Berlin. Eine erneute Sicherheitslücke in der elektronischen Patientenakte (ePA) ist der Gematik und dem Bundesgesundheitsministerium (BMG) zufolge vorerst geschlossen worden. Dies teilten sie am Mittwoch (30.4.) mit. Derzeit geht die Gematik davon aus, dass keine Versichertendaten “tatsächlich abgeflossen” sind.
“Wir haben bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat”, sagte Gematik-Geschäftsführer Dr. Florian Fuhrmann am Mittwoch. Potenziell betroffene Versicherte würden nun identifiziert und geschützt.
Ersatzbescheinigung als Einfallstor
Die Sicherheitslücke betrifft die elektronische Ersatzbescheinigung. Diese können Versicherte direkt digital anfordern, sollten sie einmal ihre elektronische Gesundheitskarte vergessen haben. Sie weisen somit dann digital gegenüber der Praxis ihren Versichertenstatus nach.
Die Hacker des Chaos Computer Clubs (CCC) hatten die Behörden auf die Sicherheitslücke bei der Ersatzbescheinigung jüngst aufmerksam gemacht. Laut CCC war es möglich, über elektronische Ersatzbescheinigungen von Versichertenkarten den Behandlungskontext einer versicherten Person zu fälschen.
TI-Komponenten richtig schützen
Theoretisch ist dann ein Zugriff auf die Patientenakten vereinzelt möglich, wenn gleichzeitig auch die Versichertennummer, ein Codierungsschlüssel sowie ein illegal beschaffter Praxisausweis (SMC-B) und ein Anschluss an die Telematikinfrastruktur (TI) gegeben ist. Wichtig: Das theoretische Szenario macht nochmal deutlich, wie wichtig es ist, dass die einzelnen Komponenten zum Zugang zur TI gut geschützt werden. Die Rauchenden Köpfe haben dazu Hinweise und Vorlagen zum Herunterladen für Ärztinnen und Ärzte zusammengestellt.
Die Gematik hat direkt am Mittwochnachmittag reagiert und die Zugriffsmöglichkeit über die Ersatzbescheinigung zunächst ausgesetzt, teilte sie mit. Schon in naher Zukunft muss die Sicherheitslücke aber dauerhaft geschlossen werden: Denn aktuell ist es Praxen noch freigestellt, ob sie Patientinnen und Patienten die Ersatzbescheinigung anbieten. Von Juli 2025 an sieht der Bundesmantelvertrag Ärzte allerdings vor, dass Praxen dies den Versicherten anbieten müssen, wenn diese die eGK nicht greifbar haben.
“Hochlaufphase” gestartet
Seit dem 15. Januar haben 70 Millionen der gut 74 Millionen gesetzlich Versicherten in Deutschland eine ePA von ihrer Krankenkasse angelegt bekommen. Nach einem Test in drei Regionen startete am Dienstag (29.4.) die bundesweite Ausdehnung.
Geplant ist ein schrittweiser Hochlauf – verpflichtend wird die ePA-Nutzung für Praxen bundesweit erst zum 1. Oktober. Die ePA soll ein digitaler Speicher etwa für Untersuchungsbefunde, Laborwerte und Angaben zu Medikamenten sein und Patientinnen und Patienten ein Leben lang begleiten. (mit dpa)