ePA: Bundesregierung hat keine Bedenken
Theoretisch sollte die elektronische Patientenakte (ePA) für alle vor fünf Tagen in den bundesweiten Rollout gehen. Doch spätestens die vom Chaos Computer Club (CCC) öffentlich gemachten Sicherheitslücken schoben den großen Start nach hinten. Es folgten sicherheitsrelevante Anpassungen und die Bundesregierung sieht nun keine weiteren Probleme mehr: Der bundesweiten Einführung stehen demnach keine Sicherheitsbedenken entgegen, so die Antwort auf eine Kleine Anfrage der Gruppe Die Linke.
Die ePA für alle könne sicher von Praxen, Krankenhäusern, Apotheken und Patienten genutzt werden, heißt es in der Antwort auf die insgesamt 41 Fragen der Gruppe unter Heidi Reichinnek und Sören Pellmann. Bedenken in Sachen ePA hatte die Abgeordnete und gesundheitspolitische Sprecherin Kathrin Vogler in der Vergangenheit immer wieder geäußert.
Die Gruppe wollte Ende Januar unter anderem wissen, welche Maßnahmen nach den Hinweisen des CCC ergriffen wurden. Die Bedenken würden sehr ernst genommen, so die Bundesregierung und das Bundesgesundheitsministerium (BMG) und die Gematik stünden im intensiven Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Es seien zudem technische Lösungen zur Unterbindung der Angriffsszenarien erstellt worden, die bis zum bundesweiten Rollout noch umgesetzt würden. „Dazu gehört insbesondere, dass organisatorisch sowohl die Prozesse zur Herausgabe als auch zur Sperrung von Karten sowie technisch das VSDM++-Verfahren nachgeschärft werden. Gleichzeitig werden zusätzliche Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung implementiert. Somit steht weder der kontrollierten Inbetriebnahme in den Modellregionen noch dem bundesweiten Rollout nach Umsetzung der Maßnahmen etwas entgegen.“
Wie auch schon Bundesgesundheitsminister Karl Lauterbach (SPD) selbst mitteilte, rechne man mit dem bundesweiten Start „Anfang des zweiten Quartals“. Für den Start seien zwei Kriterien entscheidend: „Zum einen muss sich die ePA in den Modellregionen bewähren. Zum anderen müssen weitere technische Maßnahmen zur Erhöhung der Sicherheit in Abstimmung mit dem BSI umgesetzt und abgeschlossen sein.“
Seit wann waren Lücken bekannt?
Zudem wollten Vogler und andere Gruppenmitglieder wissen, seit wann man von den Sicherheitslücken wusste. „Die Gematik wurde Ende August des Jahres 2024 von externen Sicherheitsforschenden auf eine Schwachstelle hingewiesen“, so die Bundesregierung – auch die Sicherheitsforschenden des CCC sagten dies Ende Dezember. „Dabei wurden weder die konkrete Umsetzung eines Angriffs noch alle beim Vortrag am 27. Dezember 2024 beschriebenen Lücken dargestellt. Es handelte sich zu diesem Zeitpunkt um ein theoretisches Szenario, dessen Eintritt durch die Gematik als unwahrscheinlich eingestuft wurde, da keine Indikatoren einer Schwächung bestehender Sicherheitsmaßnahmen identifiziert werden konnten“, so die Bundesregierung weiter. Mitte Dezember fand demnach erst ein Termin statt, bei dem die Sicherheitsforschenden ihre Vorgehensweise genauer darstellten.
Bei dem vom CCC dargestellten Einfallstor über die Institutionskarten (SMC-B) handele es sich ausdrücklich nicht um „eine Lücke in der Spezifikation der Gematik. Vielmehr kann der Angriff nur erfolgen, wenn man sich unberechtigt Zugriff zur Telematikinfrastruktur beschafft. Dies ist strafbar“, heißt es in der nun vorgelegten Antwort.
„Durch das vom CCC aufgezeigte Angriffsszenario ist grundsätzlich kein gezielter Zugriff auf eine ePA einer bestimmten Person möglich. Für einen gezielten Angriff müssten weitere Angriffe auf personenbezogene Daten einer versicherten Person erfolgen“, stellt die Bundesregierung zudem klar. „Durch die mit dem BSI abgestimmten Maßnahmen soll sichergestellt werden, dass ein Zugriff auf eine ePA nur im Behandlungskontext erfolgt. Die Anzahl neuer Befugnisse in einer ePA wird sinnvoll beschränkt, und das aktive Erkennen von missbräuchlichen Handlungen gestärkt.“ Auch der Drei-Tage-Zugriff auf die ePA für Apotheken ist aus diesen sicherheitsrelevanten Aspekten gesetzt worden.
