{"id":261139,"date":"2022-01-04T01:25:30","date_gmt":"2022-01-04T00:25:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261139"},"modified":"2023-07-10T12:19:13","modified_gmt":"2023-07-10T10:19:13","slug":"elektronische-patientenakte-epa-2-0-als-sicherheitsrisiko","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/04\/elektronische-patientenakte-epa-2-0-als-sicherheitsrisiko\/","title":{"rendered":"Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>2022 soll die <a href=\"https:\/\/www.bundesgesundheitsministerium.de\/elektronische-patientenakte.html\" target=\"_blank\" rel=\"noopener\">elektronische Patientenakte<\/a> (ePA 2.0) ausgerollt werden. Die Idee dabei ist, dass alle Informationen eines Patienten an einem digitalen Ort gespeichert werden. Arzt und Patient k\u00f6nnen dann auf diese Daten zugreifen. Aber es gibt immer wieder \u00c4rger mit der ePA &#8211; der Datenschutzbeauftrage r\u00fcffelte 2021 die Krankenkassen bez\u00fcglich der Einf\u00fchrung wegen des unklaren Berechtigungskonzeptes. Und nun ist auch noch bekannt geworden, dass ePA 2.0 ein Sicherheitsrisiko f\u00fcr die Teilnehmer (\u00c4rzte, Patienten) durch die hochgeladenen Dokumente aufweist.<\/p>\n<p><!--more--><\/p>\n<h2>Elektronische Patientenakte (ePA 2.0)<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/52e3f17ed5a844789e79eed038f75bf2\" alt=\"\" width=\"1\" height=\"1\" \/>Gesetzlich Krankenversicherte haben seit 2021 die M\u00f6glichkeit, \u00c4rzte, Psychotherapeuten oder anderen Leistungserbringern mittels einer elektronischen Patientenakte \u00fcber Befunde, Diagnosen, Therapiema\u00dfnahmen und Behandlungsberichte zu informieren. Daf\u00fcr k\u00f6nnen Informationen aus bereits vorhandenen einzelnen Dokumentationen fall- und einrichtungs\u00fcbergreifend zusammengef\u00fchrt werden. Die gesetzlichen Krankenkassen m\u00fcssen ihren Versicherten seit 2021 eine elektronische Patientenakte anbieten. Zu den Dokumenten und Daten, die in der ePA gespeichert werden k\u00f6nnen, geh\u00f6ren:<\/p>\n<ul>\n<li>medizinische Behandlungsdaten, zum Beispiel Befunde, Diagnosen und Therapiema\u00dfnahmen<\/li>\n<li>Arztbriefe, die im Zuge einer (zahn-)\u00e4rztlichen Behandlung erstellt wurden<\/li>\n<li>elektronischer Medikationsplan oder Notfalldatensatz<\/li>\n<li>elektronisches Zahn-Bonusheft<\/li>\n<li>elektronisches Untersuchungsheft f\u00fcr Kinder<\/li>\n<li>elektronischer Mutterpass<\/li>\n<li>elektronische Impfdokumentation<\/li>\n<li>elektronische Verordnungen<\/li>\n<li>Daten aus einer elektronischen Gesundheitsakte (eGA)<\/li>\n<li>Krankenkassendaten \u00fcber in Anspruch genommene Leistungen<\/li>\n<\/ul>\n<p>Die Daten werden vom Versicherten per App, die die Krankenkasse bereitstellt, in die ePA hochgeladen oder angezeigt. \u00c4rzte und Leistungserbringer k\u00f6nnen \u00fcber eine Telematik-Infrastruktur auf die Daten zugreifen. Die Server, auf denen die elektronischen Patientenakten gespeichert werden, befinden sich in Deutschland (siehe <a href=\"https:\/\/www.stiftung-gesundheitswissen.de\/gesundes-leben\/e-health-trends\/die-elektronische-patientenakte-epa-wie-sie-funktioniert-und-was-sie\" target=\"_blank\" rel=\"noopener\">hier<\/a>). Hier ein Tweet der TK zum Thema.<\/p>\n<p><a href=\"https:\/\/web.archive.org\/web\/20220103210822\/https:\/\/www.tk.de\/techniker\/leistungen-und-mitgliedschaft\/informationen-versicherte\/aenderungen-tk-versicherung-2022-jahreswechsel-2120222\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/X6Dssx0.png\" \/><\/a><\/p>\n<p>Derzeit existieren in Deutschland drei Server-Backends der ePA, die von Bitmarck\/Rise, IBM und ITSG betrieben werden (<a href=\"https:\/\/www.heise.de\/news\/c-t-deckt-auf-Sicherheitsluecke-in-elektronischer-Patientenakte-6304671.html\" target=\"_blank\" rel=\"noopener\">siehe<\/a>). \u00c4rzte k\u00f6nnen dort Befunde \u00fcber ihre Praxisverwaltungssoftware einstellen und herunterladen. Die Versicherten selbst bestimmen, wer auf ihre Daten Zugriff erh\u00e4lt. Seit 2022 sollen bereits vorhandene Daten bei einem Krankenkassenwechsel exportiert und in eine ePA ihrer neuen gesetzlichen Krankenkasse \u00fcbertragen werden, schreibt die AOK <a href=\"https:\/\/www.aok.de\/gp\/aerzte-psychotherapeuten\/elektronische-patientenakte\" target=\"_blank\" rel=\"noopener\">hier<\/a>.<\/p>\n<blockquote><p>Das Bundesgesundheitsministerium hat eine <a href=\"https:\/\/www.bundesgesundheitsministerium.de\/elektronische-patientenakte.html\" target=\"_blank\" rel=\"noopener\">\u00dcbersicht \u00fcber die elektronische Patientenakte (ePA)<\/a> ver\u00f6ffentlicht. Weitere Informationen finden sich <a href=\"https:\/\/fachportal.gematik.de\/anwendungen\/elektronische-patientenakte\" target=\"_blank\" rel=\"noopener\">bei der gematik<\/a>, bei <a href=\"https:\/\/www.adesso.de\/de\/branchen\/versicherungen\/sonderthemen\/elektronische-patientenakte.jsp\" target=\"_blank\" rel=\"noopener\">adesso<\/a>, bei der <a href=\"https:\/\/www.stiftung-gesundheitswissen.de\/gesundes-leben\/e-health-trends\/die-elektronische-patientenakte-epa-wie-sie-funktioniert-und-was-sie\" target=\"_blank\" rel=\"noopener\">Stiftung Gesundheitswissen<\/a>,\u00a0 und auf <a href=\"https:\/\/epa.guide\/\" target=\"_blank\" rel=\"noopener\">ePA-Guide<\/a>. \u00c4rzte k\u00f6nnen sich z. B. auf <a href=\"https:\/\/dip.medatixx.de\/e-health\/elektronische-patientenakte\" target=\"_blank\" rel=\"noopener\">dieser Seite<\/a> \u00fcber die ePA informieren.<\/p>\n<p>\u00c4rger gibt es um das Berechtigungsmanagement, mit dem der Patient bestimmt, wer welche Daten einsehen darf. Datenschutzbeauftragter Ulrich Kelber liegt seit <a href=\"https:\/\/www.deutschlandfunk.de\/datenschutzbedenken-bis-zum-schluss-streit-ueber-100.html\" target=\"_blank\" rel=\"noopener\">Ende 2020<\/a> mit den Krankenkassen diesbez\u00fcglich im Clinch (siehe <a href=\"https:\/\/e-health-com.de\/details-news\/kelber-kontra-kassen\/\" target=\"_blank\" rel=\"noopener\">diesen Beitrag<\/a> von Sept. 2021 und <a href=\"https:\/\/www.visus.com\/blog\/update-zu-epa-20.html\" target=\"_blank\" rel=\"noopener\">diesen Beitrag<\/a>). Der Hintergrund: Mit ePA 2.0 k\u00f6nnen Nutzer zwar auf Dateiebene per App festlegen, wer auf diese zugreifen darf. Aber Benutzer ohne Smartphone m\u00fcssen die Daten per PIN freigeben, wenn der Arzt darauf zugreifen soll. Hier scheint es noch Kl\u00e4rungsbedarf zu geben, wenn ich den Beitrag richtig sehe.<\/p><\/blockquote>\n<h2>Sicherheitsrisiko Dokumente<\/h2>\n<p>Insgesamt ist das Interesse an der elektronischen Patientenakte (ePA 2.0) bisher gering. Die \u00c4rzteverb\u00e4nde forderten im November 2021 sogar ein einj\u00e4hriges Moratorium f\u00fcr die Digitalisierung im Gesundheitswesen, weil es jede Menge Probleme gibt (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/06\/digitalisierung-im-gesundheitswesen-rzteverbnde-fordern-einjhriges-moratorium\/\">Digitalisierung im Gesundheitswesen: \u00c4rzteverb\u00e4nde fordern einj\u00e4hriges Moratorium<\/a>). Die Einf\u00fchrung des elektronischen Rezepts (eRezept) wurde um ein halbes Jahr auf Sommer 2022 verschoben.<\/p>\n<p><a href=\"https:\/\/twitter.com\/heiseonline\/status\/1476782948418531335\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\" Sicherheitsprobleme in der elektronischen Patientenakte \" src=\"https:\/\/i.imgur.com\/cDCP6dy.png\" alt=\" Sicherheitsprobleme in der elektronischen Patientenakte \" \/><\/a><\/p>\n<p>Zum 31. Dezember 2021 wies heise in obigem <a href=\"https:\/\/twitter.com\/heiseonline\/status\/1476782948418531335\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> und in <a href=\"https:\/\/www.heise.de\/news\/c-t-deckt-auf-Sicherheitsluecke-in-elektronischer-Patientenakte-6304671.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> auf potentielle Sicherheitsprobleme in der elektronischen Patientenakte hin. Das Problem: In die elektronische Patientenakte werden ja Dokumente eingestellt, die dann von Leistungserbringern wie \u00c4rzte, Kliniken, Therapeuten etc. und ggf. vom Patienten ge\u00f6ffnet und angezeigt werden. Enthalten diese Dokumente Schadinhalte, gef\u00e4hrdet dies Jeden, der auf die Daten zugreift.<\/p>\n<p>Die Spezifikation der ePA <a href=\"https:\/\/fachportal.gematik.de\/fachportal-import\/files\/gemSpec_DM_ePA_V1.7.0.pdf\" target=\"_blank\" rel=\"noopener\">sieht zwar vor<\/a>, dass nur bestimmten Dokumenttypen wie PDF, JPEG, PNG, TIFF, text\/plain und text\/rtf, XML, HL7-V3, PKCS7-mime und FHIR+XML hochgeladen werden d\u00fcrfen. Aber sowohl \u00c4rzte als auch Patienten k\u00f6nnen solche Dateien in die elektronische Patientenakte hochladen.<\/p>\n<p>Heise bekam den Tipp, dass die TK-App in der Android-Version 3.15.0 (Produktversion 3.1.0.13) es erm\u00f6glichen soll, auch ZIP-Archive auf die Server hochzuladen und in Patientenakten zu speichern. Es ist in meinen Augen schon erstaunlich, dass die Apps das Hochladen der Dateitypen kontrollieren. Der Hintergrund ist wohl, dass die Ende-zu-Ende-Verschl\u00fcsselung diese Pr\u00fcfung in der App erfordert.<\/p>\n<p>Laut heise f\u00fchrte dies dazu, dass die Dateitypen nur \u00fcber den Mime-Typ, nicht aber \u00fcber Dateikennungen gefiltert werden. Heise gelang es, eine ZIP-Archivdatei durch Anh\u00e4ngen der Erweiterung .txt auf Google Drive hochzuladen und dann \u00fcber TK-Safe als \"Dokument ohne besondere Form\" in die ePA hochladen. Die Techniker Krankenkasse hat diese Schwachstelle zwar mit der TK-App Version 4.1 (Produktversion 4.0.0.1) geschlossen.<\/p>\n<p>Aber auch wer das Thema verbotene Dateitypen mal ausblendet, bei den Dateitypen PDF oder text\/rtf str\u00e4uben sich mir die Haare, sind das doch gerade ein Einfallstore f\u00fcr Malware in Unternehmen. Heise zitiert die Techniker Krankenkasse (bei anderen Krankenkassen d\u00fcrfte dies \u00e4hnlich sein), dass \u00c4rzte die ePA-Dateien unbedingt beim Download auf m\u00f6glichen Schadcode pr\u00fcfen m\u00fcssten. Auch die Patienten seien f\u00fcr die Sicherheit der Daten verantwortlich. Die gematik, die das Ganze implementiert, schreibt dazu:<\/p>\n<blockquote><p>Die Kontrolle \u00fcber diese Dateien liegt beim Versicherten selbst, das hei\u00dft, dass auch nur der Versicherte selbst dies aushebeln und die \u00c4rztin\/den Arzt seines Vertrauens bewusst mit einer Datei sch\u00e4digen kann. Dieses eher unrealistische Szenario betrifft nicht nur die Nutzung der ePA, sondern besteht bereits jetzt, beispielsweise bei der \u00dcbermittlung von Befunden (wie z. B. R\u00f6ntgenbildern) auf einem Datentr\u00e4ger, die der Versicherte mit in die Praxis bringt.<\/p><\/blockquote>\n<p>Liest man die Ausf\u00fchrungen der Verantwortlichen, die heise <a href=\"https:\/\/www.heise.de\/news\/c-t-deckt-auf-Sicherheitsluecke-in-elektronischer-Patientenakte-6304671.html\" target=\"_blank\" rel=\"noopener\">hier zitiert<\/a>, stehen mir die Haare zu Berge. Dort hei\u00dft es: Weil bei der ePA stets nachgewiesen werden k\u00f6nne, wer eine Datei ins System einstellt, sei das System, laut gematik, sicherer als etwa eine \u00dcbermittlung per E-Mail. Daher gebe es auch keine Folgeabsch\u00e4tzungen, welcher Schaden durch Einspielen von Schadcode in die ePA entstehen k\u00f6nnte. Die gematik argumentiert dann auch, dass \u00c4rzte nach \u00a7 75b SGB V verpflichtet seien, \"Standardsicherheitsma\u00dfnahmen gegen Malware\" einzuhalten. Zitat aus dem heise-Artikel:<\/p>\n<blockquote><p>\u00c4rzte und andere Leistungserbringer sollten daher aktualisierte Virenscanner und frisch gepatchte PDF-Reader auf ihren Systemen haben. Dar\u00fcber hinaus ist es eine gute Idee, ePA-Daten sowie Mail-Anh\u00e4nge in einer virtuellen Maschine zu \u00f6ffnen, die eine Ausbreitung von m\u00f6glichem Schadcode zumindest deutlich erschwert.<\/p><\/blockquote>\n<p>Da tun sich schlicht Abgr\u00fcnde auf, denn weder Patienten noch \u00c4rzte sind i.d.R. in der Lage, diese Bedingungen zu erf\u00fcllen. Eigentlich m\u00fcssten \u00c4rzte aus Sicherheits- und Haftungsgr\u00fcnden die Unterst\u00fctzung der ePA 2.0 verweigern. Das ist aber nicht m\u00f6glich, weil Patienten zwar ein opt-in-Recht besitzen, die \u00c4rzte aber eine Mitwirkungspflicht nach \u00a7 291a SGB V\u00a0 haben. Sei m\u00fcssten die ePA 2.0 unterst\u00fctzen.<\/p>\n<p>Wer sich den <a href=\"https:\/\/www.heise.de\/news\/c-t-deckt-auf-Sicherheitsluecke-in-elektronischer-Patientenakte-6304671.html\" target=\"_blank\" rel=\"noopener\">heise-Artikel durchliest<\/a>, f\u00fchlt sich im Kabinett der Grausamkeiten &#8211; und ich bin \u00fcberzeugt, dass wir mit der Einf\u00fchrung von ePA 2.0 und Folgeversionen noch sehr viel Spa\u00df der negativen Art bekommen. Bald d\u00fcrften sich die ersten Sicherheitsvorf\u00e4lle in diesem Bereich ereignen. Und bei Ausfall der Telematik-Infrastruktur (TI) sieht es mit dem Zugriff auf die elektronische Patientenakte mau aus. Dass die Telematik-Infrastruktur (TI) von Schwachstellen wie log4j betroffen war, ist da nur noch eine nette Fu\u00dfnote. Sch\u00f6ne neue Digitalisierungswelt.<\/p>\n<h2>Cyberangriff auf Bitmark<\/h2>\n<p>Als kleine Erg\u00e4nzung, weil es so sch\u00f6n in den Artikel passt. Der IT-Dienstleister f\u00fcr Krankenkassen, Bitmark, wurde inzwischen Opfer eines Ransomware-Angriffs (siehe den Artikel\u00a0<a href=\"https:\/\/borncity.com\/blog\/2023\/04\/27\/cyberangriffe-auf-krankenkassen-it-dienstleister-bitmarck-klinikum-hochsauerland-gmbh\/\">Cyberangriffe auf Krankenkassen-IT-Dienstleister Bitmarck, Klinikum Hochsauerland GmbH<\/a>).<\/p>\n<p>In Folge dieses Angriffs konnten keine eAUs (elektronischen Arbeitsunf\u00e4higkeitsbescheinigungen) mehr ausgestellt werden. Und mehr als 80 Krankenkassen, die an Bitmark angeschlossen waren, lagen \"IT-m\u00e4\u00dfig\" ziemlich auf dem Kreuz &#8211; da ging teilweise nichts mehr. Mittlerweile wurde im Nachgang auch bekannt, dass durch den Ransomware-Angriff Patientendaten abgegriffen wurden. Wenn Anbieter wie Bitmark schon keine IT-Sicherheit hinbekommen, obwohl die breite Infrastruktur der \u00c4rzte noch nicht angeschlossen ist, wie soll das mit der elektronischen Patientenakte funktionieren, wo hunderttausende Teilnehmer Dokumente in riskanten Dokumentformaten einspeisen d\u00fcrfen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2018\/12\/24\/elektronische-patientenakte-br-will-datenschutz-schleifen\/\">Elektronische Patientenakte: B\u00e4r will Datenschutz schleifen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/06\/digitalisierung-im-gesundheitswesen-rzteverbnde-fordern-einjhriges-moratorium\/\">Digitalisierung im Gesundheitswesen: \u00c4rzteverb\u00e4nde fordern einj\u00e4hriges Moratorium<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/09\/19\/gesundheitswesens-einrichtungen-hauptziel-von-ransomware-angriffen\/\">Gesundheitswesens: Einrichtungen Hauptziel von Ransomware-Angriffen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/11\/autsch-der-covpass-ansatz-zum-digitalen-covid-19-impfnachweis-wird-fnfmal-teurer-als-geplant\/\">Autsch: Der CovPass-Ansatz zum digitalen COVID-19-Impfnachweis wird f\u00fcnfmal teurer als geplant<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>2022 soll die elektronische Patientenakte (ePA 2.0) ausgerollt werden. Die Idee dabei ist, dass alle Informationen eines Patienten an einem digitalen Ort gespeichert werden. Arzt und Patient k\u00f6nnen dann auf diese Daten zugreifen. Aber es gibt immer wieder \u00c4rger mit &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/01\/04\/elektronische-patientenakte-epa-2-0-als-sicherheitsrisiko\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-261139","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261139","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261139"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261139\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261139"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261139"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261139"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}