Hackerangriff auf D-Trust zwei Tage vor EPA-Start

Kurz vor dem Teststart vergangenen Mittwoch hatten mehrere Verbände vor Sicherheitslücken gewarnt. Sie bezogen sich wie die IG Med auf die Recherchen des CCC. Lauterbach hatte in deren Folge betont, die EPA werde nur dann starten, wenn alle Sicherheitsmängel beseitigt seien.

Nach Informationen des »Stern« berief der Minister Ende Dezember eine Videokonferenz mit den IT-Spezialisten des CCC ein, bei dem diese allerdings ihre Bedenken nicht ausführen konnten, vielmehr habe der Minister »uns zu verstehen gegeben, dass diese Akte kommt – komme was wolle, so unser Eindruck«, zitiert das Magazin einen der Hacker.

Lauterbach habe ihnen mitgeteilt, dass die elektronische Patientenakte am 15. Januar eingeführt werde, »auch ohne die von uns kritisierten Ursachen für mögliche Angriffe zu beheben«, hieß es. Es würden jedoch Maßnahmen entwickelt, um einen groß angelegten Angriff zu erschweren.

Der Rollout startete pünktlich. Zusätzliche Sicherungsmaßnahmen seien »bereits in Erarbeitung«, wie die Gematik am Wochenende wissen ließ. Deren Fokus liege unter anderem darauf zu verhindern, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ließ zudem wissen, dass ein Maßnahmenkatalog entwickelt wurde, der sowohl auf technischer als auch organisatorischer Ebene Zugriffsversuchen durch nicht autorisierte Personen »angemessen begegnet«. Zur Pilotphase der EPA seien »adäquate Schutzmaßnahmen entwickelt und umgesetzt« worden, so ein Sprecher zur PZ.

D-Trust teilte mit, man habe »umgehend die Situation ausgewertet und Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen«. Die entsprechenden Aufsichtsstellen seien benachrichtigt worden, die Betroffenen würden informiert. Es sei Strafanzeige gegen Unbekannt gestellt worden. Ein spezialisiertes IT-Sicherheitsteam arbeite eng mit den zuständigen Behörden zusammen, um die Hintergründe des Angriffs aufzuklären.