Am 15. Januar ist die elektronische Patientenakte (ePA) in den Modellregionen Hamburg, Franken und in Teilen von Nordrhein-Westfalen gestartet. Parallel dazu haben die gesetzlichen Krankenkassen begonnen für ihre Versicherten automatisch eine elektronische Patientenakte (ePA) anzulegen, sofern diese nicht aktiv widersprechen. Zum Start der vierwöchigen Pilotphase lag die Widerspruchsrate bei rund fünf Prozent. Sie fiel damit geringer aus als erwartet.
Da die ePA „mit heißer Nadel“ gestrickt wurde, wie auf der Veranstaltung ePA Summit am 19. November 2024 in Essen zu erfahren war, und obendrein eines der größten IT-Projekte in Deutschland oder sogar in Europa ist, rechnen Experten damit, dass der auf vier Wochen angelegte Test verlängert wird. Bundesgesundheitsminister Karl Lauterbach geht inzwischen davon aus, dass der bundesweite Startschuss der ePA nach Auswertung der Pilotphase „im März oder April“ fällt.
Ob diese Testphase verlängert werden muss und ob der für Mitte Februar angepeilte Rollout planmäßig stattfinden kann, ist noch offen. Hintergrund ist die wachsende Besorgnis, dass die Daten auf der neuen ePA nicht ausreichend vor möglichen Hacker-Attacken geschützt sind.
Sobald es losgeht, müssen die medizinisch relevanten Informationen zu einem Fall, etwa Arzt- oder Krankenhausentlassbriefe, Befundberichte, Laborberichte oder Medikationsdaten, über die Telematikinfrastruktur (TI) in die ePA eingepflegt werden. 70 Millionen Versicherte erhalten eine Akte, die sich im Laufe ihres Lebens mit medizinischen Daten füllt. Die unzähligen vertraulichen Daten, die in diesen 70 Millionen Patientenakten lagern, bilden einen Schatz, der extrem gut gesichert werden muss.
Sicherheitsexperten finden Schwachstellen
Ein Vortrag von zwei IT-Experten auf dem 38. Chaos Communication Congress (CCC) Ende Dezember in Hamburg ließ jedoch jüngst genau an der Zugriffssicherheit auf die Daten der ePA erhebliche Zweifel aufkommen. Auf der Veranstaltung demonstrierten die beiden Sicherheitsexperten Bianca Kastl und Martin Tschirsich, wie vermeintlich einfach und bei überschaubarem Aufwand es möglich ist, Zugriff auf die Daten einer ePA zu gelangen. Doch es kam noch schlimmer für Gematik und BMF. Laut der beiden Hacker ist, wenn auch mit deutlich größerem Aufwand, der Zugriff auf den gesamten Aktenbestand möglich.
Kastl und Tschirsich zeigten in dem Vortrag, wie relativ leicht verschiedene Instrumente der ePA-Infrastruktur kompromittiert werden könne, von der Versichertenkarte über Patiententenverwaltungsysteme (PVS) in den Arztpraxen bis hin zu Aktensystemen oder den Versicherungsstammdaten. „Wir haben uns auf verschiedensten Wegen die Identitäten der Patientinnen und Patienten besorgt, die Gesundheitskarten, haben uns die Praxisidentitäten besorgt, …, damit hatten wir alles zusammen, um auf individuelle Akten zuzugreifen – auf alle in einer Praxis freigegebenen und auf alle 70 Millionen Akten“, fasste Tschirsich seinen Vortrag zusammen.
Gematik will Lücken schnell schließen
Die für die ePA verantwortliche TI-Betreibergesellschaft Gematik reagierte noch am selben Tag mit einer Stellungnahme, in der sie einräumte, dass die vorgestellten Angriffsszenarien technisch möglich wären. Sie schränkt aber ein, dass „die praktische Durchführung in der Realität“ nicht sehr wahrscheinlich sei. Ein Angreifer müsse sich nicht nur einen Institutionsausweis (SMC-B-Karte) inklusive der zugehörige Pin beschaffen, sondern auch noch einen Vertrag mit einem Zugangsdienst haben und eine technisch komplexe Manipulation vornehmen.
Die Gematik nimmt die Kritik des CCC aber so ernst, dass sie bereits an technischen Lösungen zur Verhinderung der beschriebenen Angriffsszenarien arbeitet. Zu den zusätzlichen Sicherungsmaßnahmen, die zum Rollout bereitstehen sollen, gehören Maßnahmen gegen eine missbräuchliche Verwendung der TI-Ausweise, eine zusätzliche Verschlüsselung der Krankenversichertennummer auf der Gesundheitskarte, die Sensibilisierung der Nutzerinnen und Nutzer sowie eine Ausweitung von Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung.
Der Politik war klar, dass die ePA scheitert, wenn sie nicht das Vertrauen der Bevölkerung hat. „Die Sicherheit der ePA hat für uns alle oberste Priorität“, erklärte Bundesgesundheitsminister Karl auf der Bundespressekonferenz am 15. Januar 2025. „Das gilt für alle Sicherheitsprobleme, die wir bisher kennen und analysieren konnten.“ Zu den Sicherheitsbedenken des CCC sagte er: „Zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik haben wir Regeln gefunden, die den Start der ePA in den Pilotregionen ermöglicht – auf einem Sicherheitsniveau, das sehr hoch ist und akzeptabel für die Einführung.“ Bis zum bundesweiten Rollout der ePA sollen alle großen Sicherheitsprobleme, auch die vom Chaos Computer Clubs vorgetragenen, gelöst sein, versprach der Minister. „Wir sind bereits in der Umsetzung dieser Sicherheitsmaßnahmen.“
Ist die ePA tatsächlich unsicher? „Ein Großteil der beschriebenen Angriffe geht auf Schwächen der technisch/ organisatorischen Infrastruktur zurück, die die ePA nutzt (nutzen muss) – und nicht auf die ePA selbst“, ordnet der TI-Experte Marc Langguth in einem Statetment auf der Plattform LinkedIn den „Hack“ ein. Damit bezieht er sich auf die im Vortrag genannten Fälle, dass etwa eine Arztpraxis ihre Zugänge nicht absichert und TI-Zugangssdaten beim Verkauf von Praxishardware via Kleinanzeige weitergibt. Eine weitere Sicherheitslücke, auf die im Vortrag auch hingewiesen wurde, ist der laxe Umgang einzelner Kassenärztlicher Vereinigungen und Krankenkassen bei der Herausgabe der Institutionsausweise beziehungsweise Gesundheitskarten. Auch erhielten die Hacker ohne großen Nachweis einen Vertrag mit einem TI-Zugangsdienst. Damit wäre es möglich gewesen, sich den Zugang zu den Patientenakten zu beschaffen, erklärten sie. „Die Hinweise des Vortrags tragen (hoffentlich) dazu bei, dass die jeweils Verantwortlichen (Praxen, KVen & Kassen) in ihrem Verantwortungsbereich aktiv werden“, so Langguth.
Die Sicherheit der Aktensysteme
Die Gematik hat das grundlegende Architekturmuster der ePA konzipiert und mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit externen Sicherheitsexperten abgestimmt. Auf dieser Grundlage ist die Spezifikation der ePA entstanden, die öffentlich gemacht und von der Fachwelt kommentiert und diskutiert wurde. Zwei Anbieter, IBM und RISE, haben eigene Akten nach dieser ePA-Spezifikation entwickelt und betreiben sie im Auftrag der Krankenkassen in ihren Rechenzentren. Voraussetzung für den Betrieb ist eine Produktzulassung durch die Gematik.
Ich kenne kein anderes System in Deutschland, das einen ähnlich rigorosen Zulassungs- und Prüfprozess durchlaufen muss wie die TI-Anwendungen.
Bestandteil des Produktzulassungsverfahrens ist ein Sicherheitsgutachten, bei dem Experten den Quellcode der ePA analysieren und mit sogenannten Penetrationstests versuchen, Schwachstellen zu entdecken. Alle drei Jahre muss die ePA neu zugelassen werden, was wiederum eine Quellcode-Analyse und Penetrationstests erfordert. In den beiden Jahren zwischen diesen Vollgutachten finden sogenannte Delta-Gutachten statt, bei denen Änderungen getestet und begutachtet werden. Ferner werden sämtliche TI-Produkte, also auch die ePA, im Verlauf eines Auditprogramms der Gematik in regelmäßigen Abständen mit einem Penetrationstest überprüft. „Ich kenne kein anderes System in Deutschland, das einen ähnlich rigorosen Zulassungs- und Prüfprozess durchlaufen muss wie die TI-Anwendungen“, sagt Dr. Jochen Rill, Head of Cyber Security beim Beratungsunternehmen Alter Solutions Deutschland. Rill führt aktuell die Penetrationstests im Auftrag der Gematik durch und war auch als Sicherheitsexperte an der Zulassung eines der beiden Aktensysteme beteiligt.
Sicherheitskonzept auf dem Prüfstand
Zusätzlich zur Sicherheitsüberprüfung der Aktensysteme mit Quellcode-Analyse und Penetrationstests hat die Gematik auch die ePA-Spezifikation einer Sicherheitsanalyse unterzogen. Das damit beauftragte Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt hat also nicht die Akte selbst, sondern nur das Sicherheitskonzept überprüft. Das Sicherheitskonzept der Gematik besteht aus einer Reihe von Dokumenten, die von den Forschern gesichtet und ausgewertet wurden. In ihrer 92-seitigen Sicherheitsanalyse haben die Fraunhofer-Forscher insgesamt 21 Schwachstellen aufgelistet, die sie im ePA-Sicherheitskonzept gefunden haben. Vier davon haben sie als hoch, sechs als mittel und elf als niedrig eingestuft. Rill steht dem Gutachten kritisch gegenüber und bespricht in einem Meinungsbeitrag im Internet einige ausgewählte Schwachstellen, „die mich besonders geärgert haben.“ Er stellt aber auch fest, dass die Studie „einige berechtigte Feststellungen“ erhält.
Wir haben deshalb an dieser Stelle im Sicherheitskonzept nachgeschärft.
Holm Diening, Chief Security Officer der Gematik, äußerte sich zu den vier mit „hoch“ eingestuften Schwachstellen gegenüber kma. So haben die Fraunhofer-Forscher etwa bemängelt, dass die ePA-Betreiber auf eine gemeldete Schwachstelle nur innerhalb von 72 Stunden reagieren müssen. Innerhalb dieses Zeitraums kann bei einem Angriff aus dem Internet die Akte kompromittiert werden, befanden die Gutachter. Diening zufolge handelt es hierbei um eine allgemeine Vorgabe der Gematik für TI-Anwendungen. „Für die ePA reicht das nicht“, stellt er fest. „Wir haben deshalb an dieser Stelle im Sicherheitskonzept nachgeschärft.“ Diening verweist auf die hohen Sicherheitsstandards in den Rechenzentren, deren Mitarbeiter auch ohne besondere Vorgabe rund um die Uhr auf Schwachstellen reagieren würden.
Kritik gab es auch am fehlenden Vier-Augen-Prinzip in den Rechenzentren. Ein Mitarbeiter des Rechenzentrums könnte sowohl das Hardware-Sicherheitsmodul zerstören, in dem die Schlüssel einer ePA lagern, als auch die Backups der Masterkeys, bemängeln die Gutachter. Ein Versicherter könnte dann seine ePA nicht mehr entschlüsseln, warnen sie. „Dieser Forderung des Gutachtens schließen wir uns nicht an“, stellt Diening fest. Die Mitarbeiter des Anbieters müssten auf die Sicherung zugreifen können, erläutert er, damit sie bei Bedarf Daten schnell wiederherstellen könnten. „Gerade in Randzeiten müssen die Betreiber reaktionsfähig bleiben“, so Diening.
Nur der Versicherte kann seine ePA löschen.
Mit anderen Worten: Bei einem formal vorgeschriebenen Vier-Augen-Prozess könnte es zu einem Verfügbarkeitsproblem kommen. Ein unwiderbringliches Zerstören der ePA durch einen einzelnen Rechenzentrumsmitarbeiter, sei ohnehin nicht möglich. „Nur der Versicherte kann seine ePA löschen“, erläutert Diening, „entweder über die ePA-App seiner Krankenkasse oder indem er seine Krankenkasse mit der Löschung beauftragt.“ Geregelte Prozesse der Kassen stellen sicher, dass der Löschauftrag tatsächlich vom Inhaber der ePA kommt. Erst nach einer Plausibilitätsprüfung erteilt die Kasse dem Aktenbetreiber den Auftrag, die ePA zu löschen. Rechenzentrumsmitarbeiter könnten auch keine ePA-Inhalte einsehen, weil sie keinen Zugriff auf einzelne Daten der ePA, auch nicht auf verschlüsselte Daten, haben.
Schwachstelle Mitarbeiter
Eine weitere, ebenfalls „hoch“ eingestufte Schwachstelle: Rechenzentrumsmitarbeitende könnten die Verfügbarkeit des Aktensystems beeinträchtigen, indem sie zum Beispiel den Access Gateway, der den ePA-Zugang über die TI ermöglicht, oder zentrale Komponenten des sektoralen Identitätsproviders physisch angreifen oder aus der Ferne herunterfahren. Das Fraunhofer-Gutachten forderte deshalb, die Berechtigungen der Rechenzentrumsmitarbeiter für einzelne Komponenten sowie die Zutrittsbegrenzungen einzuschränken. „Der Identitätsprovider läuft in einer vertrauenswürdigen Ausführungsumgebung“, erläutert Diening. „Ein Rechenzentrumsmitarbeiter kann deshalb nicht in die Prozesse eingreifen, die mit der Authentisierung einer Gesundheits-ID zusammenhängen.“
Die Fraunhofer-Forscher haben auch beanstandet, dass die Gematik zwar von den Aktenbetreibern sichere Softwareentwicklungszyklen und Entwicklungsprozesse verlangt, nicht aber von deren Subunternehmern. Ein Mitarbeiter eines Subunternehmers könnte aufgrund fehlender Standards bei den Entwicklungsprozessen unbemerkt eine Änderung am ePA-Code vornehmen, die zum Beispiel das Einschleusen von Schadcode ermöglicht. Diening schließt einen solchen Angriff unter Verweis auf den Quellcode-Review im Rahmen der turnusmäßigen Sicherheitsgutachten aus. „Wir korrigieren das aber. Für Subunternehmen gelten künftig die gleichen Standards bei der Entwicklung wie für die Aktenbetreiber.“
Der schnellste Weg, an Patientendaten zu kommen, ist vermutlich nicht ein Angriff auf die ePA, sondern ein Angriff auf Krankenhäuser und Arztpraxen.
Auch wenn die Aktensysteme unter Experten als sicher gelten, gibt es immer noch Verbesserungspotenzial. „Die ePA ist ein so komplexes System, dass man für richtig tiefgehende Tests viel Zeit benötigt“, so Rill, der sich von der Gematik mehr Vorgaben zur Prüftiefe der Tests im Begutachtungsprozess wünscht. Kritisch sieht er auch, dass die Gematik zwar die zentralen Systeme der TI kontrolliert, welche rigorose Test- und Zulassungsprozesse anhand strenger Sicherheitskriterien durchlaufen müssen. Die Primärsysteme in den Arztpraxen und Krankenhäusern unterliegen jedoch nicht der Kontrolle der gematik. „Dass der fehlende Einfluss der Gematik auf die Primärsysteme zu Unsicherheiten führen kann, kritisieren wir schon seit längerem“, pflichtet ihm Christof Stein, Pressesprecher der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, bei. „Wir fordern, dass der Gesetzgeber der Gematik hier die Kompetenz gibt, verbindliche Vorgaben zu machen.“ Zurzeit gebe es bei den Primärsystemen nur Empfehlungen der Kassenärztlichen Bundesvereinigung und einen Leitfaden IT-Sicherheit der Gematik, aber keine Prüfungen, so Rill. „Der schnellste Weg, an Patientendaten zu kommen, ist vermutlich nicht ein Angriff auf die ePA, sondern ein Angriff auf Krankenhäuser und Arztpraxen und die dort laufenden Softwaressysteme.“
Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!
Jetzt einloggen