Bundesregierung stuft EPA als sicher ein |
 |  | Cornelia Dölger |
 |
20.02.2025 09:00 Uhr |
Sicherheitsbedenken rund um die EPA-Einführung nahm die Gruppe Die Linke zum Anlass, sich bei der Bundesregierung genauer zu erkundigen. / © picture alliance / Jörg Carstensen
Rund um den Start der Testphase der elektronischen Patientenakte (EPA) Mitte Januar waren Sicherheitsbedenken laut geworden. Der Chaos Computer Club (CCC) hatte Sicherheitsmängel aufgedeckt und zusätzlich sorgte ein Datenschutzvorfall beim Vertrauensdienstleister D-Trust für Unsicherheit.
Das nahm die Gruppe Die Linke zum Anlass, sich bei der Bundesregierung genauer nach der EPA zu erkundigen. Die Abgeordneten wollten wissen, wie es um die Sicherheit bei dem digitalen Großprojekt bestellt ist.
In ihrer Antwort listet die Bundesregierung die Maßnahmen auf, die seit der Veröffentlichung der Sicherheitslücken getroffen wurden. Etwa wurde demnach bei der Herausgabe und Sperrung von elektronischen Gesundheitskarten (EGK) nachgeschärft, ebenso beim Versichertenstammdatenmanagement. Gleichzeitig sollten zusätzliche Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung umgesetzt werden. Das Bundesgesundheitsministerium (BMG) und die Gematik stünden im intensiven Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Zudem räumt die Bundesregierung ein, dass die Gematik bereits ab August 2024 von »einer Schwachstelle« der EPA wusste, nachdem externe Sicherheitsforschende sie darauf hingewiesen hatten. Diese sei allerdings rein theoretisch gewesen und sei als »unwahrscheinlich« eingestuft worden. Besonders habe diese Einschätzung »die sichere Ausgabe und Nutzung der Institutionsausweise nebst zugehöriger PIN durch die berechtigten Leistungserbringerinstitutionen« betroffen.
Nach Umsetzung der Maßnahmen stehe weder »der kontrollierten Inbetriebnahme in den Modellregionen noch dem bundesweiten Rollout etwas entgegen«, heißt es. Restrisiken, nach denen sich die Linke erkundigt hatte, schließt die Bundesregierung dann aus: »Die EPA für alle kann sicher von Praxen, Krankenhäusern, Apotheken sowie Patientinnen und Patienten genutzt werden.«
Die Bundesregierung bekräftigt, dass der bundesweite Rollout für Anfang des zweiten Quartals geplant sei. Das hatte das BMG unlängst angekündigt, nachdem die Testphase zuvor stets als auf rund vier Wochen beziffert wurde.
Zu den vom CCC offengelegten Schwachstellen war kurz vor dem Start der EPA-Testphase die Nachricht über einen Datenschutzvorfall beim Vertrauensdienstleister D-Trust gekommen. Das Tochterunternehmen der Bundesdruckerei meldete einen Hackerangriff, bei dem personenbezogene Daten von Antragstellern von HBA und SMC-B ausgelesen worden seien. Der CCC stufte den Vorfall wenig später als hausgemachtes Datenleck ein. Es sei einem »Sicherheitsforscher« Anfang Januar aufgefallen.
Die aufgezeigten Schwachstellen seien keine Sicherheitslücke in der Spezifikation der Gematik, betont die Bundesregierung und verweist darauf, dass man kriminelle Energie aufwenden müsste, um die Lücke ausnutzen zu können – bei Hackerangriffen allerdings kein unrealistisches Szenario.
Die Bundesregierung pocht aber darauf, dass der Angriff nur erfolgen könne, »wenn man sich unberechtigt Zugriff zur Telematikinfrastruktur beschafft. Dies ist strafbar«. Dass Angreiferinnen und Angreifer illegal in den Besitz eines Praxisausweises gelangen können, werde durch die Verschärfung der Ausgabeprozesse als unwahrscheinlich bewertet.
Gezielte Angriffe auf eine EPA einer bestimmten Person seien grundsätzlich nicht möglich, heißt es weiter. Dafür bedürfe es weiterer Angriffe auf personenbezogene Daten einer versicherten Person. Durch Sicherungsmaßnahmen solle sichergestellt werden, dass ein Zugriff nur im Behandlungskontext erfolgt.
Die Linke wollte zudem wissen, wer alles Zugriff auf die EPA hat, ob möglicherweise nicht-behandelnde Ärztinnen und Ärzte in medizinischen Versorgungszentren (MVZ) oder Gemeinschaftspraxen oder nicht-pharmazeutisches Personal in Apotheken berechtigt sei. Behandelnde Heilberuflerinnen und Heilberufler seien berechtigt, ebenso deren Mitarbeitende »im Rahmen der von diesen zulässigerweise zu erledigenden Tätigkeiten unter Aufsicht der oder des Angehörigen eines Heilberufs«, so die Antwort.
Wenn neue Sicherheitsrisiken erkennbar würde, wie im Fall der vom CCC aufgedeckten Mängel, würden diese in die Bewertung mit einbezogen, heißt es. Zusatzmaßnahmen seien ergriffen worden. An der Sicherheitsstruktur werde aber nichts geändert.
