Sicherheitslücke bei ePA: Lauterbach warnt vor Datenmissbrauch!

Deutschland - Bundesgesundheitsminister Karl Lauterbach hat eine neue Sicherheitslücke bei der elektronischen Patientenakte (ePA) bestätigt, die nach dem offiziellen Start der digitalen Gesundheitsakte entdeckt wurde. Lauterbach dankte der Gematik für ihr schnelles Handeln zur Behebung der Sicherheitsproblematik. Die eingeleiteten Sicherheitsmaßnahmen, die zum Start der ePA implementiert worden waren, erwiesen sich als unzureichend, was zu einer potenziellen Gefährdung von Patientendaten führte. Ethische Hacker des Chaos Computer Clubs (CCC) überwanden eine zentrale Schutzvorkehrung und informierten umgehend die zuständigen Behörden über die entdeckte Lücke. Dies führte dazu, dass die Betreiber am Mittwochnachmittag mit einer Notfallmaßnahme reagierten, um die Sicherheitslücke vorerst zu schließen.

Die Gematik bestätigte die Schwere der Sicherheitslücke und erklärte, dass es über elektronische Ersatzbescheinigungen zu unberechtigten Zugriffen auf die ePA kommen konnte. Um die betroffenen Versicherten zu identifizieren und zu schützen, hat die Gematik unverzüglich Maßnahmen ergriffen und die Sicherheitslücke geschlossen. Die Hochlaufphase der ePA, die am Dienstag nach Testläufen in drei Regionen begann, könnte durch diese Vorfälle in ihrer Umsetzung gefährdet werden. Seit dem 15. Januar konnten 70 Millionen der insgesamt 74 Millionen gesetzlich Versicherten in Deutschland eine ePA von ihrer Krankenkasse erhalten. Die ePA dient als digitaler Speicher für Untersuchungsbefunde, Laborwerte und Medikamentenangaben und ist ausgelegt, Patienten ein Leben lang zu begleiten.

Reaktion der Gematik und Maßnahmen zur Sicherheit

Die Gematik unterstrich die Bedeutung der schnellen Reaktion und erklärte, dass die Sicherheitsmaßnahmen in Zusammenarbeit mit Sicherheitsbehörden wie dem BSI (Bundesamt für Sicherheit in der Informationstechnik) ständig geprüft und angepasst werden. Gematik-Geschäftsführer Dr. Florian Fuhrmann betonte, dass der bundesweite Rollout der ePA von Sicherheitsteams begleitet wird, die externe Hinweise umgehend bearbeiten. Als Sofortmaßnahme wurde das Verfahren für elektronische Ersatzbescheinigungen vorläufig ausgesetzt, um potenzielle Risiken zu minimieren.

Gemäß den Angaben des CCC war es möglich, den Behandlungskontext einer versicherten Person zu simulieren und somit einen unberechtigten Zugriff auf deren Daten zu ermöglichen, sofern ein illegal beschaffter Praxisausweis sowie ein Zugang zur Telematikinfrastruktur vorhanden waren. Glücklicherweise gibt es bislang keine Hinweise darauf, dass tatsächlich unbefugte Zugriffe auf elektronische Patientenakten stattgefunden haben.

Die Bedeutung von Cybersicherheit im Gesundheitswesen

Die aktuellen Vorkommnisse verdeutlichen einmal mehr, wie wichtig Cybersicherheit im Gesundheitswesen ist. Cyberkriminalität zielt zunehmend auf Einrichtungen ab, die mit sensiblen Patientendaten arbeiten, darunter Kliniken und Arztpraxen. Eine erfolgreiche Cyberattacke kann nicht nur erhebliche finanzielle Schäden verursachen, sondern auch die Gesundheit von Menschen gefährden. Daher ist es von größter Bedeutung, dass die Systeme, wie die ePA und andere digitale Infrastrukturen, unter höchsten Sicherheitsstandards entwickelt und fortlaufend geschützt werden.

Risiken wie Datenklau, unsichere Schnittstellen und Angriffe auf Krankenhausinformationssysteme (KIS) machen es unabdingbar, dass der Sektor nicht nur präventive Maßnahmen zur Sicherheit implementiert, sondern auch kontinuierlich Schulungen und Sicherheitstests durchführt. Mentalität und Vorbereitung auf mögliche Angriffe sind essentiell, um die Integrität der Gesundheitsdaten der Patienten zu wahren. Lange Zeit wurde dem Schutz von Patientendaten nicht ausreichend Beachtung geschenkt, was sich nun dringend ändern muss.

In der aktuellen Situation zeigt sich, dass die Herausforderung der Cyberkriminalität im Gesundheitswesen noch lange nicht überwunden ist. Daher sind digitale Gesundheitslösungen, wie die ePA, die sowohl Vorteile als auch Gefahren mit sich bringen, weiterhin auf eine starke Sicherheitsarchitektur angewiesen.

Tagesspiegel berichtet, dass …
Gematik informiert über die Schließung der Sicherheitslücke …
ITSicherheit-Online skizziert die Risiken in der Digitalisierung des Gesundheitswesens …