Auch nach dem offiziellen Start der elektronischen Patientenakte (ePA) bleibt das Thema IT-Sicherheit im Gesundheitswesen aktuell. Ethische Hacker des Chaos Computer Club (CCC) haben nach Informationen des „Spiegel“ eine neue Schutzvorkehrung an der ePA überwunden und so auf erneut bestehende Schwachstellen hingewiesen. Die Betreiber reagierten umgehend mit einer Notfallmaßnahme, um die entdeckte Sicherheitslücke zu schließen.
Sicherheitslücke trotz neuer Schutzmaßnahmen
Kurz nach dem offiziellen Start der elektronischen Patientenakte hat der Chaos Computer Club (CCC) eine zentrale, erst kürzlich hinzugefügte Schutzmaßnahme erfolgreich überwinden können. Wie der „Spiegel“ berichtet, informierten die ethischen Hacker anschließend die zuständigen Behörden. Infolge des Hinweises ergriffen die Betreiber am Mittwochnachmittag sofortige Notfallmaßnahmen, um die Sicherheitslücke zu schließen. Die weitere ePA-Sicherheitslücke sei damit vorerst geschlossen, heißt es in dem Bericht.
Vorangegangene Schwachstellen und Verschiebung des ePA-Starts
Bereits Ende des vergangenen Jahres hatten die IT-Sicherheitsexperten des CCC mehrere Schwachstellen im System der ePA öffentlich gemacht. Die Gematik als Betreiber musste daraufhin einräumen, dass die von den Hackern aufgezeigten Angriffsszenarien „technisch möglich“ seien, auch wenn sie in der Realität als „wenig wahrscheinlich“ eingestuft wurden. Aufgrund dieser Erkenntnisse wurde der Start der ePA auf Dienstag dieser Woche verschoben. Karl Lauterbach (SPD), Bundesgesundheitsminister, ließ damals verlauten: „Man bringt die ePA erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind“, so zitiert der „Spiegel“.
Manipulation über elektronische Ersatzbescheinigung
Um unbefugten Zugriff auf die Patientenakten zu erschweren, wurde unter anderem die zusätzliche Abfrage eines Prüfwertes eingeführt. Dieser Prüfwert setzt sich aus dem Datum des Versicherungsbeginns sowie der Straße und Hausnummer der versicherten Person zusammen. Die CCC-Hacker zeigten nun, dass es ihnen unter bestimmten Voraussetzungen gelingt, diese Daten automatisiert über das System der sogenannten elektronischen Ersatzbescheinigung abzufragen. Normalerweise ist dieses Verfahren für Patienten vorgesehen, die ihre Gesundheitskarte vergessen haben, sodass eine Abrechnung dennoch möglich ist. Das zur Berechnung des Prüfwertes notwendige Verfahren ist öffentlich dokumentiert.
Auf den erneuten Hinweis reagierte die Gematik nach eigenen Angaben mit einer „Sofortmaßnahme“. Das entsprechende Verfahren wurde „vorerst ausgesetzt“, wie die Betreibergesellschaft mitteilte. Die elektronische Ersatzbescheinigung steht damit aktuell nicht mehr zur Verfügung. „Es gebe bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat“, erklärte ein Sprecher der Gematik laut „Spiegel“.
✨ durch KI bearbeitet, .
