Sicherheit

Nein. Der Chaos Computer Club hat ein Szenario für unberechtigte Zugriffe auf die elektronische Patientenakte beschrieben. Mit dieser potenziellen Sicherheitslücke allein wäre kein Angriff gegen eine einzelne oder mehrere Patientenakten möglich gewesen. Wir haben die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen.

Die Kenntnis der Versichertenmerkmale allein reicht für einen Angriff nicht aus. Dafür müssten mehrere weitere Voraussetzungen erfüllt sein, die einen tatsächlichen Zugriff auf Daten sehr unwahrscheinlich machen. Der potenzielle Angreifer hätte vorher Kenntnis über die Krankenversichertennummer und die Kartennummer des Versicherten haben müssen und müsste außerdem über die komplette technische Ausstattung verfügen, um sich an das sichere Netz des Gesundheitswesens (Telematikinfrastruktur) anzuschließen. Es ist außerdem ein hoher und komplexer Aufwand notwendig, um einen Angriff durchzuführen, denn erst die Kombination aus einer freigeschalteten Karte, der zugehörigen PIN, Zugangsdienst, Konnektor und der technisch komplexen Manipulation würde einen Angriff ermöglichen.

Das Maßnahmenpaket bietet einen hohen Schutz gegen einen möglichen Angriff auf eine hohe Anzahl an Patientenakten. Gezielte Zugriffe auf einzelne Akten können nie ganz ausgeschlossen werden. Ein solcher Angriff ist jedoch mehrschichtig und hat eine Vielzahl an Hürden. Außerdem wird die Sicherheit der Telematikinfrastruktur und aller Anwendungen fortlaufend geprüft - in enger Abstimmung mit den zuständigen Behörden und externen Expert:innen. Mit einem kontinuierlichen Sicherheitsmonitoring überwachen wir fortlaufend alle Dienste und leiten bei entsprechender Bewertung notwendige Maßnahmen umgehend ein.

Aufgrund der Hinweise haben wir sofort das eEB-Verfahren ausgesetzt, das bereits einige Krankenkassen nutzen, um Ersatzbescheinigungen für die Versichertenkarte (eGK) auszustellen.

Zum Hintergrund (siehe Pressemitteilung, 30.04.2025: https://www.gematik.de/newsroom/news-detail/aktuelles-epa-sicherheitsluecke-geschlossen):

Laut CCC ist es möglich gewesen, über Elektronische Ersatzbescheinigungen von Versichertenkarten den Behandlungskontext einer versicherten Person zu fälschen. In Kombination mit der Versichertennummer, einem Codierungsschlüssel sowohl einem illegal beschafften Praxisausweis (SMC-B) und einem Anschluss an die Telematikinfrastruktur (TI) wäre damit theoretisch der Zugriff auf Patientenakten vereinzelt möglich.

Wir haben die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen. Die potenziell betroffenen Versicherten wurden identifiziert und geschützt.

Zusammen mit dem Bundesministerium für Gesundheit und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die gematik ein Maßnahmenpaket entwickelt, das auch die Punkte des CCC adressiert:

• Verhinderung, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können,
• Schließung der Sicherheitslücke durch die Nutzung von Merkmalen, die den Behandlungskontext weiter absichern,
• Sensibilisierung der Nutzerinnen und Nutzer der Telematikinfrastruktur im Umgang und Schutz der technischen Infrastruktur, Ausweisen und Karten,
• Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung. 

Zudem entwickelt die gematik zusammen mit ihren Gesellschaftern und dem BSI fortlaufend weitere Maßnahmen, um missbräuchliche Zugriffe künftig noch besser zu erkennen, zu verhindern und zu sanktionieren. 

Derzeit werden kurzfristig umsetzbare Maßnahmen geprüft, um das Verfahren für die eEB wieder in Betrieb nehmen zu können.

Auch wenn das eEB-Verfahren aktuell ausgesetzt wurde, bestehen weitere Möglichkeiten, an eine Ersatzbescheinigung zu gelangen, falls die Versichertenkarte in der Praxis nicht vorliegt. So kann weiterhin über eine Krankenkassen-App oder per Fax ein Nachweis über den Versicherungsstatus belegt werden. Die gematik prüft in Zusammenarbeit mit den Kassen, wie das Verfahren der elektronischen Ersatzbescheinigung angepasst werden kann.

Eine Verfügbarkeitsstörung würde einen illegalen Zugriff auf Daten nicht erleichtern. Nicht einmal die berechtigten Userinnen und User könnten noch auf die Daten zugreifen.

Krankenkassen haben aufgrund technischer Mechanismen keine Möglichkeit, die Inhalte einer ePA einzusehen.

Technisch ist es möglich, mehrere Dokumente zusammen  herunterzuladen.

Hier gelten die gleichen Sicherungsmechanismen, die auch erforderlich sind, wenn ein Krankenhaus Zugang zu den Patientenakten im Krankenhaus-Informationssystem gewährt. Wenn eine Person in einer Einrichtung auf die ePA zugreifen will, muss sie sich authentisieren. Das  funktioniert über die sogenannte Institutionskarte, die SMC-B-Karte. Damit identifiziert sich die Person gegenüber dem ePA-System als Teil einer medizinischen Institution. 
Im zweiten Schritt prüft die Akte selbst zuerst, ob ein Behandlungskontext für die jeweilige Einrichtung besteht. Dieser gilt ab Stecken eGK vor Ort oder ab Freischaltung des Zugriffsrechts in der ePA-App für standardmäßig 90 Tage. In diesem Zeitraum besteht damit das Zugriffsrecht auf die jeweilige ePA. Der Zeitraum kann in der ePA-App allerdings auch beendet oder verlängert werden.

Die ePA wurde unter Beachtung höchster Sicherheitsstandards und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik entwickelt. Zusätzlich werden alle Sicherheitsanforderungen mittels Sicherheitsgutachten geprüft, bevor eine Zulassung für den Betrieb ausgesprochen wird.

In der KBV IT- Sicherheitsrichtlinie (https://www.kbv.de/html/it-sicherheit.php) werden Vorgaben für die Austattung von Praxen gemacht. 

Die ePA wurde unter Beachtung höchster Sicherheitsstandards und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Zusätzlich werden alle Sicherheitsanforderungen mittels Sicherheitsgutachten geprüft, bevor eine Zulassung für den Betrieb der jeweiligen ePA ausgesprochen wird.

Die Rechenzentren stehen alle in Deutschland.

Die Sicherheitsarchitektur der ePA ist so konzipiert, dass nur die Patientin bzw. der Patient selbst sowie das berechtigte medizinische Personal in die jeweilige ePA schauen kann. Ein Zugriff von Dritten (bspw. der Krankenkasse) wird mit technischen und organisatorischen Maßnahmen verhindert.
Während der Übertragung in die ePA werden alle Dokumente nach internationalen Standards verschlüsselt und in der sogenannten VAU (Vertrauenswürdige Anwendungsumgebung) der ePA verarbeitet. Zur Ablage werden die Dokumente mit einem individuellen Datenablageschlüssel verschlüsselt. Diese Datenablageschlüssel sind so komplex, dass sie quasi nicht zu knacken sind. Dritte haben keinen Zugriff auf diese Schlüssel und können die Dokumente dementsprechend nicht einsehen.