Tägliche News für das Management von Pflege und Wohnen im Alter

6. Januar 2025 | 19:41 Uhr
Teilen
Mailen

Chaos Computer Club zweifelt an Sicherheit der ePA

Für die neue elektronische Patientenakte (ePA für alle) beginnt am 15. Januar die Pilotphase in den Modellregionen Bayern, Hamburg und Nordrhein-Westfalen. Doch der Chaos Computer Club (CCC) warnt: Mit wenig Aufwand könnten sich Hacker gültige Heilberufsausweise sowie Gesundheitskarten Dritter beschaffen und auf Gesundheitsdaten zugreifen. Die Gematik, zuständig für die Einführung der ePA, weist darauf hin, dass sie Lösungen gegen mögliche Hackerangriffe konzipiert und schon angefangen hat, diese umzusetzen.

iStock/ValeryBrozhinsky

Es gibt viele Dinge, die Hackern die Arbeit erleichtern könnten: Mängel bei der Ausgabe der Heilberufsausweise, unsicher konfigurierte IT in den Einrichtungen und, und, und...

Anzeige
Promedica

Mit einem Pflege-Franchise in die Selbstständigkeit starten

Wer schon immer mit dem Gedanken der Selbstständigkeit in der Pflege gespielt hat, ist bei Promedica Plus richtig. Das bewährte Franchisesystem für eine 24-Stunden-Betreuung bietet Führungskräften und Pflegeprofis persönliche Freiheit, geringe Risiken mit Gebietsschutz und eine sinnstiftende Tätigkeit in der häuslichen Betreuung. Mehr als 200 Gründer haben mit Promedica Plus bereits den Schritt in die Selbstständigkeit gewagt und bisher nicht bereut. Mehr erfahren

Sicherheitsforscher hätten auf dem CCC-Kongress Ende Dezember in Hamburg demonstriert, wie relativ leicht es ist, sich Heilberufsausweise und Gesundheitskarten Dritter zu beschaffen, heißt es beim CCC – nach eigener Aussage Europas größte Hacker-Vereinigung. Gründe für diese Sicherheitslücke seien etwa Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im "real existierenden Umgang" mit den Karten. 

CCC: Hacker können Zugriffstoken herstellen

Aber auch ohne Gesundheitskarten zu präsentieren oder einzulesen, sei es möglich, an Gesundheitsdaten heranzukommen, so der CCC. Durch "Mängel in der Spezifikation" ließen sich Zugriffstoken für die Akten erstellen. Ein Zugriffstoken ist ein kleiner Codeabschnitt, der eine große Menge an Daten enthält. Auf diese Weise könnten Kriminelle "auf einen Schlag Zugriff auf mehr als 70 Millionen Akten erhalten", ist der CCC überzeugt. 

Als weiteres Sicherheitsrisiko nennt der CCC unsicher konfigurierte IT in Gesundheitseinrichtungen und bei den Dienstleistern. 

In einer Stellungnahme zu den Vorwürfen des Chaos Computer Clubs schreibt die Gematik, sie stehe in "intensivem Austausch" mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und habe "bereits technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert und ist mit deren Umsetzung gestartet".

Gematik arbeitet vor dem bundesweiten Rollout weiter an der Sicherheit  

Für die bald beginnende Pilotphase bedeute dies, dass zunächst nur die in der Modellregion teilnehmenden Leistungserbringer auf die ePA der Versicherten zugreifen können. "Vor dem bundesweiten Rollout werden weitere technische Lösungen umgesetzt und abgeschlossen sein", heißt es bei der Gematik. 

Zusätzliche Sicherungsmaßnahmen seien gerade in Arbeit, dabei gebe es vier Zielrichtungen: 

  • Verhinderung, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können.
  • Schließung der Sicherheitslücke durch eine zusätzliche Verschlüsselung der Krankenversichertennummer.
  • Sensibilisierung der Nutzer der Telematikinfrastruktur im Umgang und Schutz der technischen Infrastruktur, Ausweisen und Karten.
  • Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung.

Kirsten Gaede

Newsletter kostenlos bestellen

Ja, ich möchte den Newsletter täglich lesen. Ich erhalte ihn kostenfrei und kann der Bestellung jederzeit formlos widersprechen. Meine E-Mail-Adresse wird ausschließlich zum Versand des Newsletters und zur Erfolgsmessung genutzt und nicht an Dritte weitergegeben. Damit bin ich einverstanden und akzeptiere die Datenschutzerklärung.

Datenschutzerklärung
Anzeige Care vor9