Die Gematik weist Vorwürfe zurück, zu spät auf bekannt gewordene Sicherheitslücken bei der elektronischen Patientenakte 3.0 reagiert zu haben. Darüber berichtet das Deutsche Ärzteblatt, dem dazu ein Brief an die Kassenärztliche Bundesvereinigung (KBV) vorliegt. Hintergrund des Schreibens ist die Tatsache, dass die Sicherheitsforschenden die Gematik bereits im August 2024 auf die Sicherheitslücken hingewiesen hatten.
Anzeige
Zwar geht aus dem Schreiben hervor, dass die Gematik bereits im August über die Schwachstellen informiert wurde, allerdings seien diese bekannt gewesen und damals "übergangsweise als akzeptabel bewertet" worden, heißt es von der Gematik laut Ärzteblatt.
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
YouTube-Video immer laden
Allein mit einer SMC-B (Security Module Card Typ B, Praxisausweis) samt Konnektor ist es möglich, dank Sicherheitslücken Zugang zur elektronischen Patientenakte zu erlangen, und zwar ohne vorheriges Stecken der elektronischen Gesundheitskarte mit Kenntnis der mit dieser verbundenen ICCSN (Integrated Circuit Card Serial Number). Das Durchiterieren der ICCSN ermöglicht in der Kombination sogar einen Massenangriff. "Aufgrund des hohen Entdeckungsrisikos, den drohenden Sanktionen und der Komplexität des Angriffs" sei der Angriff damals als unwahrscheinlich eingestuft worden. "Dass der Praxisausweis nur an berechtigte Personen ausgegeben wird, wurde durch mehrfache Verschärfungen bei den Ausgabeprozessen sichergestellt", zitiert das Ärzteblatt einen der Gematik-Geschäftsführer, Florian Fuhrmann.
Mitte Dezember wurde dann bekannt, dass die Sicherheitsforschenden auf Kleinanzeigen gültige Praxisidentitäten, SMC-Bs samt PIN, aus einer Praxisauflösung erworben haben. Daraufhin änderte sich die Meinung der Gematik, die eine "Taskforce Sicherheit" einberief, die sich um Maßnahmen bemüht. Sicherheitsforschern gelingt es seit Jahren jedoch regelmäßig, SMC-Bs, elektronische Heilberufsweise und elektronische Gesundheitskarten von Dritten zu bestellen.
Inwieweit die Sicherheitslücken für den geplanten bundesweiten Rollout bereits geschlossen sind, ist unklar. Alle Ärzte und Apotheken, die in den Modellregionen an der Pilotphase der ePA teilnehmen, stehen zunächst auf einer Whitelist.
![Jetzt heise Security Pro entdecken]()
![Jetzt heise Security Pro entdecken]()
(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)
(Ursprünglich geschrieben von Marie-Claire Koch)
Kommentare