EPA startet mit Sicherheitslücke |
 |  | Lukas Brockfeld |
 |
02.05.2025 15:00 Uhr |
Gesundheitsminister Karl Lauterbach bei der Vorstellung der elektronischen Patientenakte. / © IMAGO/IPON
Der scheidende Gesundheitsminister Karl Lauterbach (SPD) hatte immer wieder betont, dass der Rollout der EPA erst beginnen dürfe, wenn die Sicherheit der digitalen Akten vollständig gewährleistet ist. Doch nur wenige Tage nach dem bundesweiten EPA-Start meldete der Spiegel, dass es den IT-Experten des Chaos Computer Clubs erneut gelungen ist, sich unbefugt Zugriff auf die Akten zu verschaffen.
Im Dezember 2024 machte der Chaos Computer Club erstmals gravierende Sicherheitslücken in der elektronischen Patientenakte öffentlich. Die Pilotphase der EPA wurde daraufhin verlängert und die Digitalagentur Gematik implementierte zusätzliche Sicherheitsmaßnahmen. Mitte April verkündete Lauterbach, dass die Sicherheitsbedenken inzwischen ausgeräumt seien.
Doch in Begleitung des Spiegels gelang es den Sicherheitsforschern Martin Tschirsich und Bianca Kastl, die schon im vergangenen Jahr in die EPA einbrechen konnten, erneut, unbefugt auf einzelne Patientenakten zuzugreifen. Die IT-Experten bezeichneten die neuen Sicherheitsmaßnahmen gegenüber dem Nachrichtenmagazin als wirkungslos.
Am Mittwoch erklärte Bianca Kastl auch im Gespräch mit der PZ, dass sie die in den vergangenen Monaten ergriffenen Maßnahmen für »grundsätzlich ungeeignet« hält, um die aufgedeckten Mängel in der Sicherheitsarchitektur auszugleichen. Statt die zugrundeliegenden Probleme anzugehen, bemühe man sich nur um Schadensbegrenzung. Der flächendeckende Start der EPA ist nach Kastls Einschätzung »übereilt«.
Um massenhafte Zugriffe auf Millionen Patientenakten zu verhindern, hat die Gematik nach Angaben des Spiegels sogenannte »rate limits« eingeführt. Die einzelnen Gesundheitseinrichtungen können nur noch eine begrenzte Zahl an EPA-Zugriffsbefugnissen anfordern. Die genaue Zahl hängt demnach von der Größe der Einrichtungen ab. Ein Krankenhaus erhält maximal 200.000 Zugriffe pro Monat, eine kleine Zahnarztpraxis nur 10.000.
Außerdem soll sichergestellt werden, dass eine EPA nur im Beisein oder mit Einverständnis des Patienten geöffnet werden kann. Für den EPA-Zugriff braucht es jetzt einen zusätzlichen Prüfwert. Dieser errechnet sich aus dem Datum des Versicherungsbeginns und der Straße und Hausnummer der Wohnanschrift der versicherten Person. Das Datum des Versicherungsbeginns ist nicht auf der Gesundheitskarte aufgedruckt und normalerweise auch nicht offen im Internet verfügbar. Theoretisch müsste ein Angreifer also den Chip der elektronischen Gesundheitskarte auslesen, um an das Datum zu gelangen.
Doch wie der Spiegel berichtet, fanden Martin Tschirsich und Bianca Kastl einen zusätzlichen Weg: Die sogenannten elektronischen Ersatzbescheinigungen wurden eingeführt, damit Patienten, die beispielsweise ihre Gesundheitskarte vergessen haben, trotzdem abrechnen können. Mithilfe eines extra entwickelten Programms konnten die IT-Spezialisten die Ersatzbescheinigungen automatisiert abfragen und erhielten so von den Krankenkassen alle benötigten Daten zum EPA-Zugriff. Das automatisierte Verfahren funktionierte unter anderem mit der Techniker Krankenkasse, der Barmer und der hkk.
Die Autoren des Spiegels kommen zu dem Fazit, dass der unbefugte EPA-Zugriff technisch zwar möglich, aber sehr aufwendig sei. Versicherte müssten also normalerweise nicht davon ausgehen, dass ihre Akten früher oder später gehackt würden.
Die Gematik reagierte am Mittwoch noch vor der Veröffentlichung des Spiegel-Artikels und erklärte, dass man die vom CCC aufgezeigte neue Sicherheitslücke bereits geschlossen habe. Das Problem habe nur für »einzelne Versicherte weniger Krankenkassen« bestanden. Diese werde man identifizieren und entsprechend schützen.
Auch Karl Lauterbach meldete sich noch am Mittwoch zu Wort und erklärte, dass in der Frühphase des EPA-Starts mit solchen Angriffsszenarien zu rechnen sei. »Ich bin der Gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen hat. Die elektronische Patientenakte muss sehr gut geschützt bleiben. Massenangriffe auf Patientendaten müssen ausgeschlossen bleiben«, so der geschäftsführende Gesundheitsminister.
Der Gematik-Geschäftsführer Florian Fuhrmann erklärte, dass man die Verfahren zur Erstellung der Ersatzbescheinigungen präventiv ausgesetzt habe. Es gebe keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat. »Der bundesweite Rollout der EPA wird von unseren Sicherheitsteams gemeinsam mit dem BSI eng begleitet. Hinweise externer Sicherheitsforscher:innen gehen wir in standardisierten Prozessen umgehend nach und leiten bei entsprechender Bewertung passende Maßnahmen ein«, versprach Fuhrmann.
