• Home
  • News
  • gematik schließt Sicherheitslücken der ePA
Nach Kritik des Chaos Computer Clubs

gematik schließt Sicherheitslücken der ePA

Ein Smartphone auf dem gerade eine elektronische Patientenakte angezeigt wird, liegt auf medizinischen Dokumenten, horizontal
Experten und Forschende fordern eine „unabhängige und belastbare Bewertung von Sicherheitsrisiken“ der ePA. Andrea Gaitanides - adobe.stock.com
LL
Gesellschaft
Kurz vor Beginn der Pilotphase hat der Chaos Computer Club (CCC) auf Sicherheitslücken bei der elektronischen Patientenakte (ePA) hingewiesen und Angriffe skizziert. Die gematik entwickelt nun „Lösungen zum Unterbinden“.

Am 15. Januar startet die „ePA für alle“ in vier Modellregionen in Deutschland. Im Laufe des Frühjahrs soll der gesamte Roll-out folgen. Doch Ende Dezember hatten IT-Experten des CCC vor Sicherheitsmängeln bei der Akte gewarnt und bestehende Sicherheitslücken sowie verschiedene Angriffsszenarien vorgestellt. So ermöglichten etwa Mängel in der Spezifikation, Zugriffstoken für die ePA beliebiger Versicherter zu erstellen und das, ohne dass die Gesundheitskarten vorgelegt oder eingelesen werden müssen.

Derartige Angriffe seien möglich, aber sehr unwahrscheinlich

Die gematik bedankte sich bei den CCC-Experten und versicherte in einer Stellungnahme, dass Szenarien zwar technisch möglich gewesen wären, die „praktische Durchführung in der Realität aber nicht sehr wahrscheinlich sei, da verschiedene Voraussetzungen erfüllt sein müssen“.  Dafür nötig wären zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte) und der dazugehörigen PIN sowie ein Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation.

Die Agentur für digitale Medizin stehe im intensiven Austausch mit den zuständigen Sicherheitsbehörden und es würden derzeit „technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert“, deren Umsetzung bereits gestartet sei, hieß es von der gematik. Vor dem bundesweiten Roll-out sollen weitere technische Lösungen entwickelt werden.

Der Fokus liege dabei dabei darauf zu verhindern, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können. Außerdem soll die Sicherheitslücke durch eine zusätzliche Verschlüsselung der Krankenversichertennummer geschlossen werden. Auch die weitere Sensibilisierung der Nutzer der TI im Umgang stehe weit oben, ebenso wie der Schutz der technischen Infrastruktur, von Ausweisen und Karten sowie der Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung. Grundsätzlich seien unberechtigte Zugriffe auf die ePA strafbar und könnten nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen, mahnte die gematik in dem Zusammenhang.

Die Forschenden und Sicherheitsexperten des CCC fordern nach ihrer Analyse eine „unabhängige und belastbare Bewertung von Sicherheitsrisiken“ und die transparente Kommunikation von Risiken gegenüber möglichen Betroffenen. Außerdem müsse der Entwicklungsprozess über den gesamten Lebenszyklus der digitalen Akte offen für nötige Anpassungen bleiben.

Verwandte Nachrichten

Meistgelesene Beiträge

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.