Digitales
» Alle Artikel

Schwachstellen bei Arztpraxen und Krankenkassen

Chaos-Computer-Club legt Sicherheitslücken beim ePA-Zugriff offen

Berlin - 02.01.2025, 13:45 Uhr

2

Unbefugte könnten über die ePA Zugriff auf die Gesundheitsdaten der Versicherten erlangen, warnt der Chaos Computer Club. (Foto: IMAGO/Rolf Kremming)

Unbefugte könnten über die ePA Zugriff auf die Gesundheitsdaten der Versicherten erlangen, warnt der Chaos Computer Club. (Foto: IMAGO/Rolf Kremming)

Noch im November des vergangenen Jahres hatte das Fraunhofer-Institut der „ePA für alle“ bescheinigt, vor unerlaubten Zugriffen sicher zu sein. Nun konnten Mitglieder des „Chaos Computer Club“ nachweisen, dass es offenbar doch gravierende Schwachstellen gibt. 

Der „Chaos Computer Club“ (CCC) hat auf seinem 38. „Chaos Communication Congress“ Sicherheitslücken beim Zugriff auf die elektronischen Patientenakte (ePA für alle) offengelegt. „Auch die ePA für alle kann ihre Sicherheitsversprechen nicht halten“, schreibt der CCC in einer Pressemitteilung. Demnach gelangen Fernzugriffe auf Patientenakten über unsicher konfigurierte IT bei Arztpraxen und Krankenkassen.

Bereits in den vergangenen Jahren hatten die IT-Sicherheitsexperten Mängel bei den Konnektoren, dem Ident-Verfahren sowie ein fragwürdiges Kosten-Nutzen-Konzept kritisiert. Bei der aktuell vorgestellten Sicherheitsanalyse konnten Mitglieder des CCC zudem nachweisen, dass es „mit wenig Aufwand“ möglich sei, gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter zu beschaffen. Damit könnten auch unbefugte Personen auf die Gesundheitsdaten in der ePA zugreifen. Die Ursache des Problems seien „Mängel in den Ausgabeprozessen, den Beantragungsportalen, sowie im real existierenden Umgang mit Karten“.

Mehr zum Thema

Sicherheitsgutachten des Fraunhofer-Instituts 

Wie sicher ist die elektronische Patientenakte?

Bundesdatenschutzbeauftragte

Einspruch gegen ePA muss erleichtert werden

Zudem behauptet der CCC, dass es aufgrund von Schwachstellen in der Spezifikation der ePA möglich sei, Zugriffs-Token für die Patientenakten beliebiger Versicherter zu erstellen und so potenziell Zugriff auf die Daten aller Versicherten zu erlangen – und das ohne Präsentation oder Einlesen der Gesundheitskarte.

Der CCC widerspricht damit einer Sicherheitsanalyse des Fraunhofer-Instituts. Dort wurde mittels Künstlicher Intelligenz die Sicherheit der „ePA für alle“ getestet und diese trotz „geringer Mängel“ für sicher befunden. Diese Darstellung – auf die sich auch die Gematik stützt – könne nach den vorliegenden neuen Erkenntnissen „endgültig als halluzinierte Fehldiagnose betrachtet werden“. Deshalb fordern die Expert*innen vom CCC:

  • „Unabhängige und belastbare Bewertung von Sicherheitsrisiken,
  • transparente Kommunikation von Risiken gegenüber Betroffenen und
  • ein offener Entwicklungsprozess über den gesamten Lebenszyklus.“

Gematik: ePA auf „höchstem“ Sicherheitsstandard

Die Gematik bedankte sich in einer Stellungnahme für die CCC-Hinweise zur Sicherheit der ePA. Man nehme diese entsprechend ernst. Die vom CCC entworfenen Angriffsszenarien seien zwar technisch möglich, heißt es, die praktische Umsetzung sei jedoch „nicht sehr wahrscheinlich“. Hierbei handle es sich um „technisch-komplexe“ Manipulationen, die strafbar seien.

Zudem wies die Gematik darauf hin, dass auf die „ePA für alle“ ab dem 15. Januar zunächst nur in den Modellregionen von den Gesundheitsdienstleistern zugegriffen werden könne. Bis das neue System bundesweit ausgerollt wird, sei also noch Zeit, um bestehende Mängel auszubügeln. Zusätzliche Sicherungsmaßnahmen seien in Arbeit. 

Dazu zählt die Gematik:

  • „Verhinderung, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können.
  • Schließung der Sicherheitslücke durch eine zusätzliche Verschlüsselung der Krankenversichertennummer.
  • Sensibilisierung der Nutzerinnen und Nutzer der Telematikinfrastruktur im Umgang und Schutz der technischen Infrastruktur, Ausweise und Karten.
  • Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung.“

Unterm Strich hält die Gematik jedoch an ihrer Darstellung fest: „Die ePA für alle wurde und wird mit höchsten und modernsten Sicherheitsstandards gebaut.“

Michael Zantke, Redakteur, DAZ
redaktion@daz.online

Diesen Artikel teilen:

Seite drucken
Startseite

2 Kommentare

ePA

von Martin Straulino am 03.01.2025 um 12:58 Uhr

Auf Kundenanfrage rate ich aktuell von der ePA ab.
Die Stellungnahme der Gematik habe ich u.a. so verstanden: " ... Angriffe ... nicht sehr wahrscheinlich ... weil strafbar."
Das würde bedeuteten, ich kann meine Alarmanlage abschalten, den ein Einbruch ist nicht sehr wahrscheinlich, weil sich der Einbrecher dann ja strafbar machen würde."
Für solch eine Logik musste K.L. wohl erst einen "durchziehen" - wäre zum lachen, wenn es nicht so traurig wäre-

» Auf diesen Kommentar antworten | 1 Antwort

AW: ePA

von Werner am 03.01.2025 um 21:44 Uhr

Wie zutreffend. Wer so argumentiert wie die Gematik, zeigt lediglich, dass er/sie die Dimension der Aufgabe nicht verstanden hat, und der Aufgabe nicht gewachsen ist.

Kommentar abgeben

 

Ich akzeptiere die allgemeinen Verhaltensregeln (Netiquette).

Ich möchte über Antworten auf diesen Kommentar per E-Mail benachrichtigt werden.

Sie müssen alle Felder ausfüllen und die allgemeinen Verhaltensregeln akzeptieren, um fortfahren zu können.

DAZ-Adventskalender

Die Bedeutung von Real-World-Evidence (RWE) am Beispiel eines Diclofenac-Schmerzgels sowie eines Xylometazolin-Nasensprays

DOI: 10.52778/efsm.24.0036

Aktuelle Ausgabe
NR. 51
Cover Jetzt online lesen
Aktuelle Ausgabe
NR. 51-52
Cover Jetzt online lesen
Meist gelesen
Meist kommentiert

Meist gelesen

In speziellen Feuerwerksbomben kommen sogar Senfkörner zum Einsatz. (c / Foto: Natalya Chumak / stock.adobe.com)

Das Geheimnis der Farben – Was steckt eigentlich im Feuerwerk?
(Foto: IMAGO/Political-Moments)

Eine katastrophale Entscheidung
(Foto: contrastwerkstatt / AdobeStock)

Irrtümer im Urlaubsrecht (Teil 1)
Urlaubspläne? Reduzieren Sie mögliche rechtliche Missverständnisse! (Foto: powell83/AdobeStock)

Irrtümer im Urlaubsrecht (Teil 2)
Unbefugte könnten über die ePA Zugriff auf die Gesundheitsdaten der Versicherten erlangen, warnt der Chaos Computer Club. (Foto: IMAGO/Rolf Kremming)

Chaos-Computer-Club legt Sicherheitslücken beim ePA-Zugriff offen

Meist kommentiert

Shop Apotheke und andere Arzneiversender setzten große Erwartungen in die Einführung des E-Rezeptes. Hat die flächendeckende Einführung das Kaufverhalten zu ihren Gunsten verschoben? (Foto: IMAGO/snowfieldphotographie)

Hat das E-Rezept das Kaufverhalten bei OTC verändert?
(Foto: IMAGO/Westend61)

Das Jahr der Legalisierung
Unbefugte könnten über die ePA Zugriff auf die Gesundheitsdaten der Versicherten erlangen, warnt der Chaos Computer Club. (Foto: IMAGO/Rolf Kremming)

Chaos-Computer-Club legt Sicherheitslücken beim ePA-Zugriff offen
(Foto: contrastwerkstatt / AdobeStock)

Irrtümer im Urlaubsrecht (Teil 1)

ApoNews

Apotheken-Reform
Article teaser image

Halsschmerzen

» Zu den Artikeln
Handverkauf

Pharmazeutische Dienstleistungen

via-Studie

Bürokratiekosten bei 
GKV-Rezepten

Impfen in Apotheken
Article image

Beratung

„Keine Rose ohne Dornen“

... und kein Antibiotikum ohne Nebenwirkungen

» mehr
DAZ Abo

Lernen und Punkten »

Klinische Pharmazie – POP

Ein Patient mit komplexen Gerinnungsstörungen

Ein Patient mit komplexen Gerinnungsstörungen