Kostenlos Registrieren
Kostenlos Registrieren
DMRZ.de-Blog
  • Home
  • Blog
  • Die ePA für alle wird erprobt: IT-Expert:innen warnen vor Sicherheitslücken
epa header
Telematikinfrastruktur

Die ePA für alle wird erprobt: IT-Expert:innen warnen vor Sicherheitslücken

Am 15. Januar startete in Modellregionen die ePA für alle. Doch aktuell besteht noch Sorge um Sicherheit und Datenschutz.

In einem vorigen Beitrag haben wir die elektronische Patientenakte (ePA) für alle vorgestellt, die seit Kurzem in 300 Praxen in den Modellregionen Franken, Hamburg und Nordrhein-Westfalen getestet wird. Doch wie ist die ePA für alle geschützt? Wie sicher sind die personenbezogenen Gesundheitsdaten?

epa zustaendig

Wer sich um die Sicherheit und den Schutz der ePA kümmert

Zuständig für die Digitalisierung des Gesundheitswesens und die Entwicklung und Umsetzung einer sicheren Telematikinfrastruktur (TI) ist die gematik, die mehrheitlich dem Bundesministerium für Gesundheit untersteht. Zu ihren Hauptanliegen gehören u. a.:

  • die Einführung und Weiterentwicklung der ePA

  • die Bereitstellung von Anwendungen wie des E-Rezepts

  • die Gewährleistung höchster Sicherheitsstandards

Hierfür arbeitet die gematik mit Sicherheits- und Datenschutzbehörden, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zusammen.

Laut eines Whitepapers der gematik zu Datenschutz und Informationssicherheit der TI, werden die Gesundheitsdaten von Krankenversicherten in einem zentralen Netzwerk, dem ePA-Fachdienst gespeichert. Der wird im Auftrag der Krankenkassen betrieben und ist ans zentrale Netz der TI angeschlossen.

Die ePA von Versicherten ist individuell verschlüsselt

Auf die ePA dürfen nur berechtigte Nutzer:innen zugreifen. Das sind:

  • die/der Krankenversicherte oder ihr:e Vertreter:in

  • Leistungserbringer:innen

Gesichert ist der ePA-Zugriff mit einer zweistufigen Berechtigung.

Bei der Eröffnung einer ePA wird dem/der Versicherten ein zufälliger Aktenschlüssel auf dem Konnektor des/der Leistungserbringer:in, beziehungsweise in der ePA-App erstellt. Er wird individuell erzeugt und dient der Verschlüsselung der ePA des/der Versicherten. Somit kann nur der/die Versicherte selbst oder die/der berechtigte Leistungserbringer:in ihn entschlüsseln, nicht aber der Anbieter des Fachdiensts.

Erhältst Du die Berechtigung, auf eine ePA zuzugreifen, wird der Aktenschlüssel an das ePA-Fachmodul auf dem Konnektor der Heilberufler:in weitergeleitet. Innerhalb des Fachmoduls kann er dann von der/dem berechtigte:n Leistungserbringer:in entschlüsselt werden.

Die ePA-Berechtigung funktioniert laut gematik über die sogenannte Zugriffspolicy. In ihr ist geregelt, welche Rechte ein:e Nutzer:in im Umgang mit der ePA eines/einer Versicherten besitzt. Gibt die/der Versicherte Dir die Berechtigung, auf seine ePA zuzugreifen, wird es in der Zugriffspolicy per Zugriffsregel hinterlegt. Sie wird gelöscht, wenn die/der Versicherte Dir die Berechtigung entzieht.

epa dmrz

Der Chaos Computer Club deckte neue Sicherheitslücken auf

Obwohl IT-Expert:innen schon länger Sicherheitsbedenken betreffend der ePA äußern, kam das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in einem Gutachten im Auftrag der gematik Mitte Oktober zu dem Schluss: „Die ePA für alle ist sicher“. Dennoch empfahl es „ergänzende Maßnahmen zur Optimierung“ ihrer Sicherheit.

Zu ganz anderen Ergebnissen gelangten die IT-Expert:innen des Chaos Computer Clubs (CCC) bei einem Kongress Ende Dezember. Die größte Hacker-Vereinigung Europas, die ihre Wurzeln in Deutschland hat, deckte neue massive Sicherheitslücken auf und resümiert: „Die ePA für alle kann ihre Sicherheitsversprechen nicht einlösen.“

Bei ihrer Analyse gelang es den CCC-Expert:innen, auf Gesundheitsdaten von Patient:innen zuzugreifen. Sie schlossen sich an die TI an, indem sie:

  • gültige Heilberufs- und Praxisausweise,

  • Gesundheitskarten Dritter,

  • sowie Hardware von Ärzt:innenpraxen, etwa Kartenlesegeräte, beschaffen konnten.

Hierzu sagte Bianca Kastl vom CCC, die die Ergebnisse gemeinsam mit ihrem Kollegen Martin Tschirisch vorstellte: „Es gibt dafür eine Art Gebrauchtmarkt“ – etwa auf Online-Gebrauchtwaren-Portalen.

Eine Sicherheitslücke machten sie auch bei Versichertenkarten aus: „Es ist nicht notwendig, diese Karte wirklich physikalisch einzustecken. Es reicht, dem Gerät die Nummer der Karte vorzuspielen, um Zugriff zur Akte zu bekommen“, betonte Kastl. Zudem konnten sie ohne vorliegende Gesundheitskarte Aktenschlüssel für Gesundheitsakten erstellen und so auf die Daten von Millionen von Versicherten zugreifen.

dmrz epa

Offener Brief ans Gesundheitsministerium: Medizinische Akteure fordern verstärkten Datenschutz der ePA

Den CCC-Analysen sorgten bei einigen Akteuren des Gesundheitssystems für Besorgnis bezüglich Datenschutz und Sicherheit der ePA. In einer Pressemitteilung Anfang Januar erklärten Bundesärztekammer (BÄK) und Berufsverband der Kinder- und Jugendärztinnen und -ärzte (BVKJ) ihre Sicherheitsbedenken, wie das Ärzteblatt berichtete.

Und Mitte Januar richteten sich verschiedene zivilrechtliche Organisationen in einem offenen Brief an Gesundheitsminister Karl Lauterbach. Unter ihnen das Zentrum für Digitalen Fortschritt (D64), der Innovationsverbund Öffentliche Gesundheit, die Deutsche Aidshilfe und die BAG Selbsthilfe. Sie fordern einen Fünf-Punkte-Plan für den langfristigen Erfolg der ePA:

  1. Zusätzliche Sicherheitsmaßnahmen sollen beim ePA-Start in Modellregionen ergriffen werden, um nun bekannte Sicherheitslücken zu schließen.

  2. Nach dem Test in den Modellregionen sollten Leistungserbringer:innen und Versicherte in seine Bewertung einbezogen werden.

  3. Expert:innen sollten die Möglichkeit erhalten, Sicherheitsrisiken der ePA belastbar zu bewerten, etwa im Rahmen einer Testumgebung.

  4. Die Krankenkassen sollten ihre Versicherten neutraler informieren und der Transparenz wegen auf Sicherheitsbedenken aufmerksam machen.

  5. Auch nach dem ePA-Start sollte es „dauerhaft einen offenen Prozess der Weiterentwicklung geben“

Ziel müsse es sein, unterschiedliche Interessen in Einklang zu bringen. Denn nur so könne die ePA auch das beitragen, was sie ihrer Grundidee nach soll: Einen positiven Nutzen für medizinische Leistungserbringer:innen und Patient:innen gleichermaßen zu bieten.

Nach der Erprobung soll die ePA flächendeckend zum Einsatz kommen. Wann und wie bisherige Sicherheitslücken geschlossen werden, bevor die ePA für alle wirklich für alle Krankenversicherten kommt, bleibt abzuwarten. Grund genug für uns von DMRZ.de, Pläne und Neuerungen rund um die ePA weiter zu verfolgen.

 

Allgemeiner Hinweis:  Unsere Blogartikel dienen lediglich zur Information und bieten einen Überblick über das Thema. Trotz sorgfältiger Recherche und Prüfung können wir keine Garantie auf Richtigkeit oder Vollständigkeit der Informationen und Daten übernehmen. Konkrete Informationen findest Du unter den jeweils genannten Quellen.

DMRZ.de-Newsletter

Abonnieren Sie unseren Newsletter

Profitieren Sie von den aktuellen News Ihrer Branche!

Newsletter

Alle Broschüren zu unseren Produkten

Wissen kompakt für Sie zusammengestellt!

Broschüren

Geld sparen einfach gemacht

Unsere attraktiven Verbandskonditionen auf einen Blick!

Verbandskonditionen
Rückruf-Service Rückrufe erfolgen in der Regel Mo.-Fr.: 8.30-17.00 Uhr
Interessenten-Hotline 0211 6355-9087 Mo.-Fr.: 8.30-17.00 Uhr
Interessiert? Kontaktieren Sie uns!