Der Chaos Computer Club (CCC) hat Ende 2024 gravierende Schwachstellen in der elektronischen Patientenakte (ePA) aufgedeckt. IT-Experten demonstrierten, wie leicht sich unbefugt Zugriff auf Millionen Gesundheitsdaten erlangen lässt. Die Enthüllungen werfen Zweifel an der Sicherheit des kurz vor dem Rollout stehenden Systems auf.
Die Sicherheitsforscher Martin Tschirsich und Bianca Kastl zeigten, dass elektronische Gesundheitskarten per einfachem Telefonanruf auf fremde Namen bestellt werden können – in nur 10 bis 20 Minuten. Mit diesen Karten ist unautorisierter Zugriff auf ePA-Daten möglich.
Die neue ePA-Version 3.0 verzichtet in Arztpraxen auf eine PIN-Eingabe. Dadurch reicht bereits der Besitz einer Gesundheitskarte, um Zugriff auf sensible Patientendaten zu erhalten, was das Risiko von Missbrauch erhöht.
Noch brisanter: Fehler in der Spezifikation erlauben das Erstellen digitaler Zugriffsschlüssel, ohne eine Gesundheitskarte zu besitzen. Ein einziger kompromittierter Praxiszugang könnte bis zu 1.500 Patientenakten offenlegen.
Die für die ePA verantwortliche Gematik hat eine Maßnahmen angekündigt. Zum Start der Pilotphase im Januar 2025 soll zunächst nur eine kleine Gruppe von Leistungserbringern Zugriff erhalten. Zusätzliche Sicherheitsmaßnahmen, darunter stärkere Verschlüsselung, sollen folgen.
Der CCC kritisiert die Reaktion als unzureichend und fordert ein Ende der „Experimente am lebenden Bürger“. Kritiker sehen in der ePA ein zentrales Sicherheitsrisiko, während Befürworter die Vorteile für das Gesundheitswesen betonen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: