Neue Sicherheitsmaßnahmen der elektronischen Patientenakte erneut unzureichend
Die zum offiziellen Start der elektronischen Patientenakte (ePA) in dieser Woche eingeführten zusätzlichen Sicherheitsmaßnahmen haben sich offenbar erneut als unzureichend erwiesen. Laut einem Bericht des Nachrichtenmagazins „Spiegel“ gelang es ethischen Hackern des Chaos Computer clubs (CCC), eine zentrale neu eingeführte Schutzvorkehrung zu überwinden. Die Hacker informierten anschließend die zuständigen behörden über die Sicherheitslücke.
Gematik reagiert mit Notfallmaßnahme
Die Betreiber der elektronischen Patientenakte reagierten am Mittwochnachmittag unmittelbar auf den Hinweis der Hacker und setzten eine sofortige Notfallmaßnahme um. Damit sei die neu entdeckte Sicherheitslücke vorerst geschlossen, teilte die Gematik mit.
Bereits zuvor Sicherheitsprobleme bei der ePA bekannt
Schon Ende des vergangenen Jahres hatten IT-Sicherheitsexperten des CCC mehrere Schwachstellen im system der ePA öffentlich gemacht. Die Gematik, die für den Betrieb der ePA verantwortlich ist, musste damals einräumen, dass die von den Hackern beschriebenen Angriffsszenarien zwar technisch möglich, jedoch in der Praxis wenig wahrscheinlich seien. Aufgrund dieser Sicherheitsbedenken wurde der Start der elektronischen Patientenakte auf Dienstag dieser Woche verschoben. Bundesgesundheitsminister Karl Lauterbach (SPD) hatte seinerzeit angekündigt, die ePA erst dann einzuführen, wenn alle hackerangriffe, einschließlich derer des CCC, technisch unmöglich gemacht worden seien.
Schwachstelle durch automatisierte Abfrage von Prüfwerten
Um den unbefugten Zugriff auf elektronische Patientenakten zu erschweren, wurde unter anderem die zusätzliche Abfrage eines Prüfwertes eingeführt. Dieser Prüfwert setzt sich aus dem Datum des Versicherungsbeginns sowie der Straße und Hausnummer der Wohnanschrift der versicherten Person zusammen. Die Hacker des CCC konnten nun demonstrieren, dass sie diese Daten unter bestimmten Voraussetzungen automatisiert über das System der sogenannten elektronischen Ersatzbescheinigung abfragen können. Dieses System wird normalerweise genutzt, um Patienten ohne Gesundheitskarte eine Abrechnung zu ermöglichen. Da das Verfahren zur Berechnung des Prüfwertes öffentlich dokumentiert ist, konnten die Hacker diesen problemlos ermitteln.
Elektronische Ersatzbescheinigung vorerst deaktiviert
Als Reaktion auf die Sicherheitslücke setzte die gematik das Verfahren der elektronischen Ersatzbescheinigung vorerst aus. Somit steht diese Funktion aktuell nicht mehr zur Verfügung. Laut Gematik gebe es bislang keine Hinweise darauf, dass tatsächlich ein unbefugter Zugriff auf elektronische Patientenakten erfolgt sei.
weiterführender Kontext
Die elektronische Patientenakte (ePA) ist ein zentrales Element der Digitalisierung im Gesundheitswesen und soll Patienten sowie Ärzten ermöglichen, medizinische Daten digital zu speichern und auszutauschen. Ziel ist es, die medizinische Versorgung effizienter und sicherer zu gestalten. Die wiederholten Sicherheitsprobleme könnten jedoch das Vertrauen in die ePA beeinträchtigen und die Akzeptanz bei Versicherten und medizinischem Personal erschweren.
