Sicherheitslücke bei ePA-Start behoben

8 months ago 8

Gesundheit (Pexels, frei verwendbar)Zum 29. April 2025 ist die elektronische Patientenakte ja flächendeckend für gesetzlich Krankenversicherte gestartet. Sicher und funktional, wie der Gesundheitsminister versicherte. Am 30. April 2025 musste die gematik vermelden, dass man eine durch den Chaos Computer Club (CCC) gemeldete neue Sicherheitslücke entschärft habe.

Kleiner Rückblick auf ePA 3.0

Im Beitrag Status zum Start der elektronischen Patientenakte (ePA) am 29.4.2025 hatte ich zum 28. April 2025 ja einen Abriss des Status zur elektronischen Patientenakte (ePA 3.0) in Deutschland gegeben. Zu diesem Stichtag begann der flächendeckende Hochlauf der ePA 3.0 auf freiwilliger Basis (siehe und hier). Theoretisch kann jeder mit seiner Gesundheitskarte (eGK) beim Arzt auftauchen und seine elektronische Patientenakte führen lassen.

Dieser Start war eigentlich bereits zum 15. Februar 2025 geplant, musste aber wegen zahlreicher Probleme verschoben werden. Auch zum 29. April gibt es keine Verpflichtung, dass der Arzt die ePA 3.0 unterstützt – und viele Praxen werden das auch nicht können, weil die Praxisverwaltungssysteme das noch nicht beherrschen. Zudem sind viele versprochene Funktionen noch nicht vorhanden und sollen später implementiert werden oder sind gänzlich entfallen. Viele Details lassen sich in den am Artikelende verlinkten Beiträgen nachlesen.

Ist die ePA 3.0 sicher?

Fachleute zeigten sich vor allem skeptisch in Bezug auf die Sicherheit der ePA-Daten. Kurz vor dem Pilotstart zum Januar 2025 hatten Sicherheitsforscher öffentlich auf eine Sicherheitslücke hingewiesen, so dass auch Unbefugte auf ePA-Daten zugreifen konnten. Das wurde durch einen Taschenspielertrick – die Pilot-Praxen wurden handverlesen freigeschaltet – korrigiert. So griff der Trick, dass sich Unbefugte einen Heilberufsausweis sowie die Infrastruktur der ePA beschaffen und zum Zugriff auf die elektronische Patientenakte missbrauchen können.

Die Sache mit der elektronischen Ersatzbescheinigung

Falls ein Patient seine Krankenkassenkarte, (eGK) vergessen oder verloren hat, wird eine sogenannte elektronische Ersatzbescheinigung benötigt. Die Kassenärztliche Bundesvereinigung (KBV) und der GKV-Spitzenverband haben sich im Bundesmantelvertrag-Ärzte (BMV-Ä) darauf geeinigt, dass Arztpraxen spätestens zum 1. Juli 2025 die Nutzung einer sogenannten elektronischen Ersatzbescheinigung ermöglichen müssen. Die Versicherten sollen diese Ersatzbescheinigung per App abrufen können.

  • Die Arztpraxis muss dem Versicherten ihre KIM-Adresse z.B. über einen QR-Code zur Verfügung stellen.
  • Der Versicherte muss diesen QR-Cdoe einscannen und über eine Krankenkassen-App an die Kasse übermitteln.
  • Von der Krankenkasse wird die elektronische Ersatzbescheinigung in Form eines (FHIR-)Datensatzes, der die Daten enthält, die auf der eGK gespeichert sind (z.B. Name und Geburtsdatum), an die Arztpraxis geschickt.

Ich hatte im Beitrag Elektronischen Patientenakte (ePA) kommt erst im April; und weitere News über diesen Schlenker berichtet. Und mir lag die Information vor, dass sich über die Kartennummer durch "Raten" eine Berechtigung zum Zugriff auf jede ePA generieren ließe, ohne jemand eine elektronische Gesundheitskarte (ePA) in Händen zu haben. Ich bin diesem Detail aber nicht nachgegangen, da ich die Information nicht für genügend valide gehalten habe. Sieht so aus, als ob der CCC das aufgegriffen hat.

Angriff über elektronische Ersatzbescheinigung

Zum 30. April 2025 (also gestern, einen Tag nach dem Flächenstart der ePA 3.0) musste die gematik, die die Infrastruktur betreibt, die Meldung ePA-Sicherheitslücke geschlossen veröffentlichen.

In der Meldung heißt es, dass der gematik Informationen vor liegen, dass der Chaos Computer Club ein Szenario für unberechtigte Zugriffe auf die elektronische Patientenakte beschrieben hat. Über elektronische Ersatzbescheinigungen für Versichertenkarten könne man an Informationen gelangen, um auf einzelne elektronische Patientenakten (ePA) zuzugreifen.

Die gematik habe die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen. Die potenziell betroffenen Versicherten werden identifiziert und geschützt. Klingt alles harmlos, und der Noch-Gesundheitsminister Prof. Karl Lauterbach wird mit "In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen. Ich bin der gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen hat. Die elektronische Patientenakte muss sehr gut geschützt bleiben. Massenangriffe auf Patientendaten müssen ausgeschlossen bleiben." zitiert.

gematik wiegelt ab

Der gematik-Geschäftsführer Dr. Florian Fuhrmann erklärt dazu: "Der bundesweite Rollout der ePA wird von unseren Sicherheitsteams gemeinsam mit dem BSI eng begleitet. Man gehe Hinweisen externer Sicherheitsforscher wir in standardisierten Prozessen umgehend nach und leite bei entsprechender Bewertung passende Maßnahmen ein.

Aufgrund der Hinweise habe die gematik präventiv als erste Sofortmaßnahme das Verfahren vorerst ausgesetzt, das bereits einige Kassen für Ersatzbescheinigungen alternativ zur Versichertenkarte (eGK) nutzen. Man prüfe und monitore laufend und mit höchster Priorität. Man habe bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat.

Einige Details

Laut CCC ist es möglich gewesen, über Elektronische Ersatzbescheinigungen von Versichertenkarten den Behandlungskontext einer versicherten Person zu fälschen. In Kombination mit der Versichertennummer, einem Codierungsschlüssel sowohl einem illegal beschafften Praxisausweis (SMC-B) und einem Anschluss an die Telematikinfrastruktur (TI) wäre damit theoretisch der Zugriff auf Patientenakten vereinzelt möglich. Die gematik geht nicht davon aus, dass Versichertendaten tatsächlich abgeflossen sind.

Zum Hintergrund: Ausführungen der gematik

Ende Dezember 2024 hat der Chaos Computer Club dargestellt, dass es unter bestimmten Voraussetzungen aufgrund einer technischen Schwachstelle theoretisch möglich gewesen wäre, den Behandlungskontext einer versicherten Person zu simulieren und somit zu fälschen. Für den bundesweiten Rollout der ePA für alle wurden mit dem BSI weitere hohe Sicherheitsmaßnahmen umgesetzt. Der Nachweis für den Behandlungskontext wurde mit weiteren Kartenmerkmalen abgesichert. Zusätzlich zur Kartennummer müssen weitere Merkmale bekannt sein, die teilweise auch nicht auf der Versichertenkarte stehen. Das ist in der Regel nur mit dem physischen Vorliegen und Einlesen der eGK in der Einrichtung möglich.

Grundsätzlich gilt weiterhin: Die ePA für alle wurde und wird mit höchsten und modernsten Sicherheitsstandards gebaut, welche die gematik zusammen mit den obersten Sicherheits- und Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickelt und abstimmt. Zusätzlich schützt ein mehrstufiges Sicherheitskonzept die Telematikinfrastruktur (TI). Außerdem wird die Sicherheit der TI und aller Anwendungen fortlaufend geprüft – in enger Abstimmung mit den zuständigen Behörden und externen Experten. Also alles im grünen Bereich?

Einige Details zum Angriff sind in Artikeln von Golem und heise näher beschrieben – der CCC hatte die Informationen wohl dem Spiegel gesteckt, der dies in einem Artikel (hinter Paywall) berichtete.

Das Problem: Die auf dem Chip der Gesundheitskarte (eGK) hinterlegte Kartennummer ICCSN wird ohne kryptografische Überprüfung übertragen. Diese ICCSN reichte bis vor kurzem noch aus, um ohne eGK auf die elektronische Patientenakte zuzugreifen. Zudem hat man zum Start neue Sicherheitsregeln festgelegt, so dass die ICCSN alleine nicht mehr reicht, um auf die ePA-Daten zuzugreifen. So wird ein Hash-Wert aus der Anschrift des Versicherten gebildet.

eGK Sicherheit

Christoph Saatjohann, Professor für IT-Sicherheit an der FH Münster, hatte mit Bianca Kastl und Martin Tschirsich entdeckt, dass sich die Anschrift und der Versicherungsbeginn über die elektronische Ersatzbescheinigung (eEB) abfragen lassen. Der CCC konnte nachweisen, dass der Prüfwert aus dem Datum des Versicherungsbeginns und der Straße und Hausnummer der Wohnanschrift der versicherten Person unter bestimmten Umständen automatisch generiert werden kann.

Der Fix wurde, wie auch die oben erwähnte Sicherheitslücke, durch einen Taschenspielertrick, vorgenommen: Man akzeptiert vorerst einfach keine Elektronische Ersatzbescheinigungen mehr. Die Patientenakte ist somit (vorerst) sicher. In der Pharmazeutische Zeitung kritisiert der CCC in diesem Artikel die Flickschusterei bei der ePA. Weitere drastische Aussagen des CCC finden sich im Artikel von heise, den ich oben verlinkt habe. Auch die oben verlinkten Folgeposts von Bianca Kastl auf Mastodon sind ganz lesenswert.

Ähnliche Artikel:
Gesundheitsgesetze I: EU-Parlament macht Weg für EU Health Data Space (EHDS) frei
Gesundheitsgesetze II: Bundestag beschließt Digitalisierung im Gesundheitswesen (GDNG, DigiG)
Gesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen

Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
Neustart in 2023 für Elektronische Patientenakte (ePA) geplant
Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?

Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen CyberangriffeEU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pläne, offene Fragen
Europäischer Gesundheitsdatenraum (EHDS) beschlossen – die Haken für Patienten

Büchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-/Datenschutz
re:publica: Kontra Datenschutz; wo ist die Medizinethikerin Buyx "falsch abgebogen?
Nachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay
Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group
Elektronische Patientenakte: Das Ende der ärztlichen Schweigepflicht?
News aus dem Gesundheitswesen: ePA, Widerspruch, Schwachstellen und Ärzteärger
Elektronischer Medikationsplan (eMP): Implementierung zum Scheitern verurteilt?
Elektronische Patientenakte (ePA) und das (zwingende) Opt-out
Elektronische Patientenakte (ePA): Opt-out jetzt! Erste Pläne für Begehrlichkeiten

Sicherheitsgutachten zur elektronischen Patientenakte (ePA)
Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den "Datenschatz"
Status elektronische Patientenakte (ePA 3.0): Weg ins Desaster?
Elektronische Patientenakte (ePA): Vernichtende Kritik von CCC und Fachleuten
Ärzte raten vorerst zum Verzicht bei der elektronischen Patientenakte (ePA)
Elektronische Patientenakte (ePA): Chaos vor dem Start zum 15.1.2025
Elektronischen Patientenakte (ePA) kommt erst im April; und weitere News
KBV Ärztepräsident Gassen: "Elektronische Patientenakte verzögert sich"
Apothekenumschau: Insights zum ePA 3.0-Testlauf – es hakt weiterhin
Status zum Start der elektronischen Patientenakte (ePA) am 29.4.2025

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Read Entire Article
  1. Homepage
  2. category-label-
  3. Sicherheitslücke bei ePA-Start behoben

Related

Alibabas KI-Modell Qwen2.5 glänzt bei Mathe nur dank auswendig gelernter Trainingsdaten

Alibabas KI-Modell Qwen2.5 glänzt bei Mathe nur dank auswend...

5 months ago 7
Im KI-Benchmark ARC-AGI-3 zeigen Menschen, was Maschinen noch fehlt

Im KI-Benchmark ARC-AGI-3 zeigen Menschen, was Maschinen noc...

5 months ago 7
FlexOlmo ermöglicht KI-Training ohne Datenaustausch zwischen Organisationen

FlexOlmo ermöglicht KI-Training ohne Datenaustausch zwischen...

5 months ago 7