Gesundheitsminister: E-Patientenakte startet, wenn "Hackerangriffe unmöglich"
Sicherheitsforscher demonstrierten eine Vielzahl von Sicherheitsmängeln bei der elektronischen Patientenakte. Gesundheitsminister verspricht Nachbesserungen.
(Bild: Noom_Studio/Shutterstock.com)
Nachdem die Sicherheitsforscher Bianca Kastl und Martin Tschirsich auf dem 38. Chaos Communication Congress eine Vielzahl von Sicherheitsmängeln bei der elektronischen Patientenakte demonstriert hatten, meldet sich jetzt Gesundheitsminister Karl Lauterbach bei X zu Wort. Er verspricht, dass die ePA erst kommt, wenn die Sicherheitsmängel behoben sind: "Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind".
Kurz zuvor hieß es von einer Sprecherin des Bundesgesundheitsministeriums (BMG) auf Nachfrage von heise online noch, man wolle trotzdem am bundesweiten Rollout ab dem 15. Januar festhalten. Über "das Problem" sei man mit dem CCC im Kontakt. "Das theoretische Problem, das der CCC beschreibt, wird vor der Einführung der ePA für alle gelöst sein. Das BSI wird dies zur gegebener Zeit offiziell bestätigen. Am 15. Januar startet wie geplant die Pilotphase. Die ePA für alle wird zum Start allen hohen Sicherheitsstandards genügen, die auch vom BSI und BfDI mitgetragen werden", sagte dazu die Sprecherin.
BfDI hat Sicherheitsmaßnahmen "dringend empfohlen"
Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider, äußert sich in ihrer Antwort auf die Anfrage von heise online differenzierter: Sie habe gegenüber der für die Digitalisierung im Gesundheitswesen verantwortlichen Gematik und dem BMG "frühzeitig auf das hohe Risikopotenzial der Schwachstellen hingewiesen und umgehende Maßnahmen zur Verringerung der damit verbundenen Risiken dringend empfohlen. Dabei haben das Bundesamt für Sicherheit in der Informationstechnik und die BfDI der Gematik eine Lösung empfohlen, mit der die Schwachstelle mitigiert werden kann", erklärt ein Sprecher der BfDI gegenüber heise online.
Schutzmaßnahmen in Arbeit
Sehr detailliert äußert sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf unsere Rückfrage. Es habe gemeinsam mit der Gematik Analysen vorgenommen und "umgehend zusätzliche Schutzmaßnahmen entwickelt und deren Umsetzung veranlasst", um mögliche "Zugriffe durch nicht autorisierte Personen auf die in der ePA hinterlegten Daten beliebiger Patientinnen und Patienten" zu verhindern, teilt eine Sprecherin des BSI mit.
Gleichzeitig erklärt das BSI, dass für diesen Angriff der Zugriff auf ein Kartenterminal, eine gültige SMC-B (Secure Module Card vom Typ Betriebsstätte) samt Pin und Konnektor zur Anbindung an die Telematikinfrastruktur – auch "Gesundheitsdatenautobahn" genannt – nötig sind. Die Sicherheitsforscher kamen unter anderem über Kleinanzeigen an die erforderliche Infrastruktur, "die Entsorgung entsprechender Infrastruktur und Gerätekarten" liege laut BSI jedoch im Verantwortungsbereich der "Einrichtungen des Gesundheitswesens", die "erneut entsprechend sensibilisiert und auf ihre Pflichten hingewiesen" worden seien. Die Gematik hatte in ihrer Reaktion auf die vorgestellten Sicherheitsmängel auf Geld- und Freiheitsstrafen verwiesen, sofern sich Kriminelle illegal Zugangsmittel beschaffen.
Bei einem weiteren Angriffsweg "über das aktive Kartenterminal vor Ort in einer Gesundheitseinrichtung" sind laut BSI-Sprecherin viel "technisches Know-how sowie ungehinderte[r] Zugriff auf das genannte Terminal" erforderlich. "Um eine entsprechende Manipulation zu verhindern, muss die Einsatzumgebung der Kartenterminals so gewählt sein, dass unautorisierte physische Zugriffe jederzeit durch das Gesundheitspersonal unterbunden werden können. Dies ist in den Anforderungen an die Aufstellung der Kartenterminals festgeschrieben. Die entsprechenden Geräte erschweren durch ihre bewusst gewählte Bauart zudem eine schnelle Ausführung des Angriffs", erklärt das BSI.
Weitere Schutzmaßnahmen in Arbeit
Laut BSI-Sprecherin ist die Pilotphase für den Start der elektronischen Patientenakte zunächst in 300 Gesundheitseinrichtungen in den drei Modellregionen geplant. Dafür befinden sich weitere Schutzmaßnahmen in Arbeit. Demnach werden für die teilnehmenden Gesundheitseinrichtungen "ein White-Listing eingeführt, sodass nur diese Praxen Zugriff auf die ePA erhalten".
Um eine Sicherheitslücke zu schließen, will die Gematik die Krankenversichertennummern zusätzlich verschlüsseln und "Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung" ausweiten. Außerdem wird die Gematik den "Sekundärmarkt für Praxisinfrastruktur" laut BSI intensiv beobachten. Zugriffe und Angriffe seien auf die jeweilige Praxisidentität zurückzuführen, was Kriminelle, die unbefugt an die Infrastruktur gelangen, nicht abhalten wird.
BSI will weitere Maßnahmen erneut bewerten
Mit verschiedenen Maßnahmen hält das BSI die Risiken eines "erfolgreichen Angriffs auf den Kreis teilnehmender Gesundheitseinrichtungen begrenzt" und schätzt die technischen und organisatorischen Maßnahmen (TOMs) als mindernd ein. Dennoch müssten "kurz- und mittelfristig" weiter TOMs umgesetzt werden, "die das Risiko eines erfolgreichen Angriffs weiter vermindern. Über den Start des bundesweiten Rollouts werden das Bundesministerium für Gesundheit (BMG) und die Gematik zu gegebener Zeit entscheiden. Zuvor werden die bis dahin umgesetzten Maßnahmen auch durch das BSI erneut bewertet", so die Sprecherin.
Der ehemalige Landesdatenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, hält den geplanten Rollout der ePA für ein "gewaltiges Wagnis für den Datenschutz der dort gesicherten Gesundheitsdaten". Er würde die Verantwortung dafür nicht übernehmen wollen. "Dass die Politik dies anders sieht, verstehe ich, auch angesichts der begründeten Erwartungen, die mit der ePA verbunden sind. Wenn schon Start, dann aber aufklärend und ehrlich, damit Betroffene eine bewusste Entscheidung zu ihrer Opt-out-Möglichkeit treffen können", erklärt Weichert auf Nachfrage von heise online. Kastl und Tschirsich hätten "eindrucksvoll dargestellt", dass die ePA nur eine begrenzte Sicherheit habe. Das müsse sich ändern.
Ende der ePA-Experimente
Der CCC forderte nach der Veröffentlichung des Vortrags ein "Ende der ePA-Experimente am lebenden Bürger". Die freie Ärzteschaft fordert einen sofortigen Stopp der Rollout-Pläne. Die aufgezeigten Sicherheitslücken führen dazu, dass mit wenig Aufwand der Zugriff "auf die sensiblen Krankheitsdaten von 70 Millionen gesetzlich Versicherten" möglich ist. "Das Narrativ von der sicheren ePA" sei laut Silke Lüder, Allgemeinärztin und stellvertretende Bundesvorsitzende der Freien Ärzteschaft, kurz vor der Einführung am 15. Januar 2025 gescheitert. Laut Lüder ist der Rollout "bei bestehenden systematischen Sicherheitslücken absolut verantwortungslos". Besonders schlimm sei, "dass Fehler in der Sicherheitskonstruktion teilweise schon seit Jahren bekannt, und trotzdem von der Gematik in der vorliegenden Spezifikation offenbar nicht geschlossen worden sind" so Lüder weiter. Die Reaktion der Gematik auf die Lücken bezeichnete sie als "absurd".
Aus Sicht von Patrick Breyer von der Piratenpartei sei es "gesetz- und datenschutzwidrig", dass die elektronische Patientenakte Mitte Januar starten soll, "obwohl nach eigenem Eingeständnis der gematik die Mega-Sicherheitslücke bestehen bleibt und Sicherheitsstandards bislang nicht umgesetzt sind. Vor allem aber zerstört diese Vorgehensweise Vertrauen und kann gesundheitliche Folgen für die Betroffenen haben", erklärt Breyer. Er fordert, dass die Bundesdatenschutzbeauftragte das "unverantwortliche Spiel mit unserer Gesundheit stoppen" soll, da "die Sicherheit unserer geistigen und körperlichen Gesundheit [...] nicht verhandelbar" sei.
(mack)
