 |  | Lukas Brockfeld |
 |
11.10.2024 11:48 Uhr |
Die EPA enthält sensible Patientendaten. Daher gelten hohe Ansprüche an die Sicherheit. / © Adobe Stock/Monet
Die Gematik hat das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) damit beauftragt, die festgelegten Anforderungen im Sicherheitskonzept der EPA für alle zu prüfen. Die Beauftragung eines externen Gutachtens war nicht verpflichtend, sondern erfolgte auf freiwilliger Basis. Für den Sicherheitscheck wurden verschiedene Angriffsmöglichkeiten modelliert.
Das Fraunhofer SIT kam zu folgendem Fazit: »In Summe ergibt sich das Bild einer angemessenen Systemarchitektur, die jedoch mit besseren technischen und organisatorischen Maßnahmen gegen Innentäter abgesichert werden muss, insbesondere zur Sicherstellung der Verfügbarkeit.«
Eine Herausforderung für das gesamte System der EPA seien die umfassenden Zugriffsberechtigungen, die beispielsweise Apotheken und Arztpraxen erhalten sollen. Hierzu heißt es im Bericht des Instituts: »Es wird empfohlen, Anforderungen an die Primärsysteme der Leistungserbringer zu stellen. Ein unzureichend gesichertes Primärsystem genügt, um einen Datenverlust herbeizuführen, auch wenn die betroffenen Personen nie bei dem entsprechenden Leistungserbringer tatsächlich behandelt wurden.«
Außerdem bemängelt das Fraunhofer SIT die fehlenden Vorgaben an Anbieter von Aktensysteme, regelmäßige Penetrationstests durchzuführen, oder fehlende definierte Anforderungen, welche Sicherheitsprüfungen beim Einreichen von Widersprüchen mindestens durchzuführen sind. Auch hier ergäben sich »Herausforderungen« für die Sicherheit.
Die Gematik hat nach eigenen Angaben bereits erste Schritte eingeleitet, um die in ihrem Zuständigkeitsbereich liegenden Verbesserungsvorschläge umzusetzen.
