NewsPolitikIT-Sicherheit auch im Umgang mit der ePA beachten
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

IT-Sicherheit auch im Umgang mit der ePA beachten

Mittwoch, 5. Januar 2022

/Song_about_summer, stock.adobe.com

Berlin – Arztpraxen beziehungsweise die jeweils genutzten Primärsysteme müssen bei der Verwendung der elektronischen Patientenakte (ePA) eingehende Daten mit der „notwendigen Aufmerksamkeit“ be­handeln. Dies betonte die Gematik im Zusammenhang mit der Berichterstattung des IT-Fachmagazins c’t über eine mögliche Sicherheitslücke.

Den Experten des Magazins war es nach eigener Darstellung gelungen, eigentlich verbotene Zip-Contai­ner in die ePA der Techniker Krankenkasse (TK) hoch- und wieder herunterzuladen. Dieser Dateityp kann potenziell Schadsoftware enthalten. Wie die TK dem Deutschen Ärzteblatt auf Anfrage bestätigte, kann die in der c’t beschriebene Methode aufgrund eines erfolgten Updates nicht mehr genutzt werden.

Zudem handle es sich aus Sicht der TK nicht um eine Sicherheitslücke. Da die Dateien in der ePA Ende-zu-Ende verschlüsselt sind, sehen die ePA-Spezifikationen der Gematik vor, dass Inhalte beim Download beziehungsweise bei der Anzeige der Dateien geprüft werden müssen.

Da ausschließlich die Nutzer selbst oder berechtigte Leistungserbringer Dateien aus der ePA entschlüs­seln können, müssten diese – analog zu Dateianhängen in Mailprogrammen – entsprechende Sicher­heits­vorkehrungen gegen Malware treffen, so die TK.

Der konkrete Fall, bei dem im Aktensystem der Dateityp „text/plain“ vorgetäuscht wird, der Inhalt aber eine komprimierte ZIP-Datei ist, sei in den Anforderungen der Gematik für das Primärsystem explizit adressiert. In diesem Fall soll das Primärsystem eine Plausibilitätsprüfung durchführen und geeignete Maßnahmen ergreifen.

Die Gematik verwies zudem darauf, dass das Risiko von schadhaften Daten für die Arztpraxen bereits jetzt bestehe – etwa bei der Übermittlung von Befunden (wie zum Beispiel Röntgenbildern) auf einem Datenträger, die der Versicherte mit in die Praxis bringt oder jeglichen weiteren Verfahren zum IT-ge­stützten Austausch von Daten.

Deshalb sollten die Praxen stets die allgemein vorliegenden Hinweise und Empfehlungen, beispielsweise des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder auch der IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV), zum sicheren Betrieb beachten und umsetzen.

Grundsätzlich sei das Einstellen von Zip-Files für die ePA bewusst nicht vorgesehen, so die Gematik. Bei der Auswahl der Datenformate der ePA sei neben der fachlichen Betrachtung vor allem darauf geachtet worden, dass die Formate sicher genutzt werden können. Insbesondere Office-Dokumente, die Macros enthalten könnten, oder Containerformate wie Zip seien deshalb mit der ePA 2.0 explizit ausgeschlossen worden. © aha/aerzteblatt.de

Themen:

Kommentare

Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.
LNS
LNS

Fachgebiet

Stellenangebote

    Weitere...

    Aktuelle Kommentare

    Archiv

    NEWSLETTER