Vermischtes

Fraunhofer-Experten: Sicherheit der Elektronischen Patientenakte verbesserungswürdig

  • Dienstag, 15. Oktober 2024

Darmstadt – Als „angemessen“ bewertet ein Forschungsteam des Fraunhofer-Instituts für Sichere Informati­onstechnologie (SIT) das Sicherheitskonzept der neuen elektronischen Patientenakte (ePA), die Anfang kom­menden Jahres starten soll.

Um die hochsensiblen Gesundheitsdaten der ePA bestmöglich zu schützen, hat die zuständige Gematik ein Sicherheitskonzept erstellt. Dieses wurde vom SIT-Expertenteam im Auftrag der Gematik überprüft und für angemessen befunden.

Die Systemarchitektur ist demnach insgesamt angemessen, lasse sich jedoch noch verbessern. Die Gematik betonte, man habe bereits Maßnahmen ergriffen, um die in der Analyse identifizierten Schwachstellen zu beheben.

Für die Überprüfung haben die Forschenden des SIT sämtliche Texte der Sicherheitsanforderungen aus dem Gematik -Konzept in eine Künstliche Intelligenz überführt und so ein Gematik -GPT auf Open-Source-Basis entwickelt.

In einem zweiten Schritt entwickelte das Team verschiedene Angriffsszenarien und -methoden und prüften jedes Szenario mithilfe des Gematik -GPT gegen das Sicherheitskonzept. Die abschließende Sicherheitsbe­wertung führten die Fraunhofer-Experten persönlich durch.

Im Ergebnis wurden 21 Schwachstellen im Konzept identifiziert, davon aber nur vier im Schweregrad vier (6 mittel, 11 gering). Die als hoch eingestuften Schwachstellen beziehen sich vor allem auf bessere technische und organisatorische Maßnahmen gegen Innentäter, wofür im SIT-Bericht entsprechende Empfehlungen unterbreitet werden – etwa bezüglich einer klaren Rollentrennung von Mitarbeitern der Betreiber.

Empfohlen wird zudem, verpflichtende Anforderungen für die Primärsysteme einzuführen, um so die ePA besser vor Implementierungsfehlern und Angriffen aus der Umgebung der Leistungserbringer zu schützen. Bislang gebe es „keine verpflichtenden Sicherheitsanforderungen für die Entwicklung der Primärsysteme“.

Unter anderem sollten die Mindestanforderungen ein sicheres Verfahren zur Benutzerauthentifizierung, eine Passwortrichtlinie, ein automatisches Sperren von Benutzersessions bei Inaktivität sowie Vorgaben für einen sicheren Softwareentwicklungsprozess umfassen, so die Experten.

aha

Diskutieren Sie mit:

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Es gibt noch keine Kommentare zu diesem Artikel.

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung