![\"Gesundheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Gesundheit-klein.jpg\" "\\"Gesundheit\\"")
Zum 29. April 2025 ist die elektronische Patientenakte ja fl\u00e4chendeckend f\u00fcr gesetzlich Krankenversicherte gestartet. Sicher und funktional, wie der Gesundheitsminister versicherte. Am 30. April 2025 musste die gematik vermelden, dass man eine durch den Chaos Computer Club (CCC) gemeldete neue Sicherheitsl\u00fccke entsch\u00e4rft habe.<\/p>\n
<\/p>\n
Dieser Start war eigentlich bereits zum 15. Februar 2025 geplant, musste aber wegen zahlreicher Probleme verschoben werden. Auch zum 29. April gibt es keine Verpflichtung, dass der Arzt die ePA 3.0 unterst\u00fctzt \u2013 und viele Praxen werden das auch nicht k\u00f6nnen, weil die Praxisverwaltungssysteme das noch nicht beherrschen. Zudem sind viele versprochene Funktionen noch nicht vorhanden und sollen sp\u00e4ter implementiert werden oder sind g\u00e4nzlich entfallen. Viele Details lassen sich in den am Artikelende verlinkten Beitr\u00e4gen nachlesen.<\/p>\n Fachleute zeigten sich vor allem skeptisch in Bezug auf die Sicherheit der ePA-Daten. Kurz vor dem Pilotstart zum Januar 2025 hatten Sicherheitsforscher \u00f6ffentlich auf eine Sicherheitsl\u00fccke hingewiesen, so dass auch Unbefugte auf ePA-Daten zugreifen konnten. Das wurde durch einen Taschenspielertrick – die Pilot-Praxen wurden handverlesen freigeschaltet – korrigiert. So griff der Trick, dass sich Unbefugte einen Heilberufsausweis sowie die Infrastruktur der ePA beschaffen und zum Zugriff auf die elektronische Patientenakte missbrauchen k\u00f6nnen.<\/p>\n Falls ein Patient seine Krankenkassenkarte, (eGK) vergessen oder verloren hat, wird eine sogenannte\u00a0elektronische Ersatzbescheinigung ben\u00f6tigt. Die Kassen\u00e4rztliche Bundesvereinigung (KBV) und der GKV-Spitzenverband haben sich im Bundesmantelvertrag-\u00c4rzte (BMV-\u00c4) darauf geeinigt, dass Arztpraxen sp\u00e4testens zum 1. Juli 2025 die Nutzung einer sogenannten elektronischen Ersatzbescheinigung erm\u00f6glichen m\u00fcssen.\u00a0Die Versicherten sollen diese Ersatzbescheinigung per App abrufen k\u00f6nnen.<\/p>\n Ich hatte im Beitrag\u00a0Elektronischen Patientenakte (ePA) kommt erst im April; und weitere News<\/a> \u00fcber diesen Schlenker berichtet. Und mir lag die Information vor, dass sich \u00fcber die Kartennummer durch \"Raten\" eine Berechtigung zum Zugriff auf jede ePA generieren lie\u00dfe, ohne jemand eine elektronische Gesundheitskarte (ePA) in H\u00e4nden zu haben. Ich bin diesem Detail aber nicht nachgegangen, da ich die Information nicht f\u00fcr gen\u00fcgend valide gehalten habe. Sieht so aus, als ob der CCC das aufgegriffen hat.<\/p>\n Zum 30. April 2025 (also gestern, einen Tag nach dem Fl\u00e4chenstart der ePA 3.0) musste die gematik, die die Infrastruktur betreibt, die Meldung ePA-Sicherheitsl\u00fccke geschlossen<\/a> ver\u00f6ffentlichen.<\/p>\n In der Meldung hei\u00dft es, dass der gematik Informationen vor liegen, dass der Chaos Computer Club ein Szenario f\u00fcr unberechtigte Zugriffe auf die elektronische Patientenakte beschrieben hat. \u00dcber elektronische Ersatzbescheinigungen f\u00fcr Versichertenkarten k\u00f6nne man an Informationen gelangen, um auf einzelne elektronische Patientenakten (ePA) zuzugreifen.<\/p>\n Die gematik habe die Sicherheitsl\u00fccke, die f\u00fcr einzelne Versicherte weniger Krankenkassen bestehen k\u00f6nnte, geschlossen. Die potenziell betroffenen Versicherten werden identifiziert und gesch\u00fctzt. Klingt alles harmlos, und der Noch-Gesundheitsminister Prof. Karl Lauterbach wird mit \"In der Fr\u00fchphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen. Ich bin der gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitsl\u00fccke geschlossen hat. Die elektronische Patientenakte muss sehr gut gesch\u00fctzt bleiben. Massenangriffe auf Patientendaten m\u00fcssen ausgeschlossen bleiben.\" zitiert.<\/p>\n Der gematik-Gesch\u00e4ftsf\u00fchrer Dr. Florian Fuhrmann erkl\u00e4rt dazu: \"Der bundesweite Rollout der ePA wird von unseren Sicherheitsteams gemeinsam mit dem BSI eng begleitet. Man gehe Hinweisen externer Sicherheitsforscher wir in standardisierten Prozessen umgehend nach und leite bei entsprechender Bewertung passende Ma\u00dfnahmen ein.<\/p>\n Aufgrund der Hinweise habe die gematik pr\u00e4ventiv als erste Sofortma\u00dfnahme das Verfahren vorerst ausgesetzt, das bereits einige Kassen f\u00fcr Ersatzbescheinigungen alternativ zur Versichertenkarte (eGK) nutzen. Man pr\u00fcfe und monitore laufend und mit h\u00f6chster Priorit\u00e4t. Man habe bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat.<\/p>\n Laut CCC ist es m\u00f6glich gewesen, \u00fcber Elektronische Ersatzbescheinigungen von Versichertenkarten den Behandlungskontext einer versicherten Person zu f\u00e4lschen. In Kombination mit der Versichertennummer, einem Codierungsschl\u00fcssel sowohl einem illegal beschafften Praxisausweis (SMC-B) und einem Anschluss an die Telematikinfrastruktur (TI) w\u00e4re damit theoretisch der Zugriff auf Patientenakten vereinzelt m\u00f6glich. Die gematik geht nicht davon aus, dass Versichertendaten tats\u00e4chlich abgeflossen sind.<\/p>\n Ende Dezember 2024 hat der Chaos Computer Club dargestellt, dass es unter bestimmten Voraussetzungen aufgrund einer technischen Schwachstelle theoretisch m\u00f6glich gewesen w\u00e4re, den Behandlungskontext einer versicherten Person zu simulieren und somit zu f\u00e4lschen. F\u00fcr den bundesweiten Rollout der ePA f\u00fcr alle wurden mit dem BSI weitere hohe Sicherheitsma\u00dfnahmen umgesetzt. Der Nachweis f\u00fcr den Behandlungskontext wurde mit weiteren Kartenmerkmalen abgesichert. Zus\u00e4tzlich zur Kartennummer m\u00fcssen weitere Merkmale bekannt sein, die teilweise auch nicht auf der Versichertenkarte stehen. Das ist in der Regel nur mit dem physischen Vorliegen und Einlesen der eGK in der Einrichtung m\u00f6glich.<\/p>\n Grunds\u00e4tzlich gilt weiterhin: Die ePA f\u00fcr alle wurde und wird mit h\u00f6chsten und modernsten Sicherheitsstandards gebaut, welche die gematik zusammen mit den obersten Sicherheits- und Datenschutzbeh\u00f6rden wie dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten f\u00fcr den Datenschutz und die Informationsfreiheit (BfDI) entwickelt und abstimmt. Zus\u00e4tzlich sch\u00fctzt ein mehrstufiges Sicherheitskonzept die Telematikinfrastruktur (TI). Au\u00dferdem wird die Sicherheit der TI und aller Anwendungen fortlaufend gepr\u00fcft – in enger Abstimmung mit den zust\u00e4ndigen Beh\u00f6rden und externen Experten. Also alles im gr\u00fcnen Bereich?<\/p>\n Einige Details zum Angriff sind in Artikeln von Golem<\/a> und heise<\/a> n\u00e4her beschrieben – der CCC hatte die Informationen wohl dem Spiegel gesteckt, der dies in einem Artikel (hinter Paywall) berichtete.<\/p>\n Das Problem: Die auf dem Chip der Gesundheitskarte (eGK) hinterlegte Kartennummer ICCSN wird ohne kryptografische \u00dcberpr\u00fcfung \u00fcbertragen. Diese ICCSN reichte bis vor kurzem noch aus, um ohne eGK auf die elektronische Patientenakte zuzugreifen. Zudem hat man zum Start neue Sicherheitsregeln festgelegt, so dass die ICCSN alleine nicht mehr reicht, um auf die ePA-Daten zuzugreifen. So wird ein Hash-Wert aus der Anschrift des Versicherten gebildet.<\/p>\n Christoph Saatjohann, Professor f\u00fcr IT-Sicherheit an der FH M\u00fcnster, hatte mit Bianca Kastl und Martin Tschirsich entdeckt<\/a>, dass sich die Anschrift und der Versicherungsbeginn \u00fcber die elektronische Ersatzbescheinigung (eEB) abfragen lassen.\u00a0Der CCC konnte nachweisen, dass der Pr\u00fcfwert aus dem Datum des Versicherungsbeginns und der Stra\u00dfe und Hausnummer der Wohnanschrift der versicherten Person unter bestimmten Umst\u00e4nden automatisch generiert werden kann.<\/p>\n Der Fix wurde, wie auch die oben erw\u00e4hnte Sicherheitsl\u00fccke, durch einen Taschenspielertrick, vorgenommen: Man akzeptiert vorerst einfach keine Elektronische Ersatzbescheinigungen mehr. Die Patientenakte ist somit (vorerst) sicher. In der Pharmazeutische Zeitung kritisiert der CCC in diesem Artikel<\/a> die Flickschusterei bei der ePA. Weitere drastische Aussagen des CCC finden sich im Artikel von heise, den ich oben verlinkt habe. Auch die oben verlinkten Folgeposts von Bianca Kastl auf Mastodon<\/a> sind ganz lesenswert.<\/p>\n \u00c4hnliche Artikel: Vernichtendes Urteil an elektronischer Patientenakte auf Freie \u00c4rzteschaft (FA) Kongress (3.12.2022)<\/a> Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen Cyberangriffe<\/a>EU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pl\u00e4ne, offene Fragen<\/a> B\u00fcchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-\/Datenschutz<\/a> Sicherheitsgutachten zur elektronischen Patientenakte (ePA)<\/a> Zum 29. April 2025 ist die elektronische Patientenakte ja fl\u00e4chendeckend f\u00fcr gesetzlich Krankenversicherte gestartet. Sicher und funktional, wie der Gesundheitsminister versicherte. Am 30. April 2025 musste die gematik vermelden, dass man eine durch den Chaos Computer Club (CCC) gemeldete neue … Weiterlesen Im Beitrag\u00a0Status zum Start der elektronischen Patientenakte (ePA) am 29.4.2025<\/a> hatte ich zum 28. April 2025 ja einen Abriss des Status zur elektronischen Patientenakte (ePA 3.0) in Deutschland gegeben. Zu diesem Stichtag begann der fl\u00e4chendeckende Hochlauf der ePA 3.0 auf freiwilliger Basis (siehe<\/a>\u00a0und\u00a0hier<\/a>). Theoretisch kann jeder mit seiner Gesundheitskarte (eGK) beim Arzt auftauchen und seine elektronische Patientenakte f\u00fchren lassen.<\/p>\n
Ist die ePA 3.0 sicher?<\/h3>\n
Die Sache mit der elektronischen Ersatzbescheinigung<\/h3>\n
\n
Angriff \u00fcber elektronische Ersatzbescheinigung<\/h2>\n
gematik wiegelt ab<\/h3>\n
Einige Details<\/h3>\n
Zum Hintergrund: Ausf\u00fchrungen der gematik<\/h2>\n
![\"eGK](\"https:\/\/i.postimg.cc\/Dwjmx15V\/image.png\")
<\/a><\/p>\n
\n<\/strong>Gesundheitsgesetze I: EU-Parlament macht Weg f\u00fcr EU Health Data Space (EHDS) frei<\/a>
\nGesundheitsgesetze II: Bundestag beschlie\u00dft Digitalisierung im Gesundheitswesen (GDNG, DigiG)<\/a>
\nGesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?<\/a>
\nElektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?<\/a>
\ngematik-Gesellschafter haben Opt-out f\u00fcr elektronische Patientenakte (ePA) beschlossen<\/a><\/p>\n
\nNeustart in 2023 f\u00fcr Elektronische Patientenakte (ePA) geplant<\/a>
\nLauterbach \"will\" die elektronische Patientenakte (ePA) mit Opt-out \u2013 ein Desaster mit Ansage oder Wolkenkuckucksheim?<\/a><\/p>\n
\nEurop\u00e4ischer Gesundheitsdatenraum (EHDS) beschlossen \u2013 die Haken f\u00fcr Patienten<\/a><\/p>\n
\nre:publica: Kontra Datenschutz; wo ist die Medizinethikerin Buyx \"falsch abgebogen?<\/a>
\nNachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay<\/a>
\nDesaster Cyberangriff auf Change Healthcare der UnitedHealth Group<\/a>
\nElektronische Patientenakte: Das Ende der \u00e4rztlichen Schweigepflicht?<\/a>
\nNews aus dem Gesundheitswesen: ePA, Widerspruch, Schwachstellen und \u00c4rzte\u00e4rger<\/a>
\nElektronischer Medikationsplan (eMP): Implementierung zum Scheitern verurteilt?<\/a>
\nElektronische Patientenakte (ePA) und das (zwingende) Opt-out<\/a>
\nElektronische Patientenakte (ePA): Opt-out jetzt! Erste Pl\u00e4ne f\u00fcr Begehrlichkeiten<\/a><\/p>\n
\nElektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den \"Datenschatz\"<\/a>
\nStatus elektronische Patientenakte (ePA 3.0): Weg ins Desaster?<\/a>
\nElektronische Patientenakte (ePA): Vernichtende Kritik von CCC und Fachleuten<\/a>
\n\u00c4rzte raten vorerst zum Verzicht bei der elektronischen Patientenakte (ePA)<\/a>
\nElektronische Patientenakte (ePA): Chaos vor dem Start zum 15.1.2025<\/a>
\nElektronischen Patientenakte (ePA) kommt erst im April; und weitere News<\/a>
\nKBV \u00c4rztepr\u00e4sident Gassen: \"Elektronische Patientenakte verz\u00f6gert sich\"<\/a>
\nApothekenumschau: Insights zum ePA 3.0-Testlauf \u2013 es hakt weiterhin<\/a>
\nStatus zum Start der elektronischen Patientenakte (ePA) am 29.4.2025<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"