Die elektronische Patientenakte (ePA) geht wie geplant am 15. Januar 2025 zunächst in den Modellregionen Franken, Hamburg und Nordrhein-Westfalen an den Start. Der Chaos Computer Club (CCC) hat nun erneut auf Sicherheitslücken aufmerksam gemacht. Die „ePA für alle“ könne ihre Sicherheitsversprechen nicht halten. Beim 38. Chaos Communication Congress in Hamburg wurde demonstriert, wie unberechtigte Personen mit wenig Aufwand massenhaften Zugang zur ePA für Alle erlangen können.

Der Chaos Computer Club (CCC) begleite die Lösungen aus dem Hause Gematik seit Jahren, so der CCC. Von geplanter Obsoleszenz bei den Konnektoren [1] über das Ident-Verfahren [2] bis zu dem von Anfang an bescheinigten bedenklichen Kosten-Nutzen-Verhältnis [3] waren die Projekte um die ePA von Turbulenzen begleitet. Eine erneute Analyse des aktuellen Stands [4] hätten nun wieder Bedenkliches ergeben.

Sicherheitsforschende hätten unter anderem gezeigt, wie sie sich mit wenig Aufwand und zum wiederholten Male gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten. Ursächlich seien erneut Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Feld. Diese seien bereits auf dem 36. Chaos Communication Congress [5] demonstriert worden.

Zudem hätten die Forschenden aufgezeigt, wie Mängel in der Spezifikation es ermöglichen, Zugriffstoken für Akten beliebiger Versicherter zu erstellen. Dies sei möglich, ohne dass die Gesundheitskarten präsentiert oder eingelesen werden müssen. Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten.

Wie schon bei der letzten Visite gelang der Fernzugriff auf Patientenakten über unsicher konfigurierte IT, sowohl in den Gesundheitseinrichtungen als auch über Dienstleister-Zugänge. Trotzdem solle nun im Rahmen der Initiative „ePA für alle“ das Experiment auf fast alle Versicherten ausgedehnt werden.

Während die Sicherheitsforscher des CCC in der ePA wühlten, wurde am Fraunhofer-Institut das Sicherheitskonzept von einer KI gelesen und mit geringen Mängeln für „sicher“ befunden [6, 7].

Die gematik äußert sich in einer Stellungnahme zum Vortrag des CCC und wies sie zurück [8]: Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen. Dazu zählen zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation. Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.

Bisher musste die ePA explizit beantragt werden. Ab Januar 2025 dagegen erhalten alle gesetzlich Versicherten, die nicht widersprechen, automatisch eine solche ePA. Die Kritik des CCC erhöht sicher nicht das Vertrauen der Bürger in die ePA.

Links und weiterführende Informationen

[1] https://www.ccc.de/updates/2022/konnektoren-400-millionen-geschenk
[2] https://www.ccc.de/de/updates/2022/chaos-computer-club-hackt-video-ident
[3] https://www.ccc.de/en/elektronische-gesundheitskarte
[4] https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/SRXRMA/
[5] https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt
[6] https://www.sit.fraunhofer.de/de/presse/details/news-article/show/neues-epa-sicherheitskonzept-auf-dem-pruefstand/
[7] https://www.gematik.de/newsroom/news-detail/gutachten-bestaetigt-epa-fuer-alle-ist-sicher
[8] https://www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-zum-ccc-vortrag-zur-epa-fuer-alle

Pressemitteilung des CCC: https://www.ccc.de/en/updates/2024/ende-der-epa-experimente