 |  | Cornelia Dölger |
 |
20.01.2025 14:00 Uhr |
Die Einführung der EPA ist mit massiven Sicherheitsbedenken gestartet. Nur wenige Tage nach dem Rollout gibt es Forderungen nach einem Moratorium. / © Adobe Stock/Andrea Gaitanides
Der Vertrauensdienstleister D-Trust, ein Tochterunternehmen der Bundesdruckerei, ist zwei Tage vor dem Start der EPA-Testphase vergangene Woche Ziel eines Hackerangriffs geworden. Das bestätigte D-Trust auf seiner Website. Betroffen war demnach das Antragsportal für Signatur- und Siegelkarten. D-Trust ist unter anderem für die Ausgabe elektronischer Heilberufsausweise (eHBA) zuständig.
Wie D-Trust ausführte, wurde die Attacke am 13. Januar festgestellt, also zwei Tage vor dem Rollout. Dabei seien möglicherweise personenbezogene Daten von Antragstellern entwendet worden, räumte der Dienstleister ein. Ausgegebene Signatur- und Siegelkarten wurden demnach aber nicht kompromittiert und könnten weiter genutzt werden. Auch PINs, Passwörter, Zahlungsinformationen sowie andere Systeme seien nicht betroffen.
Die Gematik und das Bundesgesundheitsministerium (BMG) bestätigten den Angriff. Nach aktuellen Kenntnissen habe es keine negativen Auswirkungen auf die Sicherheit der Telematikinfrastruktur gegeben, so die Gematik auf PZ-Anfrage.
Das sieht die Interessengemeinschaft Medizin (IG Med) anders. Sie fordert einen sofortigen Stopp des EPA-Rollouts in den Testregionen, bis alle Sicherheitslücken geschlossen sind. Die Vorfälle seien »alarmierend«, denn die Kombination eines kompromittierten Heilberufsausweises mit einem gebrauchten Konnektor stelle »ein massives Einfallstor in die Telematik-Infrastruktur dar«, schreibt die IG Med. Eine »Sicherheitslücke dieser Tragweite« würde demnach bei einem bundesweiten Rollout den potenziellen Zugriff auf die Gesundheitsdaten von rund 70 Millionen Versicherten ermöglichen.
Am 15. Januar war in den Testregionen Hamburg und Franken der Startschuss für den EPA-Test gefallen. Bei einer Pressekonferenz räumte Bundesgesundheitsminister Karl Lauterbach (SPD) ein, dass sich die ursprünglich auf vier Wochen angesetzte Testphase bis in den Frühling verlängern könnte.
Ob der Minister zu dem Zeitpunkt von der Attacke auf D-Trust wusste, bleibt unklar; auf eine entsprechende Nachfrage antwortete das BMG, dass das Ministerium Ende vergangener Woche von der Gematik »auf Arbeitsebene informiert« worden sei, was über den Kenntnisstand des Ministers letztlich wenig aussagt. Für die IG Med wäre die Kenntnis jedenfalls ein Rücktrittsgrund. In diesem Fall müsse der Minister »politische Verantwortung übernehmen«, forderte die Interessengemeinschaft.
»Unsere wiederholten Warnungen wurden bislang ignoriert, und nun sind die befürchteten Risiken bittere Realität«, kritisierte die IG-Med-Vorsitzende Ilka Enger und verwies auf die vom Chaos Computer Club (CCC) aufgedeckten Sicherheitsmängel, die Ende vergangenen Jahres für Aufsehen sorgten.
Angesichts der Mängel sowie der aktuellen Attacke auf D-Trust sei Lauterbachs Vorgehen als »grob fahrlässig« zu bewerten, ergänzte der Vize-Vorsitzende Steffen Grüner. »Sollte der Minister den Rollout nicht umgehend stoppen, macht er sich mitschuldig an einem massiven Datenschutzverstoß.«
