ComputerBase Menü
Registrieren
Suche
  2. News
  3. Apps
38C3

Elektronischen Patientenakten (ePA): Angreifer können Zugang zu allen Patientenakten erhalten

Andreas Frischholz
158 Kommentare
Elektronischen Patientenakten (ePA): Angreifer können Zugang zu allen Patientenakten erhalten
Bild: PxHere | CC0 1.0

Die elektronische Patientenakte (ePA) steht in den Startlöchern, doch das System krankt weiter an Sicherheitsmängeln. Auf dem Hacker-Kongress 38C3 präsentierten zwei IT-Sicherheitsexperten, wie Angreifer auf sämtliche ePAs zugreifen können.

Die von der Betreiberfirma Gematik betriebene ePA-Infrastruktur hat ohnehin eine lange Geschichte an Sicherheitslücken. Schon bei vergangenen Ausgaben des Hacker-Kongresses wie dem 36C3 zeigten IT-Sicherheitsforschende, wie es möglich war, sich mit wenig Aufwand fremde Gesundheitskarten zu beschaffen. Mit dieser kann man dann vom heimischen PC aus auf fremde Gesundheitsdaten zugreifen. Durch Schwachstellen in der IT-Infrastruktur für Praxen war es ebenso auf unterschiedlichen Wegen möglich, auf die Gesundheitsdaten von Patienten zugreifen zu können.

Zugriff auf potentiell 70 Millionen Patientendaten

Bianca Kastl und Martin Tschirsich zeigen bei dem aktuellen Vortrag nun, dass die ePA zwar kurz vor dem Start steht, solche Schwachstellen aber nach wie vor existieren. So war es Stand Mitte Dezember 2024 noch möglich, sich die Ausweiskarten für Praxen zu beschaffen. Diese ermöglicht, die Patientendaten einer Praxis abzugreifen. Je nach Praxis kann das mehr als 1.000 Personen betreffen.

Dieser Angriff ist noch nicht allzu komplex, Kastl und Tschirsich sprechen von einem Aufwand im Stundenbereich. Komplizierter ist es, Sicherheitslücken im Identitätsnachweisverfahren der ePA-Infrastruktur auszunutzen, durch die sich Angreifer einen uneingeschränkten Zugang zum System verschaffen können. So ein Angriff dauert zwar rund einen Monat, hat aber eine enorme Reichweite. Sofern es den Angreifern gelingt, die Identität einer sogenannten Leistungserbringerinstitution – also etwa einer Arztpraxis – zu erhalten, könnten sie damit auf sämtliche ePAs zugreifen. Es ist also eine Lücke, die bis zu 70 Millionen Versicherte betreffen kann, wenn die ePA für alle startet.

Details zu den Angriffen gibt es im Vortrag, der über die Medienseite des Chaos Computer Clubs (CCC) abrufbar ist.

ePA für alle: Digitale Patientenakte

Zugang zur ePA erhält man normalerweise per App oder über die Gesundheitskarte. Die App ermöglicht es den Versicherten, selbst die digitalen Gesundheitsinformationen einsehen und kontrollieren zu können. Die Gesundheitskarte ist vor allem der Weg für Praxen. Wenn diese die Karte einlesen, haben sie für 90 Tage einen Lese- und Schreib-Zugriff auf die Akte eines Patienten.

Einsehen lassen sich dann also sämtliche Daten, die freigegeben sind. Oder genauer gesagt: Deren Freigabe ein Versicherter nicht widersprochen hat, denn für gesetzlich Versicherte handelt es sich bei der ePA um ein Opt-Out-System. Jeder ist also dabei, sofern er nicht widerspricht. Das ist jedoch auf mehreren Ebenen möglich.

Dennoch sind Schwachstellen wie von Kastl und Tschirsich demonstrierten besonders gravierend, weil die ePA perspektivisch die komplette Krankengeschichte eines Patienten beinhalten soll. Der Inhalt reicht also von Rezepten über Befunde und Arztbriefe bis zu Abrechnungsdaten. Zum Start der ePA soll auch die Medikationsliste bereitstehen, diese wird automatisch mit Informationen aus E-Rezepten befüllt. Das ist auch das grundsätzliche Vorgehen. Details zum Ablauf bietet unter anderem ein FAQ der Kassenärztlichen Bundesvereinigung.

Los geht es mit der elektronischen Patientenakte im kommenden Jahr. Eingerichtet wird die ePA für alle gesetzlich Versicherten Anfang 2025, am 15. Januar erfolgt der Start aber zunächst in Testregionen mit ausgewählten Ärzten. Im Laufe des Jahres sollen dann immer mehr Funktionen folgen, besagt die Roadmap, die das Bundesgesundheitsministerium veröffentlicht hat.

CCC fordert Ende der ePA-Experimente

Die Gematik als Betreiber der ePA-Infrastruktur versucht derweil zu beschwichtigen. Man bestätigt in einer Stellungnahme, dass die von Kastl und Tschirsich präsentierten Angriffsszenarien möglich sind. Für die praktische Durchführung seien diese aber zu kompliziert.

Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen. Dazu zählen zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation. Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.

Stellungnahme der Gematik

Dennoch befinde sich die Gematik nun im engen Austausch mit Sicherheitsbehörden wie dem BSI, um die Schwachstellen zu schließen. Bis die ePA bundesweit startet, will man die technischen Lösungen umgesetzt haben.

Der Chaos Computer Club (CCC) fordert derweil ein Ende der ePA-Experimente. „Wie schon bei der letzten Visite gelang der Fernzugriff auf Patientenakten über unsicher konfigurierte IT, sowohl in den Gesundheitseinrichtungen als auch über Dienstleister-Zugänge“, heißt es in der Mitteilung. Trotzdem soll die ePA nun auf fast alle Versicherten ausgedehnt werden.

Wenn Versicherte Vertrauen in das System haben sollen, müsse die Sicherheit ausreichend gewährleistet werden. Nötig wären dafür eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, eine transparente Kommunikation von Risiken gegenüber Betroffenen und ein offener Entwicklungsprozess über den gesamten Lebenszyklus. „Vertrauenswürdige digitale Infrastrukturen können nur entstehen, wenn der Entstehungsprozess selbst Vertrauen ermöglicht“, so der CCC.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz