Bundesregierung stuft EPA als sicher ein |
 |  | Cornelia Dölger |
 |
20.02.2025 09:00 Uhr |
Zu den vom CCC offengelegten Schwachstellen war kurz vor dem Start der EPA-Testphase die Nachricht über einen Datenschutzvorfall beim Vertrauensdienstleister D-Trust gekommen. Das Tochterunternehmen der Bundesdruckerei meldete einen Hackerangriff, bei dem personenbezogene Daten von Antragstellern von HBA und SMC-B ausgelesen worden seien. Der CCC stufte den Vorfall wenig später als hausgemachtes Datenleck ein. Es sei einem »Sicherheitsforscher« Anfang Januar aufgefallen.
Die aufgezeigten Schwachstellen seien keine Sicherheitslücke in der Spezifikation der Gematik, betont die Bundesregierung und verweist darauf, dass man kriminelle Energie aufwenden müsste, um die Lücke ausnutzen zu können – bei Hackerangriffen allerdings kein unrealistisches Szenario.
Die Bundesregierung pocht aber darauf, dass der Angriff nur erfolgen könne, »wenn man sich unberechtigt Zugriff zur Telematikinfrastruktur beschafft. Dies ist strafbar«. Dass Angreiferinnen und Angreifer illegal in den Besitz eines Praxisausweises gelangen können, werde durch die Verschärfung der Ausgabeprozesse als unwahrscheinlich bewertet.
Gezielte Angriffe auf eine EPA einer bestimmten Person seien grundsätzlich nicht möglich, heißt es weiter. Dafür bedürfe es weiterer Angriffe auf personenbezogene Daten einer versicherten Person. Durch Sicherungsmaßnahmen solle sichergestellt werden, dass ein Zugriff nur im Behandlungskontext erfolgt.
Die Linke wollte zudem wissen, wer alles Zugriff auf die EPA hat, ob möglicherweise nicht-behandelnde Ärztinnen und Ärzte in medizinischen Versorgungszentren (MVZ) oder Gemeinschaftspraxen oder nicht-pharmazeutisches Personal in Apotheken berechtigt sei. Behandelnde Heilberuflerinnen und Heilberufler seien berechtigt, ebenso deren Mitarbeitende »im Rahmen der von diesen zulässigerweise zu erledigenden Tätigkeiten unter Aufsicht der oder des Angehörigen eines Heilberufs«, so die Antwort.
Wenn neue Sicherheitsrisiken erkennbar würde, wie im Fall der vom CCC aufgedeckten Mängel, würden diese in die Bewertung mit einbezogen, heißt es. Zusatzmaßnahmen seien ergriffen worden. An der Sicherheitsstruktur werde aber nichts geändert.
