Dieses Jahr kommt die „ePA für alle“. Die elektronische Patientenakte (ePA) soll die Kommunikation zwischen Patienten und Leistungsbringern erleichtern. Im Kern werden über diese unter anderem hochsensible Gesundheitsdaten zentral verwaltet und ausgetauscht. Doch nun gibt es Bedenken bezüglich der Datensicherheit. Der Chaos Computer Club (CCC) sagt: „Die ‚ePA für alle‘ kann ihre Sicherheitsversprechen nicht halten.“
Beim 38. Chaos Communication Congress (38C3), einer der größten Hacker- und Technologiekonferenzen, sei demonstriert worden, „wie unberechtigte Personen mit wenig Aufwand massenhaften Zugang zur ePA für alle erlangen können“, schreibt der CCC in einem Beitrag auf seiner Internetseite. Sicherheitsforscher konnten sich gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter ohne deren Zutun beschaffen und damit auf Gesundheitsdaten zugreifen.
Kriminelle hätten auf einen Schlag Zugriff auf mehr als 70 Millionen Akten.
„Ursächlich sind erneut Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Feld“, heißt es. Diese Probleme seien bereits bei der Konferenz im Jahr 2019 demonstriert worden. Eingeführt wurde die ePA schließlich schon 2021, damals noch als eine Opt-In-Lösung. Nun wurde die Vorgehensweise zu Opt-Out geändert: Wer nicht aktiv widerspricht, für den wird sie automatisch angelegt.
Mängel in der Spezifikation würden laut CCC zudem ermöglichen, „Zugriffstoken für Akten beliebiger Versicherter zu erstellen“. Dies sei möglich, ohne die Gesundheitskarten präsentieren oder einlesen zu müssen. „Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten.“
Forderung nach unabhängiger Bewertung und Transparenz
Im vergangenen Jahr führte das Fraunhofer-Institut eine Überprüfung der ePA durch und befand das System als „angemessen“. Es ließe sich jedoch noch verbessern, wie es in einer Pressemitteilung im Oktober hieß. Laut CCC eine „Fehldiagnose“.
Doch der Chaos Computer Club spricht sich nicht grundsätzlich gegen die elektronische Patientenakte aus. Allerdings müsse der individuelle Sicherheitsbedarf berücksichtigt werden. Die Hacker fordern daher „unabhängige und belastbare Bewertung von Sicherheitsrisiken, transparente Kommunikation von Risiken gegenüber Betroffenen und einen offenen Entwicklungsprozess über den gesamten Lebenszyklus“.
Die Gematik zeigte sich in einer Reaktion auf die Hinweise des CCC zwar dankbar für die Hinweise, teilte jedoch auch mit, dass die vom CCC vorgestellten Angriffsszenarien zwar technisch möglich, in der Praxis aber „nicht sehr wahrscheinlich“ seien. Als Grund wurde unter anderem die Erfüllung verschiedener Voraussetzungen genannt, etwa die „illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation“. Dennoch seien nun technische Lösungen konzipiert worden; mit der Umsetzung habe die Gematik bereits begonnen.
Ab dem Start der „ePA für alle“-Pilotphase am 15. Januar können laut Gematik nun zunächst ausschließlich die Leistungserbringer in der Modellregion auf die ePA der Versicherten zugreifen. Dadurch bleibe der Schutz der ePAs aller Versicherten bundesweit gewährleistet. „Vor dem bundesweiten Rollout werden weitere technische Lösungen umgesetzt und abgeschlossen sein“, heißt es in der Mitteilung. Weiterhin würden bereits ergänzende Sicherungsmaßnahmen erarbeitet, darunter eine zusätzliche Verschlüsselung der Krankenversichertennummer sowie eine Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung.
Chaos Computer Club
Der Chaos Computer Club, kurz CCC, wurde 1986 als eingetragener Verein zur Förderung der Informationsfreiheit und eines Menschenrechts auf mindestens weltweite ungehinderte Kommunikation gegründet.
Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!
Jetzt einloggen