Hacker entdecken Sicherheitslücke bei elektronischer Patientenakte
Auch die für den offiziellen Start der elektronischen Patientenakte (ePA) in dieser Woche neu hinzugefügten Sicherheitsmaßnahmen haben sich offenbar als unzureichend erwiesen. Wie der „Spiegel“ berichtet, haben ethische Hacker des Chaos Computer Club (CCC) eine zentrale neu hinzugefügte Schutzvorkehrung überwunden und die Behörden informiert.
Anzeige
Die Betreiber reagierten am Mittwochnachmittag auf den Hinweis mit einer sofortigen Notfallmaßnahme. Die weitere ePA-Sicherheitslücke sei damit vorerst geschlossen.
Bereits Ende des vergangenen Jahres hatten die IT-Sicherheitsexperten eine Reihe von Schwachstellen im System der ePA publik gemacht. Die Gematik als Betreiber musste einräumen, dass die Angriffsszenarien „technisch möglich“ seien, wenn auch in der Realität „wenig wahrscheinlich“. Der Start der ePA wurde daraufhin auf Dienstag dieser Woche verschoben. Bundesgesundheitsminister Karl Lauterbach (SPD) hatte damals dazu mitgeteilt, man bringe die ePA „erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind“.
Um den Zugriff von Unbefugten auf elektronische Patientenakten zu erschweren, wurde daraufhin unter anderem die zusätzliche Abfrage eines Prüfwertes eingeführt, der sich aus dem Datum des Versicherungsbeginns und der Straße und Hausnummer der Wohnanschrift der versicherten Person zusammensetzt. Die Hacker demonstrierten nun, dass sie diese Daten unter bestimmten Voraussetzungen automatisiert abfragen können, im System der sogenannten elektronischen Ersatzbescheinigung. Es wird normalerweise dazu genutzt, um Patienten, die ihre Gesundheitskarte vergessen haben, trotzdem abrechnen zu können. Mit den abgefragten Daten lässt sich der Prüfwert berechnen, das Verfahren dazu ist öffentlich dokumentiert.
Die Gematik reagierte mit einer „Sofortmaßnahme“. Das Verfahren wurde demnach „vorerst ausgesetzt“. Die elektronische Ersatzbescheinigung steht damit vorerst nicht mehr zur Verfügung. Es gebe „bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat“, hieß es bei der Gematik.
dts Nachrichtenagentur
Foto: Patient mit Infusionsständer (Archiv), via dts Nachrichtenagentur
Ähnliche Artikel
2 Kommentare
Natürlich wird die quasi nicht vorhandene Sicherheit geleugnet und abgewiegelt. Die Leute vom CCC wissen sehr genau, was für ein Softwareschrott nicht nur die EPA ist. Aber es muss wohl wie üblich bei solchen „sicheren“ Produkten erst zu einem GAU mit massivem Datenabfluss kommen, idealerweise mit offengelegten Gesundheitsdaten von „hohen Tieren“. Dann passiert vielleicht etwas.
Wie war das doch damals? BTX wäre sicher und unhackbar, nunja, bis zu dem Vorfall mit der HaSpa.Danach musste die Post (Primaten ohne sinnvolle Tätigkeit) kleinlaut zurückrudern.
Es ist mir eigentlich ziemlich egal, ob jemand weiß, daß ich die gleichen Einschränkungen habe wie fast alle in meinem Alter. Was ich mich frage ist,.egal ob Gesundheitssystem, Banken oder sonst noch was, was,.was passiert bei einem Stromausfall? Hatten wir doch grade mal in Spanien und Portugal aus unerklärlichen (!) Gründen. Die Beschwichtigungen, die dazu hier erfolgten, kann man glauben, muß man aber nicht.
Der naive Fortschrittsglaube hierzulande wird sich eines Tages noch rächen fürchte ich.