ePA: Potenzielles Datenleck wieder dicht
Nach der jüngst aufgedeckten Sicherheitslücke in der elektronische Patientenakte (ePA) hat die Kassenärztliche Bundesvereinigung (KBV) davor gewarnt, die Glaubwürdigkeit und Akzeptanz der ePA zu gefährden. Laut einem Bericht des Magazins „Spiegel“ erwiesen sich auch die neuen Sicherheitsmaßnahmen für die erst am Dienstag bundesweit gestartete ePA als unzureichend.
Demnach konnte der Chaos Computer Club (CCC) einen neuen zusätzlich geforderten Datenabgleich aushebeln. Laut der für die Telematikinfrastruktur (TI) im Gesundheitswesen zuständigen Gematik wurde diese Sicherheitslücke aber sofort geschlossen. Dies sei zu hoffen, sagte ein KBV-Sprecher G+G.
„Aufgrund der Hinweise haben wir präventiv als erste Sofortmaßnahme das Verfahren vorerst ausgesetzt, das bereits einige Kassen für Ersatzbescheinigungen alternativ zur Versichertenkarte (eGK) nutzen“, teilte Gematik-Geschäftsführer Florian Fuhrmann am späten Mittwochnachmittag mit. „Wir prüfen und monitoren laufend und mit höchster Priorität. Wir haben bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat.“ In der Frühphase des ePA-Starts sei mit solchen Angriffsszenarien zu rechnen gewesen, räumte der scheidende Bundesgesundheitsminister Karl Lauterbach ein. „Ich bin der Gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen hat. Die ePA müsse sehr gut geschützt bleiben und Massenangriffe auf Patientendaten müssten ausgeschlossen bleiben, so der SPD-Politiker.
Bereits Ende des vergangenen Jahres hatte der CCC auf Sicherheitslücken der ePA hingewiesen. Der Start wurde daraufhin immer wieder verschoben. Lauterbach versprach damals, die Akte werde erst dann ausgerollt, wenn „alle Hackerangriffe, auch des CCC, technisch unmöglich“ seien. Laut „Spiegel“ demonstrierte der CCC dem Magazin nun, wie sich die neue, zusätzliche Abfrage eines Prüfwertes unter bestimmten Voraussetzungen im System der elektronischen Ersatzbescheinigung automatisiert abfragen lasse. Dieses werde genutzt, um Patienten, die ihre Gesundheitskarte vergessen hätten, trotzdem abrechnen zu können.
Die Nutzung der ePA bleibt nach ihrem bundesweiten Rollout für Ärzte, Apotheken und Krankenhäuser zunächst freiwillig. Die verpflichtende Einführung für alle Leistungserbringer ist ab 1. Oktober 2025 vorgesehen. In der ePA werden Diagnosen, Arztbriefe, eingenommene Medikamente und sonstige Gesundheitsdaten digital erfasst. Versicherte müssen der Einrichtung aktiv widersprechen. (bhu)