• Home
  • News
  • gematik schließt nach Kritik Sicherheitslücken der ePA
CCC analysiert elektronischen Patientenakte

gematik schließt nach Kritik Sicherheitslücken der ePA

Ein Smartphone auf dem gerade eine elektronische Patientenakte angezeigt wird, liegt auf medizinischen Dokumenten, horizontal
Experten und Forschende fordern eine „unabhängige und belastbare Bewertung von Sicherheitsrisiken“ der ePA. Andrea Gaitanides - adobe.stock.com
LL
Gesellschaft
Kurz vor dem Beginn der Pilotphase hat der Chaos Computer Club (CCC) auf Sicherheitslücken bei der ePA hingewiesen und mögliche Angriffsszenarien vorgestellt. Die gematik reagierte und konzipiert bereits „Lösungen zum Unterbinden“.

Am 15. Januar startet die „ePA für alle“ in vier Modellregionen in Deutschland. Im Laufe des Frühjahrs soll dann der gesamte Rollout folgen. Doch es gibt noch Verbesserungsbedarf: Ende Dezember hatten IT-Experten des CCC vor Sicherheitsmängeln bei der ePA gewarnt. Um diese zu verdeutlichen, stellten sie eine Analyse zu bestehenden Sicherheitslücken und verschiedene Angriffsszenarien vor. So ermöglichten etwa Mängel in der Spezifikation, Zugriffstoken für die ePA beliebiger Versicherter zu erstellen und das, ohne dass die Gesundheitskarten vorgelegt oder eingelesen werden müssen.

gematik: Derartige Angriffe möglich, aber sehr unwahrscheinlich

Die gematik reagiert umgehend, bedankte sich bei den CCC-Experten und versicherte in einer Stellungnahme, dass Szenarien zwar technisch möglich gewesen wären, die „praktische Durchführung in der Realität aber nicht sehr wahrscheinlich sei, da verschiedene Voraussetzungen erfüllt sein müssen…“.  Dafür nötig wären zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte) und der dazugehörigen PIN sowie ein Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation.

Die Agentur für digitale Medizin stehe im intensiven Austausch mit den zuständigen Sicherheitsbehörden und es werde derzeit „technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert“, deren Umsetzung bereits gestartet sei, hieß es von der gematik. Vor dem bundesweiten Rollout sollen weitere technische Lösungen abgeschlossen werden.

Nachbesserung und Sensibilisierung

Der Fokus liegt dabei dabei darauf zu verhindern, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können. Außerdem soll die Sicherheitslücke durch eine zusätzliche Verschlüsselung der Krankenversichertennummer geschlossen werden. Auch die weitere Sensibilisierung der Nutzer der TI im Umgang stehe weit oben, ebenso wie der Schutz der technischen Infrastruktur, von Ausweisen und Karten sowie der Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung. Grundsätzlich seien unberechtigte Zugriffe auf die ePA strafbar und könnten nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen, erinnerte die gematik in dem Zusammenhang.

Die Forschenden und Sicherheitsexperten des CCC fordern nach ihrer Analyse eine „unabhängige und belastbare Bewertung von Sicherheitsrisiken“ und die transparente Kommunikation von Risiken gegenüber möglichen Betroffenen. Außerdem müsse der Entwicklungsprozess über den gesamten Lebenszyklus der digitalen Akte offen für nötige Anpassungen bleiben.

Verwandte Nachrichten

Meistgelesene Beiträge

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.