Sicherheitslücken in der ePA: Gematik war Ausmaß erst nicht bewusst
Die Gematik nahm die Sicherheitslücken bei der E-Patientenakte wohl erst nach Kenntnis von gültigen, auf Kleinanzeigen käuflichen Praxisidentitäten ernst.
(Bild: oatawa/Shutterstock.com)
Die Gematik weist Vorwürfe zurück, zu spät auf bekannt gewordene Sicherheitslücken bei der elektronischen Patientenakte 3.0 reagiert zu haben. Darüber berichtet das Deutsche Ärzteblatt, dem dazu ein Brief an die Kassenärztliche Bundesvereinigung (KBV) vorliegt. Hintergrund des Schreibens ist die Tatsache, dass die Sicherheitsforschenden die Gematik bereits im August 2024 auf die Sicherheitslücken hingewiesen hatten.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Allein mit einer SMC-B (Security Module Card Typ B, Praxisausweis) samt Konnektor ist es möglich, dank Sicherheitslücken Zugang zur elektronischen Patientenakte zu erlangen, und zwar ohne vorheriges Stecken der elektronischen Gesundheitskarte mit Kenntnis der mit dieser verbundenen ICCSN (Integrated Circuit Card Serial Number). Das Durchiterieren der ICCSN ermöglicht in der Kombination sogar einen Massenangriff. "Aufgrund des hohen Entdeckungsrisikos, den drohenden Sanktionen und der Komplexität des Angriffs" sei der Angriff damals als unwahrscheinlich eingestuft worden. "Dass der Praxisausweis nur an berechtigte Personen ausgegeben wird, wurde durch mehrfache Verschärfungen bei den Ausgabeprozessen sichergestellt", zitiert das Ärzteblatt einen der Gematik-Geschäftsführer, Florian Fuhrmann.
Digital Health abonnieren
Alle 14 Tage bieten wir Ihnen eine Übersicht der neuesten Entwicklungen in der Digitalisierung des Gesundheitswesens und beleuchten deren Auswirkungen.
E-Mail-Adresse
Ausführliche Informationen zum Versandverfahren und zu Ihren Widerrufsmöglichkeiten erhalten Sie in unserer Datenschutzerklärung.
Videos by heise
Mitte Dezember wurde dann bekannt, dass die Sicherheitsforschenden auf Kleinanzeigen gültige Praxisidentitäten, SMC-Bs samt PIN, aus einer Praxisauflösung erworben haben. Daraufhin änderte sich die Meinung der Gematik, die eine "Taskforce Sicherheit" einberief, die sich um Maßnahmen bemüht. Sicherheitsforschern gelingt es seit Jahren jedoch regelmäßig, SMC-Bs, elektronische Heilberufsausweise und elektronische Gesundheitskarten von Dritten zu bestellen.
Inwieweit die Sicherheitslücken für den geplanten bundesweiten Rollout bereits geschlossen sind, ist unklar. Alle Ärzte und Apotheken, die in den Modellregionen an der Pilotphase der ePA teilnehmen, stehen zunächst auf einer Allowlist, wodurch nur ein beschränkter Personenkreis auf alle ePAs zugreifen kann.
(mack)
