Trotz zusätzlicher Maßnahmen: EPA startet mit Sicherheitslücke
Gesundheitsminister Karl Lauterbach bei der Vorstellung der elektronischen Patientenakte. / © IMAGO/IPON
Der scheidende Gesundheitsminister Karl Lauterbach (SPD) hatte immer wieder betont, dass der Rollout der EPA erst beginnen dürfe, wenn die Sicherheit der digitalen Akten vollständig gewährleistet ist. Doch nur wenige Tage nach dem bundesweiten EPA-Start meldete der Spiegel, dass es den IT-Experten des Chaos Computer Clubs erneut gelungen ist, sich unbefugt Zugriff auf die Akten zu verschaffen.
Im Dezember 2024 machte der Chaos Computer Club erstmals gravierende Sicherheitslücken in der elektronischen Patientenakte öffentlich. Die Pilotphase der EPA wurde daraufhin verlängert und die Digitalagentur Gematik implementierte zusätzliche Sicherheitsmaßnahmen. Mitte April verkündete Lauterbach, dass die Sicherheitsbedenken inzwischen ausgeräumt seien.
Doch in Begleitung des Spiegels gelang es den Sicherheitsforschern Martin Tschirsich und Bianca Kastl, die schon im vergangenen Jahr in die EPA einbrechen konnten, erneut, unbefugt auf einzelne Patientenakten zuzugreifen. Die IT-Experten bezeichneten die neuen Sicherheitsmaßnahmen gegenüber dem Nachrichtenmagazin als wirkungslos.
»Man hat ein zusätzliches Vorhängeschloss an die Tür gemacht, doch der Schlüssel liegt weiterhin unter der Fußmatte.«
Martin Tschirsich, Sicherheitsforscher
Am Mittwoch erklärte Bianca Kastl auch im Gespräch mit der PZ, dass sie die in den vergangenen Monaten ergriffenen Maßnahmen für »grundsätzlich ungeeignet« hält, um die aufgedeckten Mängel in der Sicherheitsarchitektur auszugleichen. Statt die zugrundeliegenden Probleme anzugehen, bemühe man sich nur um Schadensbegrenzung. Der flächendeckende Start der EPA ist nach Kastls Einschätzung »übereilt«.
Um massenhafte Zugriffe auf Millionen Patientenakten zu verhindern, hat die Gematik nach Angaben des Spiegels sogenannte »rate limits« eingeführt. Die einzelnen Gesundheitseinrichtungen können nur noch eine begrenzte Zahl an EPA-Zugriffsbefugnissen anfordern. Die genaue Zahl hängt demnach von der Größe der Einrichtungen ab. Ein Krankenhaus erhält maximal 200.000 Zugriffe pro Monat, eine kleine Zahnarztpraxis nur 10.000.
Außerdem soll sichergestellt werden, dass eine EPA nur im Beisein oder mit Einverständnis des Patienten geöffnet werden kann. Für den EPA-Zugriff braucht es jetzt einen zusätzlichen Prüfwert. Dieser errechnet sich aus dem Datum des Versicherungsbeginns und der Straße und Hausnummer der Wohnanschrift der versicherten Person. Das Datum des Versicherungsbeginns ist nicht auf der Gesundheitskarte aufgedruckt und normalerweise auch nicht offen im Internet verfügbar. Theoretisch müsste ein Angreifer also den Chip der elektronischen Gesundheitskarte auslesen, um an das Datum zu gelangen.
Doch wie der Spiegel berichtet, fanden Martin Tschirsich und Bianca Kastl einen zusätzlichen Weg: Die sogenannten elektronischen Ersatzbescheinigungen wurden eingeführt, damit Patienten, die beispielsweise ihre Gesundheitskarte vergessen haben, trotzdem abrechnen können. Mithilfe eines extra entwickelten Programms konnten die IT-Spezialisten die Ersatzbescheinigungen automatisiert abfragen und erhielten so von den Krankenkassen alle benötigten Daten zum EPA-Zugriff. Das automatisierte Verfahren funktionierte unter anderem mit der Techniker Krankenkasse, der Barmer und der hkk.
pharmazeutische-zeitung
