Hackerangriff auf D-Trust zwei Tage vor EPA-Start |
 |  | Cornelia Dölger |
 |
20.01.2025 14:00 Uhr |
Die Einführung der EPA ist mit massiven Sicherheitsbedenken gestartet. Nur wenige Tage nach dem Rollout gibt es Forderungen nach einem Moratorium. / © Adobe Stock/Andrea Gaitanides
Der Vertrauensdienstleister D-Trust, ein Tochterunternehmen der Bundesdruckerei, ist zwei Tage vor dem Start der EPA-Testphase vergangene Woche Ziel eines Hackerangriffs geworden. Das bestätigte D-Trust auf seiner Website. Betroffen war demnach das Antragsportal für Signatur- und Siegelkarten. D-Trust ist unter anderem für die Ausgabe elektronischer Heilberufsausweise (eHBA) zuständig.
Wie D-Trust ausführte, wurde die Attacke am 13. Januar festgestellt, also zwei Tage vor dem Rollout. Dabei seien möglicherweise personenbezogene Daten von Antragstellern entwendet worden, räumte der Dienstleister ein. Ausgegebene Signatur- und Siegelkarten wurden demnach aber nicht kompromittiert und könnten weiter genutzt werden. Auch PINs, Passwörter, Zahlungsinformationen sowie andere Systeme seien nicht betroffen.
Die Gematik und das Bundesgesundheitsministerium (BMG) bestätigten den Angriff. Nach aktuellen Kenntnissen habe es keine negativen Auswirkungen auf die Sicherheit der Telematikinfrastruktur gegeben, so die Gematik auf PZ-Anfrage.
Das sieht die Interessengemeinschaft Medizin (IG Med) anders. Sie fordert einen sofortigen Stopp des EPA-Rollouts in den Testregionen, bis alle Sicherheitslücken geschlossen sind. Die Vorfälle seien »alarmierend«, denn die Kombination eines kompromittierten Heilberufsausweises mit einem gebrauchten Konnektor stelle »ein massives Einfallstor in die Telematik-Infrastruktur dar«, schreibt die IG Med. Eine »Sicherheitslücke dieser Tragweite« würde demnach bei einem bundesweiten Rollout den potenziellen Zugriff auf die Gesundheitsdaten von rund 70 Millionen Versicherten ermöglichen.
Am 15. Januar war in den Testregionen Hamburg und Franken der Startschuss für den EPA-Test gefallen. Bei einer Pressekonferenz räumte Bundesgesundheitsminister Karl Lauterbach (SPD) ein, dass sich die ursprünglich auf vier Wochen angesetzte Testphase bis in den Frühling verlängern könnte.
Ob der Minister zu dem Zeitpunkt von der Attacke auf D-Trust wusste, bleibt unklar; auf eine entsprechende Nachfrage antwortete das BMG, dass das Ministerium Ende vergangener Woche von der Gematik »auf Arbeitsebene informiert« worden sei, was über den Kenntnisstand des Ministers letztlich wenig aussagt. Für die IG Med wäre die Kenntnis jedenfalls ein Rücktrittsgrund. In diesem Fall müsse der Minister »politische Verantwortung übernehmen«, forderte die Interessengemeinschaft.
»Unsere wiederholten Warnungen wurden bislang ignoriert, und nun sind die befürchteten Risiken bittere Realität«, kritisierte die IG-Med-Vorsitzende Ilka Enger und verwies auf die vom Chaos Computer Club (CCC) aufgedeckten Sicherheitsmängel, die Ende vergangenen Jahres für Aufsehen sorgten.
Angesichts der Mängel sowie der aktuellen Attacke auf D-Trust sei Lauterbachs Vorgehen als »grob fahrlässig« zu bewerten, ergänzte der Vize-Vorsitzende Steffen Grüner. »Sollte der Minister den Rollout nicht umgehend stoppen, macht er sich mitschuldig an einem massiven Datenschutzverstoß.«
Kurz vor dem Teststart vergangenen Mittwoch hatten mehrere Verbände vor Sicherheitslücken gewarnt. Sie bezogen sich wie die IG Med auf die Recherchen des CCC. Lauterbach hatte in deren Folge betont, die EPA werde nur dann starten, wenn alle Sicherheitsmängel beseitigt seien.
Nach Informationen des »Stern« berief der Minister Ende Dezember eine Videokonferenz mit den IT-Spezialisten des CCC ein, bei dem diese allerdings ihre Bedenken nicht ausführen konnten, vielmehr habe der Minister »uns zu verstehen gegeben, dass diese Akte kommt – komme was wolle, so unser Eindruck«, zitiert das Magazin einen der Hacker.
Lauterbach habe ihnen mitgeteilt, dass die elektronische Patientenakte am 15. Januar eingeführt werde, »auch ohne die von uns kritisierten Ursachen für mögliche Angriffe zu beheben«, hieß es. Es würden jedoch Maßnahmen entwickelt, um einen groß angelegten Angriff zu erschweren.
Der Rollout startete pünktlich. Zusätzliche Sicherungsmaßnahmen seien »bereits in Erarbeitung«, wie die Gematik am Wochenende wissen ließ. Deren Fokus liege unter anderem darauf zu verhindern, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ließ zudem wissen, dass ein Maßnahmenkatalog entwickelt wurde, der sowohl auf technischer als auch organisatorischer Ebene Zugriffsversuchen durch nicht autorisierte Personen »angemessen begegnet«. Zur Pilotphase der EPA seien »adäquate Schutzmaßnahmen entwickelt und umgesetzt« worden, so ein Sprecher zur PZ.
D-Trust teilte mit, man habe »umgehend die Situation ausgewertet und Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen«. Die entsprechenden Aufsichtsstellen seien benachrichtigt worden, die Betroffenen würden informiert. Es sei Strafanzeige gegen Unbekannt gestellt worden. Ein spezialisiertes IT-Sicherheitsteam arbeite eng mit den zuständigen Behörden zusammen, um die Hintergründe des Angriffs aufzuklären.
