ePA: Sicher mit Schwachstellen

Das Fraunhofer-Institut sollte die festgelegten Anforderungen im Sicherheitskonzept der ePA im Rahmen des freiwilligen und externen Gutachtens prüfen. „Das Ergebnis: Die ePA für alle ist in den geprüften Bereichen grundlegend sicher“, so die Gematik. Integrität und Sicherheit der kritischen Infrastruktur seien gewährleistet.

Aber auch die Gematik weist darauf hin, dass in dem 92-seitigen Abschlussbericht ergänzende Maßnahmen zur Optimierung durch das unabhängige Forschungsteam empfohlen werden. „Die Gematik hat bereits erste Schritte eingeleitet, um die in ihrem Zuständigkeitsbereich liegenden Verbesserungsvorschläge umzusetzen.“

Vier Schwachstellen

Für ihre Studie simulierte das Team mögliche Cyberangriffe auf die ePA, wobei 21 Schwachstellen identifiziert werden konnten. Die meisten davon sind als „gering“ eingestuft (elf), sechs jedoch als „mittel und vier als „hoch“. Zu letzteren zählten die SIT-Forscher beispielsweise die zu große Zeitspanne von bis zu 72 Stunden Verzögerung an Wochenenden und Feiertagen, bis die Telematik-Anbieter eine Schwachstellen bewertet haben müssen.

Als Handlungsempfehlung gibt das SIT an, dass die Bewertung von Schwachstellen an Wochenenden und Feiertagen deutlich schneller erfolgen sollte, ähnlich dem Analysezeitraum an Werktagen. Zudem sollte ein Notdienst eingerichtet werden.

Eine weitere Schwachstelle könnte unter Umständen dazu führen, dass Daten unwiederbringlich verloren gehen. Zum Angriff auf diese Schwachstelle wären Mitarbeiter:innen, sogenannte „Innentäter“ aktuell in der Lage. Mit bestimmten Sicherheitsvorkehrungen ließe sich das vermeiden. Diese müssten auch für „Zulieferer“ (Software-Entwickler oder Hardwarehersteller) enger definiert werden, damit über diese Wege beispielsweise kein Schad-Code ins System gelangt.

Insgesamt zieht die Gematik aber trotzdem ein positives Fazit: „Die Ergebnisse zeigen, dass die Grundarchitektur der ePA Schutz gegen viele potenzielle Bedrohungen bietet. In kleinerem Umfang wurden spezifische Schwachstellen ermittelt, die behoben werden, um die Sicherheit weiter zu erhöhen.“

Was passiert mit den Daten?

Die Daten werden pseudonymisiert an das Forschungsdatenzentrum Gesundheit (FDZ) „ausgeleitet“. Das FDZ werde derzeit im Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) eingerichtet, so die Gematik. Genutzt werden sollen die Daten ausschließlich auf Antrag beim FDZ Gesundheit – „für gesetzlich vorgesehene Zwecke und innerhalb einer sicheren Verarbeitungsumgebung“.

Patient:innen können zusätzlich auf Wunsch folgende Dokumente in die ePA laden lassen:

• Elektronische Arbeitsunfähigkeitsbescheinigungen (eAU)
• Daten im Rahmen eines Disease-Management-Programms (DMP)
• Daten zu Reha-Maßnahmen und Heilbehandlungen
• Daten der Pflege und der pflegerischen Versorgung
• Daten aus einer digitalen Gesundheitsanwendung (DiGA)
• Hinweise zur Organspende oder zur Patientenverfügung

Medizinisches Fachpersonal soll dann nur im Behandlungskontext auf die Daten zugreifen, wenn zuvor die elektronische Gesundheitskarte (eGK) eingelesen wurde. Der Zugriff ist standardmäßig auf 90 Tage für Praxen, Krankenhäuser, Kliniken, Pflege- und Reha-Einrichtungen begrenzt. Apotheken bekommen drei Tage Zugriff. Patient:innen und Patienten können den Zugriff über eine ePA-App auch frühzeitig beenden oder verlängern, beispielsweise für die Hausarztpraxis, so die Gematik.