Lauterbach bestätigt Fehler
Wieder Sicherheitslücke in der E-Patientenakte
Trotz neu hinzugefügter Sicherheitsmaßnahmen zum Start der elektronischen Patientenakte haben ethische Hacker des Chaos Computer Club eine erneute Sicherheitslücke offenbart – die mit einer sofortigen Notfallmaßnahme erst mal geschlossen wurde.
Bereits Ende des vergangenen Jahres hatten die IT-Sicherheitsexperten eine Reihe von Schwachstellen im System der ePA publik gemacht.
Foto: Hannibal Hanschke/Pool/AFP via Getty Images
Auch die für den offiziellen Start der elektronischen Patientenakte (ePA) in dieser Woche neu hinzugefügten Sicherheitsmaßnahmen haben sich als unzureichend erwiesen.
Der scheidende Bundesgesundheitsminister Karl Lauterbach bestätigte, dass eine neue Sicherheitslücke entdeckt worden ist. „In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen. Ich bin der Gematik dankbar, dass sie auf die ersten Hinweise sofort reagiert und auch diese Sicherheitslücke noch geschlossen hat“, schrieb der SPD-Politiker am Abend auf der Plattform X.
Wie der „Spiegel“ berichtet, haben ethische Hacker des Chaos Computer Club (CCC) eine zentrale neu hinzugefügte Schutzvorkehrung überwunden und die Behörden informiert. Die Betreiber reagierten am Mittwochnachmittag auf den Hinweis mit einer sofortigen Notfallmaßnahme. Die weitere ePA-Sicherheitslücke sei damit vorerst geschlossen.
Die mehrheitlich bundeseigene Digitalagentur Gematik bestätigte diese Darstellung. Der Chaos Computer Club habe ein Szenario für unberechtigte Zugriffe beschrieben, über elektronische Ersatzbescheinigungen für Versichertenkarten könne man an Informationen gelangen, um auf einzelne elektronische Patientenakten zuzugreifen, erklärte sie auf ihrer Webseite.
Angriffsszenarien „technisch möglich“
Bereits Ende des vergangenen Jahres hatten die IT-Sicherheitsexperten eine Reihe von Schwachstellen im System der ePA publik gemacht. Die Gematik als Betreiber musste einräumen, dass die Angriffsszenarien „technisch möglich“ seien, wenn auch in der Realität „wenig wahrscheinlich“.
Der Start der ePA wurde daraufhin auf Dienstag dieser Woche verschoben. Bundesgesundheitsminister Karl Lauterbach (SPD) hatte damals dazu mitgeteilt, man bringe die ePA „erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind“.
Um den Zugriff von Unbefugten auf elektronische Patientenakten zu erschweren, wurde daraufhin unter anderem die zusätzliche Abfrage eines Prüfwertes eingeführt, der sich aus dem Datum des Versicherungsbeginns und der Straße und Hausnummer der Wohnanschrift der versicherten Person zusammensetzt.
Die Hacker demonstrierten nun, dass sie diese Daten unter bestimmten Voraussetzungen automatisiert abfragen können, im System der sogenannten elektronischen Ersatzbescheinigung. Es wird normalerweise dazu genutzt, um Patienten, die ihre Gesundheitskarte vergessen haben, trotzdem abrechnen zu können. Mit den abgefragten Daten lässt sich der Prüfwert berechnen, das Verfahren dazu ist öffentlich dokumentiert.
Die Gematik reagierte mit einer „Sofortmaßnahme“. Das Verfahren wurde demnach „vorerst ausgesetzt“. Die elektronische Ersatzbescheinigung steht damit vorerst nicht mehr zur Verfügung. Es gebe „bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat“, hieß es bei der Gematik. (dts/dpa/red)
Kommentare
Noch keine Kommentare – schreiben Sie den ersten Kommentar zu diesem Artikel.
0
Kommentare
Noch keine Kommentare – schreiben Sie den ersten Kommentar zu diesem Artikel.