Fraunhofer-Gutachten

ePA: Sicher mit Schwachstellen

, Uhr
Im Auftrag der Gematik hat das Fraunhofer-Institut die Sicherheit der ePa geprüft.Foto: APOTHEKE ADHOC
Berlin -

Die neue elektronische Patientenakte (ePA), die als „ePA für alle“ Anfang 2025 kommt, ist sicher. So lautet das Fazit, das ein Gutachten des Fraunhofer-Institut für Sichere Informationstechnologie SIT im Auftrag der Gematik ergeben hat. Es hätten sich jedoch auch vier größere Schwachstellen offenbart.

Das Fraunhofer-Institut sollte die festgelegten Anforderungen im Sicherheitskonzept der ePA im Rahmen des freiwilligen und externen Gutachtens prüfen. „Das Ergebnis: Die ePA für alle ist in den geprüften Bereichen grundlegend sicher“, so die Gematik. Integrität und Sicherheit der kritischen Infrastruktur seien gewährleistet.

Aber auch die Gematik weist darauf hin, dass in dem 92-seitigen Abschlussbericht ergänzende Maßnahmen zur Optimierung durch das unabhängige Forschungsteam empfohlen werden. „Die Gematik hat bereits erste Schritte eingeleitet, um die in ihrem Zuständigkeitsbereich liegenden Verbesserungsvorschläge umzusetzen.“

Vier Schwachstellen

Für ihre Studie simulierte das Team mögliche Cyberangriffe auf die ePA, wobei 21 Schwachstellen identifiziert werden konnten. Die meisten davon sind als „gering“ eingestuft (elf), sechs jedoch als „mittel und vier als „hoch“. Zu letzteren zählten die SIT-Forscher beispielsweise die zu große Zeitspanne von bis zu 72 Stunden Verzögerung an Wochenenden und Feiertagen, bis die Telematik-Anbieter eine Schwachstellen bewertet haben müssen.

Als Handlungsempfehlung gibt das SIT an, dass die Bewertung von Schwachstellen an Wochenenden und Feiertagen deutlich schneller erfolgen sollte, ähnlich dem Analysezeitraum an Werktagen. Zudem sollte ein Notdienst eingerichtet werden.

Eine weitere Schwachstelle könnte unter Umständen dazu führen, dass Daten unwiederbringlich verloren gehen. Zum Angriff auf diese Schwachstelle wären Mitarbeiter:innen, sogenannte „Innentäter“ aktuell in der Lage. Mit bestimmten Sicherheitsvorkehrungen ließe sich das vermeiden. Diese müssten auch für „Zulieferer“ (Software-Entwickler oder Hardwarehersteller) enger definiert werden, damit über diese Wege beispielsweise kein Schad-Code ins System gelangt.

Insgesamt zieht die Gematik aber trotzdem ein positives Fazit: „Die Ergebnisse zeigen, dass die Grundarchitektur der ePA Schutz gegen viele potenzielle Bedrohungen bietet. In kleinerem Umfang wurden spezifische Schwachstellen ermittelt, die behoben werden, um die Sicherheit weiter zu erhöhen.“

Was passiert mit den Daten?

Die Daten werden pseudonymisiert an das Forschungsdatenzentrum Gesundheit (FDZ) „ausgeleitet“. Das FDZ werde derzeit im Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) eingerichtet, so die Gematik. Genutzt werden sollen die Daten ausschließlich auf Antrag beim FDZ Gesundheit – „für gesetzlich vorgesehene Zwecke und innerhalb einer sicheren Verarbeitungsumgebung“.

Patient:innen können zusätzlich auf Wunsch folgende Dokumente in die ePA laden lassen:

  • Elektronische Arbeitsunfähigkeitsbescheinigungen (eAU)
  • Daten im Rahmen eines Disease-Management-Programms (DMP)
  • Daten zu Reha-Maßnahmen und Heilbehandlungen
  • Daten der Pflege und der pflegerischen Versorgung
  • Daten aus einer digitalen Gesundheitsanwendung (DiGA)
  • Hinweise zur Organspende oder zur Patientenverfügung

Medizinisches Fachpersonal soll dann nur im Behandlungskontext auf die Daten zugreifen, wenn zuvor die elektronische Gesundheitskarte (eGK) eingelesen wurde. Der Zugriff ist standardmäßig auf 90 Tage für Praxen, Krankenhäuser, Kliniken, Pflege- und Reha-Einrichtungen begrenzt. Apotheken bekommen drei Tage Zugriff. Patient:innen und Patienten können den Zugriff über eine ePA-App auch frühzeitig beenden oder verlängern, beispielsweise für die Hausarztpraxis, so die Gematik.

E-Rezept Warenwirtschaft/EDV
Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
ePA: Datenschützerin fordert leichteren Einspruch
Opt-Out war politische Entscheidung
ePA: Datenschützerin fordert leichteren Einspruch
ePA: Bisher wenig Widerspruch
Opt-out-Lösung kaum genutzt
ePA: Bisher wenig Widerspruch
PKV: ePA auch für Privatpatienten
Forderung nach leichterem Zugang
PKV: ePA auch für Privatpatienten
Ab November: Neue Regeln für das E-Rezept
Technische Anlage 7
Ab November: Neue Regeln für das E-Rezept
Neuere Artikel zum Thema
BMG: ePA für alle kommt später
Verzögerung bei Rollout
BMG: ePA für alle kommt später
Pegasys fehlt bis Mitte 2025
Lieferengpass in allen Stärken
Pegasys fehlt bis Mitte 2025
Zweifel an ePA: Kassen klären auf
Mehr Infos, mehr Testregionen
Zweifel an ePA: Kassen klären auf
Mehr zum Thema
Verzögerungen wegen „KOB light“?
ePA: Die Angst vor Abmahnungen
VPN-Zugangsdienst gestört
E-Rezept: Beeinträchtigungen am Mittag
Honorar für Apotheken
Apo-Ident: Scheitert es am Preis?
Mehr aus Ressort
Referentenentwurf
E-T-Rezept: Nur noch „In- oder Off-Label“-Kreuz nötig
PVS-Anbieter gefordert
ePA: Praxen fürchten Mehraufwand
Dubletten und Fehler
Apotheken sollen E-Rezept-Pannen melden

APOTHEKE ADHOC Debatte

Newsletter

Hinweis zum Newsletter & Datenschutz

Individualisierte Inhalte, exklusive News, Hintergrundinformationen, vertiefende Analysen und Expertenmeinungen – und das PLUS bei APOTHEKE ADHOC: Wir individualisieren die tägliche Pflichtlektüre, weiterhin komplett kostenfrei. Jetzt registrieren!
Jetzt anmelden