Die Gematik nahm die Sicherheitslücken bei der E-Patientenakte wohl erst nach Kenntnis von gültigen, auf Kleinanzeigen käuflichen Praxisidentitäten ernst.

Die Gematik weist Vorwürfe zurück, zu spät auf bekannt gewordene Sicherheitslücken bei der elektronischen Patientenakte 3.0 reagiert zu haben. Darüber berichtet das Deutsche Ärzteblatt, dem dazu ein Brief an die Kassenärztliche Bundesvereinigung (KBV) vorliegt. Hintergrund des Schreibens ist die Tatsache, dass die Sicherheitsforschenden die Gematik bereits im August 2024 auf die Sicherheitslücken hingewiesen hatten.

Allein mit einer SMC-B (Security Module Card Typ B, Praxisausweis) samt Konnektor ist es möglich, dank Sicherheitslücken Zugang zur elektronischen Patientenakte zu erlangen, und zwar ohne vorheriges Stecken der elektronischen Gesundheitskarte mit Kenntnis der mit dieser verbundenen ICCSN (Integrated Circuit Card Serial Number). Das Durchiterieren der ICCSN ermöglicht in der Kombination sogar einen Massenangriff. “Aufgrund des hohen Entdeckungsrisikos, den drohenden Sanktionen und der Komplexität des Angriffs” sei der Angriff damals als unwahrscheinlich eingestuft worden. “Dass der Praxisausweis nur an berechtigte Personen ausgegeben wird, wurde durch mehrfache Verschärfungen bei den Ausgabeprozessen sichergestellt”, zitiert das Ärzteblatt einen der Gematik-Geschäftsführer, Florian Fuhrmann.

Mitte Dezember wurde dann bekannt, dass die Sicherheitsforschenden auf Kleinanzeigen gültige Praxisidentitäten, SMC-Bs samt PIN, aus einer Praxisauflösung erworben haben. Daraufhin änderte sich die Meinung der Gematik, die eine “Taskforce Sicherheit” einberief, die sich um Maßnahmen bemüht. Sicherheitsforschern gelingt es seit Jahren jedoch regelmäßig, SMC-Bs, elektronische Heilberufsausweise und elektronische Gesundheitskarten von Dritten zu bestellen.

Inwieweit die Sicherheitslücken für den geplanten bundesweiten Rollout bereits geschlossen sind, ist unklar. Alle Ärzte und Apotheken, die in den Modellregionen an der Pilotphase der ePA teilnehmen, stehen zunächst auf einer Whitelist, wodurch nur ein beschränkter Personenkreis auf alle ePAs zugreifen kann.