Chaos Computer Club warnt vor unsicherer EPA |
 |  | Cornelia Dölger |
 |
30.12.2024 13:30 Uhr |
Das Bundesgesundheitsministerium wirbt für die Vorteile der EPA, unter anderem die Datensicherheit. Der Chaos Computer Club hat seine Zweifel. / © IMAGO/snowfieldphotography
Nach dem E-Rezept, das vor gut einem Jahr verpflichtend eingeführt wurde, steht mit der EPA das nächste große Digitalprojekt des Bundes in den Startlöchern. Ab dem 15. Januar soll die EPA angelegt werden, zunächst in den Modellregionen Franken, Hamburg und Nordrhein-Westfalen. Nach einer Testphase soll der bundesweite Rollout folgen.
Dabei ist die EPA nicht neu, sondern existiert schon seit 2020, aber erst mit dem Opt-out-Modell wird sie für das Gros der Versicherten relevant. Denn zuvor musste die EPA explizit beantragt werden, was kaum jemand tat. Ab Januar 2025 erhalten dagegen alle gesetzlich Versicherten, die nicht widersprochen haben, automatisch eine solche digitale Akte. Das dürften die allermeisten sein.
Mehr als 70 Millionen Versicherte sind demnach betroffen – auch von möglichen Sicherheitsrisiken, die mit der EPA einhergehen könnten. Vor Datenlecks und anderen Sicherheitsmängeln warnen Experten schon länger. Nun hat sich auch der Chaos Computer Club (CCC) zu den möglichen Gefahren geäußert. Konkret stellte der Verein bei seinem jüngsten Chaos Communication Congress in Hamburg Szenarien vor, bei denen sich Kriminelle vergleichsweise leicht Zugang zu den sensiblen Daten verschaffen könnten.
Von Anfang an seien die Projekte rund um die EPA von »Turbulenzen« begleitet gewesen, so der CCC im Nachgang in einer Mitteilung. Eine aktuelle Analyse von simulierten Angriffen habe erneut »Bedenkliches« ergeben. Sicherheitsforscher hätten unter anderem gezeigt, »wie sie sich mit wenig Aufwand und zum wiederholten Male gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten«, schreibt der Club.
Die Ursachen sehen die Experten in Mängeln in den Ausgabeprozessen, den Beantragungsportalen sowie »im real existierenden Umgang mit den Karten im Feld«. Schon bei früheren Kongressen seien diese demonstriert worden, behoben wurden sie demnach bislang aber nicht. Ein Mangel sei die unsicher konfigurierte IT, und zwar sowohl in den Gesundheitseinrichtungen als auch bei den Software-Dienstleistern.
Den Testern sei es zudem möglich gewesen, Zugriffstokens für die Akten von beliebigen Versicherten zu erstellen, heißt es. Dabei mussten demnach die Gesundheitskarten weder präsentiert noch eingelesen werden. Fazit der CCC-Experten: »Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten.«
Wenig Verständnis zeigt der Club dafür, dass zuvor das Fraunhofer-Institut die EPA »mit geringen Mängeln für ›sicher‹ befunden« habe. Dies könne nur »Stirnrunzeln« hervorrufen. Mithin sei die freudige Reaktion der Gematik auf das Fraunhofer-Gütesiegel »endgültig als halluzinierte Fehldiagnose« zu bezeichnen.
Die EPA müsse den individuellen Sicherheitsbedarf decken. Nur dann würden Leistungserbringer und Versicherte die digitale Akte akzeptieren und nutzen. Daher lauteten die gemeinsamen Forderungen der Sicherheitsforscher und des CCC:
Die Gematik reagierte prompt. Man nehme die Hinweise der Experten ernst, zitieren mehrere Medien. Allerdings seien die vorgestellten Angriffsszenarien nicht sehr realistisch, da dafür mehrere Voraussetzungen erfüllt sein müssten, etwa die illegale Beschaffung der Institutionsausweise. Dass ein illegales Vorgehen Kriminelle eher nicht abhält, dürfte allerdings auch klar sein.
Gleichzeitig betont die Gematik demnach, dass sie im Austausch mit Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) stehe und an technischen Lösungen arbeite.
Das Papier-Rezept ist ein Auslaufmodell. Mit dem E-Rezept sollen alle Arzneimittel-Verordnungen über die Telematikinfrastruktur abgewickelt werden. Wir berichten über alle Entwicklungen bei der Einführung des E-Rezeptes. Eine Übersicht über unsere Berichterstattung finden Sie auf der Themenseite E-Rezept.
