Sicherheitsmängel begleiten die elektronische Patientenakte (ePA) seit ihrer Einführung im Jahr 2020. Mit der Umstellung von Opt-In auf Opt-Out kommt nun die Patientenakte „für alle“: Gesundheitsdaten von über 70 Millionen Versicherten werden ohne deren Zutun über Praxis- und Krankenhausgrenzen hinweg in einer zentralen Datenbank zusammengeführt. Doch auch die „ePA für alle“ kann ihre Sicherheitsversprechen nicht halten. Beim 38C3 wurde demonstriert, wie unberechtigte Personen mit wenig Aufwand massenhaften Zugang zur ePA für alle erlangen können.

Der Chaos Computer Club (CCC) begleitet die Lösungen aus dem Hause Gematik seit Jahren mit einer morbiden Faszination. Eine erneute Analyse des aktuellen Stands beim 38C3 Ende Dezember 2024 ergab nun erneut Bedenkliches: Sicherheitsforscher zeigten unter anderem, wie sie sich mit wenig Aufwand und zum wiederholten Male gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten. Ursächlich sind erneut Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Feld. Zudem demonstrieren die Forscher, wie Mängel in der Spezifikation es ermöglichen, Zugriffstoken für Akten beliebiger Versicherter zu erstellen. Dies ist möglich, ohne dass die Gesundheitskarten präsentiert oder eingelesen werden müssen. Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten. Wie schon bei der letzten Visite gelang der Fernzugriff auf Patientenakten über unsicher konfigurierte IT, sowohl in den Gesundheitseinrichtungen als auch über Dienstleister-Zugänge. Trotzdem soll nun im Rahmen der Initiative „ePA für alle“ das Experiment auf fast alle Versicherten ausgedehnt werden.

Während die Sicherheitsforscher des CCC in der ePA wühlten, wurde am Fraunhofer-Institut das Sicherheitskonzept mit geringen Mängeln für „sicher“ befunden. Ein Vorgehen, das nur Stirnrunzeln hervorrufen kann. Die freudige Feststellung der Gematik: „Gutachten bestätigt: ePA für alle ist sicher“ kann nun getrost endgültig als halluzinierte Fehldiagnose betrachtet werden.

Quelle: Stellungnahme des CCC vom 27.12.2024