Sicherheit

Schutz auf höchstem Niveau

Die ePA für alle wurde und wird mit höchsten und modernsten Sicherheitsstandards gebaut, welche die gematik zusammen mit den obersten Sicherheits- und Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickelt und abstimmt. Zusätzlich schützt ein mehrstufiges Sicherheitskonzept die Telematikinfrastruktur (TI). Außerdem wird die Sicherheit der TI und aller Anwendungen fortlaufend geprüft - in enger Abstimmung mit den zuständigen Behörden und externen Expertinnen und Experten.

Stellungnahme zum CCC-Vortrag zur ePA für alle

Lesen Sie auch unsere Informationen dazu im Newsroom:
Stellungnahme zum CCC-Vortrag zur ePA für alle / ePA-Sicherheitslücke geschlossen 

SMC-B: Sicherer Umgang mit dem Schlüssel zur Telematikinfrastruktur

Die Security Module Card Typ B (SMC-B) ist ein elektronischer Praxisausweis, der die sichere Authentifizierung und den Zugang zur Telematikinfrastruktur (TI) gewährleistet. Sie ermöglicht Einrichtungen im Gesundheitswesen, auf die TI zuzugreifen. Die Karte steckt im eHealth-Kartenterminal, das mit dem Konnektor verbunden ist. Der sorgsame und sichere Umgang mit der SMC-B ist deshalb entscheidend.

Erklärfilm SMC-B

Erklärfilm zur SMC-B zum Download

Erklärfilm SMC-B
MP4 | 9 MB | 21.05.2025

Fragen und Antworten zur Sicherheit

Gab es einen erfolgreichen Angriff auf Patientenakten von Versicherten?

Nein. Der Chaos Computer Club hat ein Szenario für unberechtigte Zugriffe auf die elektronische Patientenakte beschrieben. Mit dieser potenziellen Sicherheitslücke allein wäre kein Angriff gegen eine einzelne oder mehrere Patientenakten möglich gewesen. Wir haben die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen.

Welche Voraussetzungen braucht es, um die vom CCC aufgedeckten Sicherheitslücken ausnutzen zu können?

Die Kenntnis der Versichertenmerkmale allein reicht für einen Angriff nicht aus. Dafür müssten mehrere weitere Voraussetzungen erfüllt sein, die einen tatsächlichen Zugriff auf Daten sehr unwahrscheinlich machen. Der potenzielle Angreifer hätte vorher Kenntnis über die Krankenversichertennummer und die Kartennummer des Versicherten haben müssen und müsste außerdem über die komplette technische Ausstattung verfügen, um sich an das sichere Netz des Gesundheitswesens (Telematikinfrastruktur) anzuschließen. Es ist außerdem ein hoher und komplexer Aufwand notwendig, um einen Angriff durchzuführen, denn erst die Kombination aus einer freigeschalteten Karte, der zugehörigen PIN, Zugangsdienst, Konnektor und der technisch komplexen Manipulation würde einen Angriff ermöglichen.

 

Wie bewertet die gematik das Risiko von Angriffen auf die elektronische Patientenakte?

Das Maßnahmenpaket bietet einen hohen Schutz gegen einen möglichen Angriff auf eine hohe Anzahl an Patientenakten. Gezielte Zugriffe auf einzelne Akten können nie ganz ausgeschlossen werden. Ein solcher Angriff ist jedoch mehrschichtig und hat eine Vielzahl an Hürden. Außerdem wird die Sicherheit der Telematikinfrastruktur und aller Anwendungen fortlaufend geprüft - in enger Abstimmung mit den zuständigen Behörden und externen Expert:innen. Mit einem kontinuierlichen Sicherheitsmonitoring überwachen wir fortlaufend alle Dienste und leiten bei entsprechender Bewertung notwendige Maßnahmen umgehend ein.

Welche Maßnahmen hat die gematik bei Bekanntwerden der Sicherheitslücke im April umgesetzt?

Aufgrund der Hinweise haben wir sofort das eEB-Verfahren ausgesetzt, das bereits einige Krankenkassen nutzen, um Ersatzbescheinigungen für die Versichertenkarte (eGK) auszustellen.

Zum Hintergrund (siehe Pressemitteilung, 30.04.2025: https://www.gematik.de/newsroom/news-detail/aktuelles-epa-sicherheitsluecke-geschlossen):

Laut CCC ist es möglich gewesen, über Elektronische Ersatzbescheinigungen von Versichertenkarten den Behandlungskontext einer versicherten Person zu fälschen. In Kombination mit der Versichertennummer, einem Codierungsschlüssel sowohl einem illegal beschafften Praxisausweis (SMC-B) und einem Anschluss an die Telematikinfrastruktur (TI) wäre damit theoretisch der Zugriff auf Patientenakten vereinzelt möglich.

Wir haben die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen. Die potenziell betroffenen Versicherten wurden identifiziert und geschützt.

Mit welchen Maßnahmen wurde den Sicherheitsmängeln, die der Chaos Computer Club (CCC) im Dezember 2024 öffentlich gemacht hat, begegnet?

Zusammen mit dem Bundesministerium für Gesundheit und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die gematik ein Maßnahmenpaket entwickelt, das auch die Punkte des CCC adressiert:

  • Verhinderung, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können,
  • Schließung der Sicherheitslücke durch die Nutzung von Merkmalen, die den Behandlungskontext weiter absichern,
  • Sensibilisierung der Nutzerinnen und Nutzer der Telematikinfrastruktur im Umgang und Schutz der technischen Infrastruktur, Ausweisen und Karten,
  • Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung. 

Zudem entwickelt die gematik zusammen mit ihren Gesellschaftern und dem BSI fortlaufend weitere Maßnahmen, um missbräuchliche Zugriffe künftig noch besser zu erkennen, zu verhindern und zu sanktionieren. 

Kann die elektronische Ersatzbescheinigung perspektivisch wieder eingeführt werden?

Derzeit werden kurzfristig umsetzbare Maßnahmen geprüft, um das Verfahren für die eEB wieder in Betrieb nehmen zu können.

Ist das Aussetzen des eEB-Verfahrens eine Dauerlösung oder gibt es noch einen Weg, dieses Verfahren der Ersatzbescheinigung sicher zu machen?

Auch wenn das eEB-Verfahren aktuell ausgesetzt wurde, bestehen weitere Möglichkeiten, an eine Ersatzbescheinigung zu gelangen, falls die Versichertenkarte in der Praxis nicht vorliegt. So kann weiterhin über eine Krankenkassen-App oder per Fax ein Nachweis über den Versicherungsstatus belegt werden. Die gematik prüft in Zusammenarbeit mit den Kassen, wie das Verfahren der elektronischen Ersatzbescheinigung angepasst werden kann.

Können Daten abgefangen werden, wenn die TI wegen einer Störung nicht verfügbar ist?

Eine Verfügbarkeitsstörung würde einen illegalen Zugriff auf Daten nicht erleichtern. Nicht einmal die berechtigten Userinnen und User könnten noch auf die Daten zugreifen.

Wie wird verhindert, dass die Krankenkassen Zugriff auf die ePA-Daten haben, obwohl sie deren Betreiber sind?

Krankenkassen haben aufgrund technischer Mechanismen keine Möglichkeit, die Inhalte einer ePA einzusehen.

Ist es technisch möglich, eine größere Menge an Dokumenten gemeinsam herunterzuladen?

Technisch ist es möglich, mehrere Dokumente zusammen  herunterzuladen.

Mit welchen Sicherungsmechanismen stellen Praxen und Krankenhäuser sicher, dass Mitarbeitende nicht illegal Daten herunterladen können?

Hier gelten die gleichen Sicherungsmechanismen, die auch erforderlich sind, wenn ein Krankenhaus Zugang zu den Patientenakten im Krankenhaus-Informationssystem gewährt. Wenn eine Person in einer Einrichtung auf die ePA zugreifen will, muss sie sich authentisieren. Das  funktioniert über die sogenannte Institutionskarte, die SMC-B-Karte. Damit identifiziert sich die Person gegenüber dem ePA-System als Teil einer medizinischen Institution. 
Im zweiten Schritt prüft die Akte selbst zuerst, ob ein Behandlungskontext für die jeweilige Einrichtung besteht. Dieser gilt ab Stecken eGK vor Ort oder ab Freischaltung des Zugriffsrechts in der ePA-App für standardmäßig 90 Tage. In diesem Zeitraum besteht damit das Zugriffsrecht auf die jeweilige ePA. Der Zeitraum kann in der ePA-App allerdings auch beendet oder verlängert werden.

Wie sind die Server vor mechanischen und digitalen Angriffen geschützt?

Die ePA wurde unter Beachtung höchster Sicherheitsstandards und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik entwickelt. Zusätzlich werden alle Sicherheitsanforderungen mittels Sicherheitsgutachten geprüft, bevor eine Zulassung für den Betrieb ausgesprochen wird.

Wie sorge ich vor Ort in meiner Einrichtung dafür, die Daten in der ePA zu schützen?

In der KBV IT- Sicherheitsrichtlinie (https://www.kbv.de/html/it-sicherheit.php) werden Vorgaben für die Austattung von Praxen gemacht. 

Welches Sicherheitsniveau hat die ePA?

Die ePA wurde unter Beachtung höchster Sicherheitsstandards und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Zusätzlich werden alle Sicherheitsanforderungen mittels Sicherheitsgutachten geprüft, bevor eine Zulassung für den Betrieb der jeweiligen ePA ausgesprochen wird.

Wie wird sichergestellt, dass keine unbefugten Dritten Zugang zur ePA bekommen?

Die Sicherheitsarchitektur der ePA ist so konzipiert, dass nur die Patientin bzw. der Patient selbst sowie das berechtigte medizinische Personal in die jeweilige ePA schauen kann. Ein Zugriff von Dritten (bspw. der Krankenkasse) wird mit technischen und organisatorischen Maßnahmen verhindert.
Während der Übertragung in die ePA werden alle Dokumente nach internationalen Standards verschlüsselt und in der sogenannten VAU (Vertrauenswürdige Anwendungsumgebung) der ePA verarbeitet. Zur Ablage werden die Dokumente mit einem individuellen Datenablageschlüssel verschlüsselt. Diese Datenablageschlüssel sind so komplex, dass sie quasi nicht zu knacken sind. Dritte haben keinen Zugriff auf diese Schlüssel und können die Dokumente dementsprechend nicht einsehen. 

Zu diesem Suchbegriff wurde leider kein Eintrag gefunden.