Politik

Nach Kritik: Gematik will Sicherheit der elektronischen Patientenakte stärken

  • Montag, 30. Dezember 2024
/Denys Rudyi, stock.adobe.com
/Denys Rudyi, stock.adobe.com

Berlin/Hamburg – Nachdem IT-Experten jüngst vor Sicherheitsmängeln bei der elektronischen Patientenakte (ePA) warnten, betonte die Gematik, man habe „bereits technische Lösungen zum Unterbinden der Angriffs­szenarien konzipiert“ und sei mit deren Umsetzung gestartet.

Man danke den Sicherheitsforscherinnen und -forschern des Chaos Computer Clubs (CCC) für die Hinweise zur Sicherheit der neuen elektronischen Patientenakte („ePA für alle“), so die Gematik.

Die vom CCC vorgestellten Angriffsszenarien auf die ePA wären „technisch möglich“ gewesen. Die praktische Durchführung in der Realität schätzt die Gematik als „aber nicht sehr wahrscheinlich“ ein. Unberechtigte Zugriffe auf die ePA seien zudem strafbar und könnten nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.

Die zusätzlichen Sicherungsmaßnahmen seien bereits in Erarbeitung. Unter anderem soll verhindert werden, dass Ausweise der Telematikinfrastruktur (TI) missbräuchlich verwendet werden könnten. Zudem soll eine zu­sätzliche Verschlüsselung der Krankenversichertennummer für mehr Sicherheit sorgen.

Vorgesehen ist demnach auch eine „Sensibilisierung der Nutzerinnen und Nutzer der Telematikinfrastruktur im Umgang und Schutz der technischen Infrastruktur, Ausweisen und Karten“. Überwachungsmaßnahmen – wie etwa Monitoring und Anomalieerkennung – sollen demnach ausgedehnt werden.

Die Gematik wies ausdrücklich darauf hin, dass die „ePA für alle“ mit höchsten und modernsten Sicherheitsstan­dards versehen sei, die man zusammen mit den obersten Sicherheits- und Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickelt und abstimmt habe.

Zusätzlich schütze ein mehrstufiges Sicherheitskonzept die TI und die Sicherheit der TI und aller Anwendungen werde in enger Abstimmung mit den zuständigen Behörden und externen Experten fortlaufend geprüft.

Im Rahmen des 38. Chaos Communication Congress in Hamburg, einer Veranstaltung des Chaos Computer Clubs (CCC), stellten IT-Experten eine Analyse vor, demzufolge nach wie vor Sicherheitslücken bei der ePA vorhanden sind.

Unter anderem wäre ein Zugriff auf fremde Gesundheitsdaten durch die zu leicht mögliche Beschaffung von gültigen Heilberufs- und Praxisausweisen sowie Gesundheitskarten Dritter möglich, so die Warnung. Ursächlich seien Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Alltag.

Zudem demonstrierten die Forscher, wie es Mängel in der Spezifikation ermöglichen, Zugriffstoken für die ePA beliebiger Versicherter zu erstellen – und zwar ohne dass die Gesundheitskarten präsentiert oder eingelesen werden müssen.

Die Sicherheitsforscher und der CCC forderten gemeinsam eine „unabhängige und belastbare Bewertung von Sicherheitsrisiken“, eine transparente Kommunikation von Risiken gegenüber Betroffenen sowie einen offenen Entwicklungsprozess über den gesamten Lebenszyklus der digitalen Akte.

aha

Diskutieren Sie mit:

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Es gibt noch keine Kommentare zu diesem Artikel.

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung