Nach einem Sicherheitshinweis des Chaos Computer Clubs (CCC) hat die gematik eine potenzielle Schwachstelle im System der elektronischen Patientenakte (ePA) geschlossen. Über ein technisches Szenario sei es möglich gewesen, sich über elektronische Ersatzbescheinigungen für Versichertenkarten unberechtigt Zugang zu einzelnen ePAs zu verschaffen. Das sei aber nur unter sehr spezifischen und komplexen Voraussetzungen möglich gewesen.
gematik stoppte betroffenes Verfahren
Wie die gematik mitteilte, sollte die Lücke nur wenige Versicherte bestimmter Krankenkassen betroffen haben. Das betroffene Verfahren zur Ausstellung elektronischer Ersatzbescheinigungen wurde vorsorglich gestoppt.
Schutz der Gesundheitsdaten hat Priorität
Bundesgesundheitsminister Prof. Karl Lauterbach sagte in einer Stellungnahme, dass in der Frühphase des ePA-Starts mit solchen Angriffsszenarien zu rechnen sei. „Ich bin der gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen hat“, so Lauterbach. „Die elektronische Patientenakte muss sehr gut geschützt bleiben. Massenangriffe auf Patientendaten müssen ausgeschlossen bleiben.“
gematik betont Sicherheitskonzept
Die ePA wurde nach Aussage von der gematik mit modernsten Sicherheitsstandards und in enger Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie weiteren Fachgremien entwickelt. Ein mehrstufiges Sicherheitskonzept schütze die Telematikinfrastruktur und werde kontinuierlich überwacht.
Dr. Florian Fuhrmann, Geschäftsführer der gematik, betonte, dass der bundesweite Rollout der ePA von Sicherheitsteams des Unternehmens und dem BSI eng begleitet werde. Hinweisen werde umgehend nachgegangen und es würden gegebenenfalls Maßnahmen eingeleitet. „Aufgrund der Hinweise haben wir präventiv als erste Sofortmaßnahme das Verfahren vorerst ausgesetzt, das bereits einige Kassen für Ersatzbescheinigungen alternativ zur Versichertenkarte (eGK) nutzen“, so Fuhrmann. „Wir haben bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat.“
Chaos Computer Club: Zugriff auf Patientendaten war möglich
Laut CCC war es theoretisch möglich, mithilfe elektronischer Ersatzbescheinigungen, der Versichertennummer, eines Codierungsschlüssels, eines illegal beschafften Praxisausweises (SMC-B) und einem Zugang zur Telematikinfrastruktur (TI) einen Behandlungskontext zu simulieren. Damit könnte vereinzelt auf Patientenakten zugegriffen werden. Die gematik betont jedoch, dass der Zugriff in der Praxis nur unter erheblich erschwerten Bedingungen möglich gewesen wäre.
Hintergrund
Der CCC hatte bereits Ende Dezember 2024 auf das potenzielle Angriffsszenario hingewiesen. Seitdem wurden weitere Schutzmaßnahmen umgesetzt. So wurden zum Nachweis des Behandlungskontexts zusätzliche Kartenmerkmale ergänzt, die ein unbefugtes Auslesen erschweren. Ein Zugriff ist in der Regel nur durch physisches Einlesen der elektronischen Gesundheitskarte (eGK) in der jeweiligen Einrichtung möglich.
