CHIP-Newsletter vom 30.12.2024 zur elektronischen Gesundheitsakte: Große Sicherheitsmängel
Große Sicherheitsmängel in der elektronischen Patientenakte: Chaos Computer Club schlägt Alarm
30.12.2024 12:33
Von:Die Einführung der elektronischen Patientenakte (ePA) für alle Versicherten steht kurz bevor, doch IT-Experten warnen vor eklatanten Sicherheitslücken.
Auf dem 38. Chaos Communication Congress (38C3) in Hamburg demonstrierte der CCC, wie sich unberechtigter Zugriff auf Millionen von Gesundheitsakten erlangen lässt. Besonders alarmierend: Viele der Schwachstellen sind seit Jahren bekannt, aber weiterhin ungelöst.
Zugriff ohne Karte oder PIN
Eine der gravierendsten Sicherheitslücken betrifft den Zugriff auf die ePA: Laut den Experten ist es möglich, Zugriffstoken für Patientenakten zu erstellen, ohne dass die Gesundheitskarte physisch vorliegen muss. Die neue Version der ePA, die ohne PIN auskommt, macht den Schutz noch angreifbarer. Theoretisch könnten Kriminelle auf die Gesundheitsdaten von über 70 Millionen Versicherten zugreifen.
Auch die Beantragungsprozesse für Gesundheitskarten zeigen erhebliche Schwächen. So konnten durch einfache Anrufe bei Krankenkassen Karten auf fremde Namen bestellen – in nur 10 bis 20 Minuten. Der unkontrollierte Umgang mit Heilberufs- und Praxisausweisen eröffnet ebenfalls Einfallstore. Ein kompromittierter Praxiszugang kann Tausende Patientenakten gefährden.
Bekannte Probleme, unzureichende Lösungen
Die elektronische Patientenakte soll das nächste große Gesundheits-Digitalprojekt in Deutschland werden.
Die Forscher kritisieren, dass viele dieser Probleme seit Jahren bekannt sind, aber unzureichend adressiert wurden. Besonders problematisch sei, dass unsicher konfigurierte IT-Systeme in Praxen und Krankenhäusern oft Tür und Tor für Angriffe öffnen. Hinzu kommt, dass Kartenlesegeräte aus zweiter Hand leicht manipuliert werden können, wie Demonstrationen mit gebrauchten Geräten zeigten.
Die Gematik, die Organisation hinter der ePA, verweist auf technische Lösungen, die bereits in Arbeit seien. Dennoch hält sie die Wahrscheinlichkeit für erfolgreiche Angriffe für gering. IT-Sicherheitsforscher widersprechen: Die gezeigten Szenarien seien nicht nur theoretisch, sondern in der Praxis leicht umsetzbar.
Forderung nach mehr Transparenz
Der CCC fordert eine grundlegende Reform des Entwicklungsprozesses der ePA. Es brauche mehr Transparenz, unabhängige Prüfungen und eine ehrliche Kommunikation der Risiken gegenüber den Versicherten. Nur so könne Vertrauen in eine digitale Gesundheitsinfrastruktur entstehen.
- Elektronische Patientenakte widersprechen: Kostenloses PDF zum Download (https://www.chip.de/news/Elektronische-Patientenakte-widersprechen-Kostenloses-PDF-zum-Download_185470776.html)
Elektronische Patientenakte – Widerspruch (PDF)
Elektronische Patientenakte – Widerspruch (PDF)
- AOK Widerspruch ePA : https://www.aok.de/pk/versichertenservice/epa-widerspruch/
- Barmer Widerspruch ePA : https://www.barmer.de/resource/blob/1278198/c0cbbb9d83bc7e0dd2c26515c581d7f1/epa-widerspruch-13112-data.pdf
- hkk Widerspruch ePA : https://www.hkk.de/meine-hkk/elektronische-patientenakte/opt-out-einfach-erklaert
- Mobil Krankenkasse Widerspruch ePA : https://mobil-krankenkasse.de/unser-service/elektronische-patientenakte/widerspruch-epa.html
- SBK Widerspruch ePA : https://www.sbk.org/beratung-leistungen/e-health/digitale-services/sbk-patientenakte-epa/widerspruch-epa/
- Techniker Widerspruch ePA : https://www.tk.de/service/form/2165800/epaoptout/ePAOptOut.form