Elektronische Patientenakte: Regierung lässt viele Fragen zur Sicherheit offen

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Ursprünglich sollte die elektronische Patientenakte 3.0 (ePA) Mitte Februar bundesweit eingeführt werden, doch auch der neue Starttermin im April scheint nicht zu halten zu sein. Zwar haben alle gesetzlich Versicherten bereits eine ePA erhalten, sie konnte aber bisher kaum getestet werden. Unklar ist auch, wie es um die IT-Sicherheit der ePA bestellt ist. Die Linken-Abgeordneten Kathrin Vogler, Anke Domscheit-Berg und Susanne Ferschl und weitere hatten dazu eine Kleine Anfrage gestellt. Die Antworten der Bundesregierung sind wenig hilfreich, einen kleinen Teil der Fragen hatte die Gematik bereits beantwortet.

Die meisten der 41 Fragen (PDF) wurden schwammig oder gar nicht beantwortet, etwa die Frage nach Änderungen beim Berechtigungsmanagement. Unbeantwortet lässt die Bundesregierung auch, welche Sicherheitsrisiken trotz bisher umgesetzter Sicherheitsmaßnahmen verbleiben. Aus einer Antwort der Gematik geht jedoch hervor, dass es eher unwahrscheinlich ist, dass die Ärzte in den Testregionen Aufwände betreiben, um einen Massenangriff zu starten. Dennoch ist es möglich, dass Kriminelle das versuchen, wie auf dem 38. Chaos Communication Congress gezeigt wurde.

Gleichzeitig spricht die Bundesregierung davon, dass die Infrastruktur für die ePA sogar quantensicher ist, nach "der Gefahr eines Angriffs auf die zentrale Struktur" gefragt: "Hervorzuheben sind hier die speziellen Maßnahmen zum Ausschluss potentieller Innentäterinnen und -täter ("Confidential Computing", Vertrauenswürdige Ausführungsumgebung – VAU) oder die bereits jetzt umgesetzten kryptographischen Maßnahmen zur Resistenz gegen Quanten-Computing-Angriffe".

Kein Veto-Recht für BfDI und BSI

Auf die Frage danach, warum die bereits seit August 2024 bekannten Schwächen nicht umgehend behoben wurden, hatte die Gematik kürzlich geantwortet, das Risiko falsch eingeschätzt zu haben. Zwar seien das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Prof. Louisa Specht-Riemenschneider, direkt einbezogen worden, allerdings müssen diese lediglich ins Benehmen gesetzt werden und dürfen kein Veto mehr einlegen.

Gegenüber heise online hatte die BfDI Anfang des Jahres betont, dass sie sowohl die Gematik als auch das BMG "frühzeitig auf das hohe Risikopotenzial der Schwachstellen hingewiesen und umgehende Maßnahmen zur Verringerung der damit verbundenen Risiken dringend empfohlen [hatte]. Dabei haben das Bundesamt für Sicherheit in der Informationstechnik und die BfDI der Gematik eine Lösung empfohlen, mit der die Schwachstelle mitigiert werden kann", erklärte ein Sprecher der BfDI.

Auf die Frage, ob die Sicherheitslücken aufgrund von Umsetzungs- oder Architekturfehler zustande kamen, antwortete die Bundesregierung, dass es nicht an den Spezifikationen liege und der Angriff nur erfolgen könne, "wenn man sich unberechtigt Zugriff zur Telematikinfrastruktur beschafft. Dies ist strafbar."

Gegen Angriffe durch Regierungsorganisationen nicht gewappnet?

Unklar ist weiterhin auch, wie Angriffe durch staatliche Akteure verhindert werden sollen. Zwar schätzen das Bundesamt für Sicherheit in der Informationstechnik und auch das Fraunhofer SIT das Risiko als relevant ein, allerdings "wurde nach Absprache mit der Gematik festgelegt, dass Angriffe durch Regierungsorganisationen nicht relevant sind".

Die Antwort der Bundesregierung auf die Frage nach dem Risiko, das durch Angriffe staatlicher Akteure ausgeht, ist ausweichend und nicht eindeutig. Sie erklärt, dass fremdstaatliche Akteure und deren Angriffsvektoren in den Sicherheitsanalysen durchaus berücksichtigt werden, jedoch wurden die Angriffsressourcen solcher Akteure aus der formalen Bewertung ausgeschlossen. Dies impliziert, dass die ePA-Infrastruktur möglicherweise nicht gegen hochentwickelte, ressourcenintensive Angriffe staatlicher Akteure gewappnet ist.

Als Grund für den Ausschluss dieser Angriffsressourcen aus der Bewertung ist, dass ein Sicherheitsniveau gefordert würde, das mit der aktuell eingesetzten Standardsoftware und -hardware nicht praktikabel wäre. Dennoch betont die Bundesregierung, dass große Anstrengungen unternommen werden, um auch Bedrohungen durch fremdstaatliche Akteure entgegenzuwirken und verweist dabei auf sichere Lieferketten bei der Ausgabe von elektronischen Identitäten, Konnektoren und Kartenlesegeräten. Ungeklärt bleibt allerdings die Frage, ob die gesetzlich vorgesehenen Maßnahmen ausreichen, um gezielte Angriffe, insbesondere durch staatliche Akteure, abzuwehren.

Die Bundesregierung betont in ihren Antworten regelmäßig, dass alle personenbezogenen Daten, einschließlich medizinischer Informationen, unter strengen Sicherheitsvorkehrungen stehen. Darüber hinaus will die Gematik, die Sicherheit der ePA durch zusätzliche Maßnahmen zu erhöhen. Dazu gehöre auch die Einbeziehung externer Experten und Sicherheitsforschern, um potenzielle Schwächen frühzeitig zu identifizieren. Die Bundesregierung verweist in dem Kontext auch auf das von der Gematik im Oktober 2022 gestartete Bug-Bounty-Programm.

(mack)