Politik

Endgültige Lösung für Sicherheitsprobleme der elektronischen Patientenakte kommt erst im nächsten Jahr

  • Freitag, 2. Mai 2025
/picture alliance, Jörg Carstensen
/picture alliance, Jörg Carstensen
3

Berlin – Die elektronische Patientenakte (ePA) kommt nicht aus den Schlagzeilen. Kurz nach dem Start am vergangenen Dienstag hat der Chaos Computer Club (CCC) neue Sicherheitslücken aufgedeckt. Die sind zwar zügig gestopft worden, aber es bleiben Restrisiken, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) dem Deutschen Ärzteblatt jetzt sagte. Zwar schätzt das BSI diese als „technisch beherrschbar“ ein, dennoch sollen sie erst im kommenden Jahr ausgeräumt werden.

Im aktuellen Fall sei es dem CCC über elektronische Ersatzbescheinigungen von Versichertenkarten möglich gewesen, den Behandlungskontext einer versicherten Person zu fälschen, erklärte die Gematik vorgestern.

In Kombination mit der Versichertennummer, einem Codierungsschlüssel sowie einem illegal beschafften Praxisausweis (SMC-B) und einem Anschluss an die Telematikinfrastruktur (TI) wäre damit theoretisch der Zugriff auf Patientenakten vereinzelt möglich.

Diese Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, sei nun geschlossen, erklärte die Gematik. „Die potenziell betroffenen Versicherten werden identifiziert und geschützt.“

Diese Darstellung sei glaubhaft, weil hier quasi als Sofortmaßnahme Dienste kurzfristig konsequent abgeschaltet wurden, sagte Bianca Kastl aus dem Umfeld vom CCC dem Deutschen Ärzteblatt. Das sei in dieser Zeit leistbar. Kastl hatte entsprechende Lücken mit aufgedeckt.

Der geschäftsführende Bundesgesundheitsminister Karl Lauterbach (SPD) räumte vorgestern zudem ein, dass in der Frühphase des ePA-Starts mit solchen Angriffsszenarien zu rechnen gewesen sei.

Er sei der Gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen habe. „Die elektronische Patientenakte muss sehr gut geschützt bleiben. Massenangriffe auf Patientendaten müssen grundsätzlich ausgeschlossen bleiben“, sagte Lauterbach.

Noch keine vollständige Lösung umgesetzt

Auf die Probleme des ersten Angriffsszenarios von Ende 2024 haben das Bundesgesundheitsministerium (BMG) und die Gematik mithilfe des BSI in den vergangenen Monaten reagiert. Gemeinsam haben sie einige Maßnahmen entwickelt, die die Sicherheit der ePA sicherstellen sollen.

Dies hatten Gematik und BMG immer wieder betont. Dazu gehört den Informationen des Deutschen Ärzteblattes zufolge unter anderem, dass Institutionskarten (SMC-B) von aufgelösten Arztpraxen ihre Gültigkeit verlieren sollen.

Zudem wurde ein kontinuierliches Sicherheitsmonitoring etabliert, das die Dienste überwacht. Und: Jeder Zugriff auf eine ePA wird protokolliert und kann der entsprechenden Leistungserbringerinstitution zugeordnet werden, erklärte die Gematik.

„Aus der Sicherheitsbewertung ergibt sich, dass bei vollständiger Implementierung aller Mitigationsmaßnahmen ein angemessen sicherer Betrieb der elektronischen Patientenakte gewährleistet ist“, erklärte ein Sprecher des BSI dazu.

Die empfohlenen Mitigationsmaßnahmen seien geeignet, einen Massenzugriff auf elektronische Patientenakten zu verhindern, weil potentielle Angreifer über zusätzliche Daten der Versicherten sowie eine funktionierende und gültige Praxisinfrastruktur verfügen müssten. Für einen Angriff werde deshalb die Mithilfe eines Innentäters benötigt, der durch entsprechende Schutzmaßnahmen identifiziert werden könne, so das BSI.

Dem widerspricht allerdings Kastl aus dem Umfeld des CCC. „Mit der aktuellen Sicherheitslücke konnten wir zeigen, dass die Maßnahmen zur Verhinderung von möglichen Massenangriffen in der bei der Meldung vorliegenden Konstellation nicht wirksam waren“, sagte die Entwicklerin.

Zudem konnte das BSI nicht beantworten, ob alle bereits entwickelten Sicherheitsmaßnahmen mittlerweile auch umgesetzt worden sind. Das Bundesamt habe lediglich eine beratende Funktion innehabe, erklärte der Sprecher.

Die Gematik ging auf diese Frage nicht konkret ein, sondern verwies lediglich auf bereits entwickelte Maßnahmen und auf die fortlaufende Entwicklung neuer Maßnahmen, um missbräuchliche Zugriffe künftig besser erkennen, verhindern und sanktionieren zu können.

„Eine endgültige technische Lösung für die bislang skizzierten Angriffsszenarien ist bereits entwickelt und wird voraussichtlich Anfang 2026 durch die Betreiber der ePA implementiert werden können“, sagte der BSI-Sprecher weiter. Informationen des Deutschen Ärzteblattes zufolge handelt es sich dabei um die Einführung des Konzepts „Proof of Patient Presence“ (PoPP) im Zuge der ePA.

Dieses Konzept bedeutet, dass zu einem bestimmten Zeitpunkt ein Zusammenhang zwischen einem berechtigten Versicherten und der ihn behandelnden oder anderweitig versorgenden authentifizierten Leistungserbringerinstitution hergestellt werden muss.

Meist erfolgt dies über das Stecken der elektronischen Gesundheitskarte (eGK), wenn der Versicherte in der Arztpraxis ist. Dieser Zusammenhang kann aber auch hergestellt werden, wenn der Versicherte mit seiner digitalen Identität authentifiziert wurde.

cmk

Diskutieren Sie mit:

3

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Kommentare (3)

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung