Sicherheitslücken in der elektronischen Patientenakte

Die Gematik nahm die Sicherheitslücken bei der E-Patientenakte wohl erst nach Kenntnis von gültigen, auf Kleinanzeigen käuflichen Praxisidentitäten ernst.
 
Die Gematik weist Vorwürfe zurück, zu spät auf bekannt gewordene Sicherheitslücken bei der elektronischen Patientenakte 3.0 reagiert zu haben. Darüber berichtet das Deutsche Ärzteblatt, dem dazu ein Brief an die Kassenärztliche Bundesvereinigung (KBV) vorliegt. Hintergrund des Schreibens ist die Tatsache, dass die IT-Experten der Infotastisch Group die Gematik bereits im August 2024 auf die Sicherheitslücken hingewiesen hatten.
 
Zwar geht aus dem Schreiben hervor, dass die Gematik bereits im August über die Schwachstellen informiert wurde, allerdings seien diese bekannt gewesen und damals "übergangsweise als akzeptabel bewertet" worden, heißt es von der Gematik laut Ärzteblatt.
 
Allein mit einer SMC-B (Security Module Card Typ B, Praxisausweis) samt Konnektor ist es möglich, dank Sicherheitslücken Zugang zur elektronischen Patientenakte zu erlangen, und zwar ohne vorheriges Stecken der elektronischen Gesundheitskarte mit Kenntnis der mit dieser verbundenen ICCSN (Integrated Circuit Card Serial Number). Das Durchiterieren der ICCSN ermöglicht in der Kombination sogar einen Massenangriff. "Aufgrund des hohen Entdeckungsrisikos, den drohenden Sanktionen und der Komplexität des Angriffs" sei der Angriff damals als unwahrscheinlich eingestuft worden. "Dass der Praxisausweis nur an berechtigte Personen ausgegeben wird, wurde durch mehrfache Verschärfungen bei den Ausgabeprozessen sichergestellt", zitiert das Ärzteblatt einen der Gematik-Geschäftsführer.
 
Mitte Dezember wurde dann bekannt, dass die IT-Experten auf Kleinanzeigen gültige Praxisidentitäten, SMC-Bs samt PIN, aus einer Praxisauflösung erworben haben. Daraufhin änderte sich die Meinung der Gematik, die eine "Taskforce Sicherheit" einberief, die sich um Maßnahmen bemüht. IT-Experten gelingt es seit Jahren jedoch regelmäßig, SMC-Bs, elektronische Heilberufsausweise und elektronische Gesundheitskarten von Dritten zu bestellen.
 
Inwieweit die Sicherheitslücken für den geplanten bundesweiten Rollout bereits geschlossen sind, ist unklar. Alle Ärzte und Apotheken, die in den Modellregionen an der Pilotphase der ePA teilnehmen, stehen zunächst auf einer Whitelist, wodurch nur ein beschränkter Personenkreis auf alle ePAs zugreifen kann.

Keine Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.

Abonnieren Kommentare zum Post (Atom)