Politik

Gematik weist Vorwürfe wegen Sicherheitslücke in elektronischer Patientenakte zurück

  • Dienstag, 28. Januar 2025
Weist alle Vorwürfe zurück: Florian Fuhrmann, Vorsitzender der Gematik-Geschäftsführung. /picture alliance, photothek.de, Amrei Schulz
Weist alle Vorwürfe zurück: Florian Fuhrmann, Vorsitzender der Gematik-Geschäftsführung. /picture alliance, photothek.de, Amrei Schulz

Berlin – Die Gematik hat Vorwürfe, zu spät auf bekannt gewordene Sicherheitslücken bei der neuen elektronischen Patientenakte (ePA) reagiert zu haben, zurückgewiesen. Das geht aus einem Schreiben der Gesellschaft an die Kassen­ärztliche Bundesvereinigung (KBV) hervor. Der Brief liegt dem Deutschen Ärzteblatt vor.

Die Reaktion erfolgt auf einen Bericht von Zeit online. Die Zeitung hatte berichtet, der Chaos Computer Club (CCC) habe bereits im August des vergangenen Jahres auf Schwachstellen bei Zugriffsmöglichkeiten auf Patientendaten hingewiesen.

Der CCC hatte offenbar mithilfe von gebrauchten Arztterminals und SMC-B-Karten sowie der zuge­hörigen PIN Zugang zur Telematikinfrastruktur (TI) erhalten. Da die Krankenversichertennummern bislang nicht verschlüsselt sind, könnten mit diesem Vorgehen Daten aus den elektronischen Patientenakte abfließen.

In dem Schreiben an die KBV räumte die Gematik nun ein, tatsächlich bereits Ende August vom Chaos Computer Club auf die Schwachstellen hingewiesen worden zu sein. Allerdings habe man diese bereits gekannt und sie damals „übergangsweise als akzeptabel bewertet“.

Hintergrund war, dass der Gematik zufolge lediglich SMC-B-Inhaber, also etwa Arztpraxen oder Apotheken, die Sicherheitslücke hätten ausnutzen können. Dies sei damals „aufgrund des hohen Entdeckungsrisikos, den drohenden Sank­tionen und der Komplexität des Angriffs“ als unwahrscheinlich eingestuft worden.

„Dass der Praxisausweis nur an berechtigte Personen ausgegeben wird, wurde durch mehrfache Verschärfungen bei den Ausgabeprozessen sichergestellt“, erläuterte Gematik-Geschäftsführer Florian Fuhrmann weiter. Damit sei auch ein Szenario, bei dem Dritte eine SMC-B-Karte für einen entsprechenden Angriff missbrauchen könnten als „unwahrscheinlich“ bewertet worden.

Als der Chaos Computer Club dann Mitte Dezember der Gematik eine Hinweis gegeben hat, dass Hacker eine unge­sperrte SMC-B samt PIN aus einer Praxisauflösung auf dem Gebrauchtmarkt erwerben konnten, änderte sich die Meinung der Gematik.

Kurzfristig sei aufgrund der neuen Erkenntnisse eine Taskforce Sicherheit einberufen und einen Tag später ein kurzfristiger Maßnahmenplan erstellt worden, schreibt Fuhrmann. Dieser wird parallel zur laufenden Testphase umgesetzt, hatte Bundesgesundheitsminister Karl Lauterbach (SPD) kürzlich zur Einführung der Testphase gesagt.

cmk

Diskutieren Sie mit:

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Es gibt noch keine Kommentare zu diesem Artikel.

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung