Fraunhofer-SIT-Studie: Sicherheitslücken bei der ePA
Judith MeisterIm Laufe des neuen Jahres soll jeder gesetzlich Versicherte eine elektronische Patientenakte erhalten. Doch die Kritik am Vorhaben reißt nicht ab. Experten äußern auch datenschutzrechtliche Bedenken. Eine Analyse des Fraunhofer-Instituts für Sichere Informationstechnologie deckt jetzt zudem 21 konkrete Schwachstellen auf.
Wenn Politiker (und die gematik) gebetsmühlenartig die Sicherheit einer technischen Neuerung im Gesundheitswesen beschwören, ist ein gewisses Misstrauen angezeigt. So auch im Fall der elektronischen Patientenakte (ePA). Sie soll ab dem 15. Januar 2025 in vier Modellregionen getestet und ab Mitte Februar bundesweit ausgerollt werden. Doch schon jetzt ist klar: Die vermeintlich sichere Technologie hat gravierende Sicherheitsmängel. Das belegt eine Untersuchung des Fraunhofer-Instituts für Sichere Informationstechnologie (Fraunhofer SIT).
Das Gutachten, dass die Experten – immerhin im Auftrag der gematik – erstellt haben, untersuchte zwar noch nicht die fertige ePA, sondern nur „die dokumentierte Architektur sowie die Anforderungen an die Umsetzung der einzelnen Komponenten“. Dennoch ist das Ergebnis nur begrenzt beruhigend, was die Möglichkeiten potenzieller Hackerangriffe angeht.
IT-Experten entdecken einige Schwachstellen bei der ePA
Unterm Strich bescheinigten die Wissenschaftler der gematik zwar „das Bild einer angemessenen Systemarchitektur“. Allerdings identifizieren sie gravierende Schwachstellen, die es vor dem Start der ePA noch zu schließen gilt.
Konkret hat Fraunhofer SIT die ePA entlang verschiedener Angriffsszenarien auf Probleme untersucht. Ein besonderer Schwerpunkt lag dabei auf Lücken, die es Angreifern ermöglichen, Daten unbefugt einzusehen oder zu manipulieren. Es dauerte nicht lange und die Experten wurden fündig. Insgesamt machten sie 21 bedenkliche Sicherheitslecks aus. Vier davon stufen sie mit dem Schweregrad „hoch“ und damit als besonders gefährlich ein. Sechs Schwachstellen weisen den Schweregrad „mittel“ auf, die verbleibenden elf haben einen „niedrigen“ Schweregrad, sollten aber behoben werden.
Als besonders schwerwiegend bewerten die IT-Experten mögliche Angriffe von Hackern sowie von Herstellern und Betreibern der Aktensysteme, mit denen die ePA verwaltet werden. Auch Leistungserbringer hätten grundsätzlich die Möglichkeit, unberechtigt auf die dort hinterlegten Daten zuzugreifen, um sich finanzielle Vorteile zu verschaffen.
Hackerangriffe auf die ePA befürchtet
Deutliche Kritik gab es überdies für die viel zu langen Reaktionszeiten im Fall auffälliger Prozesse. Aktuell verpflichtet die gematik die Anbieter der Aktensysteme nur dazu, Schwachstellen in ihren IT-Systemen an Wochenenden und Feiertagen innerhalb von 72 Stunden zu bewerten und Gegenmaßnahmen einzuleiten. Dieses Zeitfenster ist nach Meinung des Fraunhofer SIT viel zu lang, um größeren Schaden zu verhindern. Vielmehr könnten Kriminelle die ausgedehnte Frist gezielt für sich nutzen.
Die Wissenschaftler plädieren deshalb dafür, die Bewertungszeiträume an Wochenenden deutlich zu verringern und einen Notdienst einzurichten. Als Grundlage könnte der Cyber Resilience Act der EU dienen. Dieses Regelwerk sieht bereits bei „unkritischen“ Produkten im Konsumentenbereich eine Frist von gerade einmal 24 Stunden vor. Warum ausgerechnet bei sensiblen Gesundheitsdaten eine längere Frist gelten soll, erschließt sich nicht.
ePA für alle GKV-Patienten
Ab dem 15. Januar 2025 startet in Franken, Hamburg und in Teilen Nordrhein-Westfalens die Testung der neuen elektronischen Patientenakte (ePA). Diese Pilotphase ist mit vier Wochen angesetzt. Verlaufen die Tests reibungslos, soll der bundesweite Rollout erfolgen. Als Starttermin strebt das Bundesministerium für Gesundheit den 15. Februar 2025 an. Ab da werden alle gesetzlich Versicherten eine eigene ePA erhalten – es sei denn, sie widersprechen bei ihrer Krankenkasse aktiv dagegen.
Vor diesem Hintergrund wiegen die Sicherheitsbedenken des Fraunhofer SIT besonders schwer. Sie könnten die ePA-Akzeptanz (zusätzlich) einschränken.