Der Chaos Computer Club (CCC) hat kurz vor dem Jahreswechsel schwerwiegende Sicherheitsmängel bei der elektronischen Patientenakte (ePA) aufgedeckt. Ab 2025 wird die ePA für alle gesetzlich Versicherten automatisch eingeführt.
Unauthorisierter Zugriff
Sicherheitsforscher demonstrierten auf dem 38. Chaos Communication Congress, wie sie mit geringem Aufwand an gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter gelangen konnten. Besonders alarmierend ist, dass die Experten Zugriffstoken für Akten beliebiger Versicherter generieren konnten, ohne dass dafür Gesundheitskarten physisch vorliegen mussten. Theoretisch möglich ist damit ein unauthorisierter Zugriff auf über 70 Millionen Patientenakten.
Diverse Schwachstellen
Die aufgedeckten Schwachstellen betreffen sowohl die Ausgabeprozesse und Beantragungsportale als auch den praktischen Umgang mit den Karten im Gesundheitswesen. Den Forschern gelang der Fernzugriff auf Patientenakten auch über unsicher konfigurierte IT-Systeme in Gesundheitseinrichtungen und über Dienstleister-Zugänge.
Stopp der Einführung gefordert
Der CCC plädiert für einen Stopp der flächendeckenden Einführung, bis die Sicherheitsprobleme behoben sind. Konkret werden eine unabhängige Risikobewertung, transparente Kommunikation und ein offener Entwicklungsprozess gefordert.
Die gematik hatte erst kürzlich die Sicherheit der ePA durch ein KI-gestütztes Gutachten des Fraunhofer-Instituts bestätigen lassen. Die neuen Erkenntnisse stellen diese Bewertung jedoch in Frage.
ePA für alle
Die ePA wird mit der Umstellung von Opt-In auf Opt-Out „für alle“ eingeführt. Ohne das Zutun der über 70 Millionen Versicherten werden ihre Gesundheitsdaten über Praxis- und Krankenhausgrenzen hinweg in einer zentralen Datenbank gespeichert, sofern sie dem nicht widersprechen. Das Versprechen, dass die „ePA für alle“ sicher sei, erscheint nun nicht haltbar. Doch nur wenn die Sicherheitsausreichend gewährleistet ist, ist mit einer Akzeptanz der ePA von Seiten der Leistungserbringer und Versicherten zu rechnen.
Stellungnahme der gematik
Die gematik dankte in einer Stellungnahme den Sicherheitsforschern des CCC für die Hinweise und nimmt nach eigener Aussage die aufgezeigten Schwachstellen ernst. Die vorgestellten Angriffsszenarien seien zwar technisch möglich, in der Praxis jedoch nur schwer umsetzbar.
Technische Hürden
Für einen Angriff wären mehrere Bedingungen erforderlich, darunter der illegale Erwerb eines Institutionsausweises (SMC-B-Karte) samt PIN, ein Vertrag mit einem Zugangsdienst und eine technisch anspruchsvolle Manipulation. Zudem weist die gematik darauf hin, dass unberechtigte Zugriffe auf die ePA strafbar sind und Geld- oder Freiheitsstrafen nach sich ziehen können.
Sicherheit in der Pilotphase
Die gematik steht in engem Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und hat bereits technische Lösungen zur Schließung der Schwachstellen entwickelt. Diese werden derzeit umgesetzt. In der ab dem 15. Januar startenden Pilotphase werden zunächst nur Leistungserbringer aus der Modellregion auf die ePA zugreifen können.
Zusätzliche Sicherheitsmaßnahmen
Vor der Einführung der ePA für alle Versicherten bundesweit plant die gematik weitere Sicherheitsmaßnahmen:
- Missbrauch von Telematik-Infrastruktur-Ausweisen soll verhindert werden
- Die Verschlüsselung der Krankenversichertennummer wird ergänzt
- Nutzer sollen stärker für den Schutz der technischen Infrastruktur sensibilisiert werden
- Monitoring- und Anomalie-Erkennungsmaßnahmen werden ausgeweitet
Modernste Sicherheitsstandards
Die ePA wird laut gematik nach höchsten Sicherheitsstandards in Zusammenarbeit mit dem BSI und der Bundesdatenschutzbeauftragten entwickelt. Ein mehrstufiges Sicherheitskonzept sowie regelmäßige Prüfungen der Infrastruktur sollen den Schutz der sensiblen Daten langfristig sicherstellen.
