![\"Gesundheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Gesundheit-klein.jpg\" "\\"Gesundheit\\"")
Die gematik hat ein Sicherheitsgutachten zum Konzept der elektronischen Patientenakte (ePA) beauftragt. Dieses Gutachten des Fraunhofer SIT liegt jetzt vor. W\u00e4hrend die gematik aus dem Gutachten den Schluss \"Die ePA f\u00fcr alle ist sicher\" zieht, sehen die Pr\u00fcfer teilweise schwerwiegende Sicherheitsprobleme. Manche hat die gematik \"zur Kenntnis genommen\", da au\u00dferhalb ihrer Befugnisse. Was kann schon schief gehen.<\/p>\n
<\/p>\n
Die elektronischen Patientenakte (ePA) soll ja ein wesentlicher Bestandteil der digitalen Gesundheitsversorgung in Deutschland werden. Patienten und Behandelnde sollen, so die Theorie, die medizinisch relevanten Informationen auf einen Blick verf\u00fcgbar haben. Versprochen wird mehr Effizienz, da auch Doppeluntersuchungen vermieden und Behandlungsprozesse beschleunigt werden – wobei ich dieses Versprechen seit Jahren f\u00fcr diverse Ma\u00dfnahmen im Gesundheitswesen geh\u00f6rt habe. Das Gesundheitssystem hat seine eigene Dynamik.<\/p>\n
Unter diesem Aspekt startet die elektronische Patientenakte (ePA) ab dem 15. Januar 2025 deutschlandweit f\u00fcr gesetzlich Krankenversicherte.\u00a0Wer das nicht m\u00f6chte, muss seinen Widerspruch im Rahmen des Opt-out erkl\u00e4ren.<\/p>\n
Ich hatte ja die Entwicklung der Elektronischen Patientenakte (ePA) hier im Blog mit zahlreichen (kritischen) Beitr\u00e4gen begleitet.\u00a0Und im Blog-Beitrag Elektronische Patientenakte (ePA): Opt-out jetzt! Erste Pl\u00e4ne f\u00fcr Begehrlichkeiten<\/a> hatte ich einige Aspekte der Entwicklung nochmals aufgezeigt. Insbesondere treiben viele Unw\u00e4gbarkeiten hinsichtlich Missbrauch und Sicherheit die Kritiker der ePA um. Nun f\u00e4llt ein weiteres Mosaiksteinchen in Form eines Sicherheitsgutachtens ins Bild.<\/p>\n Das von der gematik bei der Fraunhofer SIT beauftragte Sicherheitsgutachten zum Konzept der elektronischen Patientenakte (ePA) l\u00e4sst sich als \"Abschlussbericht<\/a>\" (PDF) abrufen. Die Pressemitteilung Neues ePA-Sicherheitskonzept auf dem Pr\u00fcfstand<\/a> dazu stammt vom 10. Oktober 2024 – das Gutachten liegt bereits seit August 2024 vor.<\/p>\n Ein Forschungsteam des Fraunhofer-Instituts f\u00fcr Sichere Informationstechnologie SIT hat das Sicherheitskonzept der elektronischen Patientenakte (ePA) \"auf dem Papier\", anhand der Konzepte und Spezifikationen \u00fcberpr\u00fcft.<\/p>\n Dabei wurden verschiedene Angriffsb\u00e4ume in Bezug auf externe und interne Angreifer im Hinblick auf unberechtigte Zugriffe, l\u00f6schen und manipulieren der Patientenakte untersucht. Das gematik-Konzept ist so komplex, dass zur Pr\u00fcfung k\u00fcnstliche Intelligenz herangezogen werden musste.<\/p>\n F\u00fcr die \u00dcberpr\u00fcfung haben die Forschenden des Fraunhofer SIT zun\u00e4chst s\u00e4mtliche Texte der Sicherheitsanforderungen aus dem gematik-Konzept in eine eigens daf\u00fcr aufgesetzte K\u00fcnstliche Intelligenz \u00fcberf\u00fchrt und so ein gematik-GPT auf Open-Source-Basis entwickelt.<\/p>\n Diese KI funktioniert wie eine spezielle Suchmaschine und erlaubte es den Forschenden, alle Inhalte des umfangreichen Konzepts schnell durchsuchen und abrufen zu k\u00f6nnen. In einem zweiten Schritt entwickelten die Forschenden verschiedene Angriffsszenarien und -methoden und pr\u00fcften jedes Szenario mithilfe des gematik-GPT gegen das Sicherheitskonzept: Hat das Sicherheitskonzept ein m\u00f6gliches Angriffsszenario ber\u00fccksichtigt und Gegenma\u00dfnahmen vorgesehen, zeigt das die KI automatisch an.<\/p>\n Das KI-Ergebnis wurde dann noch einem Gegencheck durch die Fraunhofer-Experten\u00a0 unterzogen.<\/p>\n Das eingereichte Konzept wurde von der Fraunhofer SIT zwar \"f\u00fcr angemessen\" befunden. Die Formulierung lautet:<\/p>\n Das Gesamtergebnis der Sicherheitsbetrachtung laut der Fraunhofer-Experten: Die Systemarchitektur ist insgesamt angemessen, l\u00e4sst sich jedoch noch verbessern.<\/p><\/blockquote>\n In den Details des 93 seitigen Abschlussberichts finden sich durchaus kritische Punkte, die diskussionsw\u00fcrdig sind. Es werden mehr als ein Dutzend Schwachstellen, davon vier mit hohem Risiko, und sechs mit mittlerem Risiko benannt. Die restlichen 11 Schwachstellen werden als niedrig klassifiziert.<\/p>\n Bem\u00e4ngelt wird auch die in den Spezifikationen einger\u00e4umte Reaktionsfrist von 72 Stunden f\u00fcr die Beteiligten an der ePA, um auf Schwachstellen (CVSS-Bewertung von 9,0 und h\u00f6her) zu reagieren. Zu den zus\u00e4tzlichen Empfehlungen der Pr\u00fcfer z\u00e4hlen auch einige erg\u00e4nzende Ma\u00dfnahmen, die zum Beispiel vor Innent\u00e4tern sch\u00fctzen.<\/p>\n Ebenso wurden Verbesserungen an den Schnittstellen zu Krankenkassen und Leistungserbringern vorgeschlagen. Um den Besonderheiten der Telematik-Infrastruktur gerecht zu werden, machte das Team auch technische und organisatorische Verbesserungsvorschl\u00e4ge, die es der gematik zur Umsetzung empfiehlt.<\/p>\n Zudem wurde von der Fraunhofer SIT eine Pr\u00fcfung der Implementierung mittels eines Penetrationstests oder eines Code-Reviews empfohlen.\u00a0Die gematik sieht die ePA als sicher an und nimmt einige Punkte au\u00dferhalb der Regelungshoheit \"zur Kenntnis\".<\/p>\n Die Details lassen sich im Abschlussbericht nachlesen – die Kollegen von heise haben hier<\/a> ebenfalls eine Zusammenfassung f\u00fcr den schnellen Leser ver\u00f6ffentlicht. Und die Redaktion von heise bringt es in einem zweiten Beitrag Ohne Vertrauen gibt es keine Gesundheitsdigitalisierung<\/a> auf den Punkt. Genau an diesem Punkt scheiden sich die Geister – aus meinem Blickwinkel ist es der gematik sowie den beteiligten Protagonisten in den letzten Jahren nicht gelungen, Vertrauen aufzubauen – im Gegenteil, je tiefer man gr\u00e4bt, um so gr\u00f6\u00dfer wird das Misstrauen. Aber wie schrieb ich Eingangs: \"Was kann schon schief gehen – notfalls wird alles per Verordnung als sicher erkl\u00e4rt\".<\/p>\n Artikelreihe:<\/strong> \u00c4hnliche Artikel: EU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pl\u00e4ne, offene Fragen<\/a> gematik untersagt Video-Ident-Verfahren in der Telematikinfrastruktur (9. August 2022)<\/a> KBV: Gematik verschiebt eRezept-Einl\u00f6sung mit eGK auf Sommer 2023<\/a> B\u00fcchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-\/Datenschutz<\/a> Die gematik hat ein Sicherheitsgutachten zum Konzept der elektronischen Patientenakte (ePA) beauftragt. Dieses Gutachten des Fraunhofer SIT liegt jetzt vor. W\u00e4hrend die gematik aus dem Gutachten den Schluss \"Die ePA f\u00fcr alle ist sicher\" zieht, sehen die Pr\u00fcfer teilweise schwerwiegende … Weiterlesen Das Sicherheitsgutachten zur ePA<\/h2>\n
Pr\u00fcfung der Spezifikation auf Papier<\/h3>\n
AI wegen der Komplexit\u00e4t erforderlich<\/h3>\n
Ergebnis der Pr\u00fcfung<\/h2>\n
\nGesundheitsgesetze I: EU-Parlament macht Weg f\u00fcr EU Health Data Space (EHDS) frei<\/a>
\nGesundheitsgesetze II: Bundestag beschlie\u00dft Digitalisierung im Gesundheitswesen (GDNG, DigiG)<\/a>
\nGesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?<\/a><\/p>\n
\n<\/strong>Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?<\/a>
\ngematik-Gesellschafter haben Opt-out f\u00fcr elektronische Patientenakte (ePA) beschlossen<\/a>
\nVernichtendes Urteil an elektronischer Patientenakte auf Freie \u00c4rzteschaft (FA) Kongress (3.12.2022)<\/a>
\nNeustart in 2023 f\u00fcr Elektronische Patientenakte (ePA) geplant<\/a>
\nLauterbach \"will\" die elektronische Patientenakte (ePA) mit Opt-out \u2013 ein Desaster mit Ansage oder Wolkenkuckucksheim?<\/a>
\nElektronische Patientenakte: nur 6 % der \u00c4rzte nutzten es Mitte 2022<\/a>
\nNach BARMER-Hack: Fach\u00e4rzte starten Petition f\u00fcr ePA Opt-in \u2013 jeder kann unterzeichnen<\/a>
\nDigitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen Cyberangriffe<\/a><\/p>\n
\nEurop\u00e4ischer Gesundheitsdatenraum (EHDS) beschlossen \u2013 die Haken f\u00fcr Patienten<\/a><\/p>\n
\nGAU: KIM im Gesundheitswesen kaputt \u2013 S\/MIME-Zertifikate mehrfach vergeben<\/a>
\nUps: Krankenkassen nutzen die Telematik-Infrastruktur selbst nicht \u2026<\/a>
\nTI-Konnectoren im Gesundheitswesen \u2013 der \"400 Millionen Euro\"-Hack des Chaos Computer Clubs<\/a>
\nTI-Konnektorentausch: \u00c4rzteverb\u00e4nde erstatten Anzeige wegen Korruptionsverdacht<\/a>
\neGK-Tastatur (z.B. G87-1505) mit Verfallsdatum \u2013 wird die zu Elektroschrott?<\/a><\/p>\n
\neRezept ab 2024 verpflichtend \u2013 Ungereimtheiten f\u00fchren zum Desaster<\/a>
\nUmfrage: L\u00e4uft bei euch die Praxis-Software und das eRezept zum 2.1.2024?<\/a>
\nDigitalisierung in der Medizin: Drama beim eRezept (M\u00e4rz 2024)<\/a><\/p>\n
\nre:publica: Kontra Datenschutz; wo ist die Medizinethikerin Buyx \"falsch abgebogen?<\/a>
\nNachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay<\/a>
\nDesaster Cyberangriff auf Change Healthcare der UnitedHealth Group<\/a>
\nElektronische Patientenakte: Das Ende der \u00e4rztlichen Schweigepflicht?<\/a>
\nNews aus dem Gesundheitswesen: ePA, Widerspruch, Schwachstellen und \u00c4rzte\u00e4rger<\/a>
\nElektronischer Medikationsplan (eMP): Implementierung zum Scheitern verurteilt?<\/a>
\nElektronische Patientenakte (ePA) und das (zwingende) Opt-out<\/a>
\nElektronische Patientenakte (ePA): Opt-out jetzt! Erste Pl\u00e4ne f\u00fcr Begehrlichkeiten<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"