Politik

IT-Sicherheit auch im Umgang mit der ePA beachten

  • Mittwoch, 5. Januar 2022
/Song_about_summer, stock.adobe.com
/Song_about_summer, stock.adobe.com

Berlin – Arztpraxen beziehungsweise die jeweils genutzten Primärsysteme müssen bei der Verwendung der elektronischen Patientenakte (ePA) eingehende Daten mit der „notwendigen Aufmerksamkeit“ be­handeln. Dies betonte die Gematik im Zusammenhang mit der Berichterstattung des IT-Fachmagazins c’t über eine mögliche Sicherheitslücke.

Den Experten des Magazins war es nach eigener Darstellung gelungen, eigentlich verbotene Zip-Contai­ner in die ePA der Techniker Krankenkasse (TK) hoch- und wieder herunterzuladen. Dieser Dateityp kann potenziell Schadsoftware enthalten. Wie die TK dem Deutschen Ärzteblatt auf Anfrage bestätigte, kann die in der c’t beschriebene Methode aufgrund eines erfolgten Updates nicht mehr genutzt werden.

Zudem handle es sich aus Sicht der TK nicht um eine Sicherheitslücke. Da die Dateien in der ePA Ende-zu-Ende verschlüsselt sind, sehen die ePA-Spezifikationen der Gematik vor, dass Inhalte beim Download beziehungsweise bei der Anzeige der Dateien geprüft werden müssen.

Da ausschließlich die Nutzer selbst oder berechtigte Leistungserbringer Dateien aus der ePA entschlüs­seln können, müssten diese – analog zu Dateianhängen in Mailprogrammen – entsprechende Sicher­heits­vorkehrungen gegen Malware treffen, so die TK.

Der konkrete Fall, bei dem im Aktensystem der Dateityp „text/plain“ vorgetäuscht wird, der Inhalt aber eine komprimierte ZIP-Datei ist, sei in den Anforderungen der Gematik für das Primärsystem explizit adressiert. In diesem Fall soll das Primärsystem eine Plausibilitätsprüfung durchführen und geeignete Maßnahmen ergreifen.

Die Gematik verwies zudem darauf, dass das Risiko von schadhaften Daten für die Arztpraxen bereits jetzt bestehe – etwa bei der Übermittlung von Befunden (wie zum Beispiel Röntgenbildern) auf einem Datenträger, die der Versicherte mit in die Praxis bringt oder jeglichen weiteren Verfahren zum IT-ge­stützten Austausch von Daten.

Deshalb sollten die Praxen stets die allgemein vorliegenden Hinweise und Empfehlungen, beispielsweise des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder auch der IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV), zum sicheren Betrieb beachten und umsetzen.

Grundsätzlich sei das Einstellen von Zip-Files für die ePA bewusst nicht vorgesehen, so die Gematik. Bei der Auswahl der Datenformate der ePA sei neben der fachlichen Betrachtung vor allem darauf geachtet worden, dass die Formate sicher genutzt werden können. Insbesondere Office-Dokumente, die Macros enthalten könnten, oder Containerformate wie Zip seien deshalb mit der ePA 2.0 explizit ausgeschlossen worden.

aha

Diskutieren Sie mit:

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Es gibt noch keine Kommentare zu diesem Artikel.

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung