ePA-Sicherheitslücke geschlossen
Der gematik liegen Informationen vor, dass der Chaos Computer Club (CCC) ein Szenario für unberechtigte Zugriffe auf die elektronische Patientenakte beschrieben hat. Über elektronische Ersatzbescheinigungen für Versichertenkarten könne man an Informationen gelangen, um auf einzelne elektronische Patientenakten (ePA) zuzugreifen. Die gematik hat diese Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen. Die potenziell betroffenen Versicherten werden identifiziert und geschützt.
In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen. Ich bin der gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen hat. Die elektronische Patientenakte muss sehr gut geschützt bleiben. Massenangriffe auf Patientendaten müssen grundsätzlich ausgeschlossen bleiben.
Der bundesweite Rollout der ePA wird von unseren Sicherheitsteams gemeinsam mit dem BSI eng begleitet. Hinweise externer Sicherheitsforscherinnen und -forscher gehen wir in standardisierten Prozessen umgehend nach und leiten bei entsprechender Bewertung passende Maßnahmen ein. Aufgrund der Hinweise haben wir präventiv als erste Sofortmaßnahme das Verfahren vorerst ausgesetzt, das bereits einige Kassen für Ersatzbescheinigungen alternativ zur Versichertenkarte (eGK) nutzen. Wir prüfen und monitoren laufend und mit höchster Priorität. Wir haben bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat.
Laut CCC ist es möglich gewesen, über Elektronische Ersatzbescheinigungen von Versichertenkarten den Behandlungskontext einer versicherten Person zu fälschen. In Kombination mit der Versichertennummer, einem Codierungsschlüssel sowohl einem illegal beschafften Praxisausweis (SMC-B) und einem Anschluss an die Telematikinfrastruktur wäre damit theoretisch der Zugriff auf Patientenakten vereinzelt möglich. Die gematik geht nicht davon aus, dass Versichertendaten tatsächlich abgeflossen sind.
Zum Hintergrund
Ende Dezember 2024 hat der Chaos Computer Club dargestellt, dass es unter bestimmten Voraussetzungen aufgrund einer technischen Schwachstelle theoretisch möglich gewesen wäre, den Behandlungskontext einer versicherten Person zu simulieren und somit zu fälschen. Für den bundesweiten Rollout der ePA für alle wurden mit dem BSI weitere hohe Sicherheitsmaßnahmen umgesetzt. Der Nachweis für den Behandlungskontext wurde mit weiteren Kartenmerkmalen abgesichert. Zusätzlich zur Kartennummer müssen weitere Merkmale bekannt sein, die teilweise auch nicht auf der Versichertenkarte stehen. Das ist in der Regel nur mit dem physischen Vorliegen und Einlesen der eGK in der Einrichtung möglich.
Grundsätzlich gilt weiterhin: Die ePA für alle wurde und wird mit höchsten und modernsten Sicherheitsstandards gebaut, welche die gematik zusammen mit den obersten Sicherheits- und Datenschutzbehörden, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), entwickelt und abstimmt. Zusätzlich schützt ein mehrstufiges Sicherheitskonzept die Telematikinfrastruktur (TI). Außerdem wird die Sicherheit der TI und aller Anwendungen fortlaufend geprüft – in enger Abstimmung mit den zuständigen Behörden und externen Expertinnen und Experten.