honorierung, aber Kosten
Modellprojekt Hilfsmittel: Apotheken müssen für Anbindung zahlen
Mehr aus Ressort
Zusatzvereinbarung
Ab Januar neue alte Friedenspflicht beim E-Rezept
Gesund.de kooperiert mit Medatixx
Per CardLink: E-Rezept von Praxis an Apotheke
Ein Jahr lang gratis
LAV spendiert Gedisa-Mitgliedschaft

APOTHEKE ADHOC Debatte

Newsletter

Hinweis zum Newsletter & Datenschutz

Individualisierte Inhalte, exklusive News, Hintergrundinformationen, vertiefende Analysen und Expertenmeinungen – und das PLUS bei APOTHEKE ADHOC: Wir individualisieren die tägliche Pflichtlektüre, weiterhin komplett kostenfrei. Jetzt registrieren!
Jetzt anmelden