Sicherheitsgutachten des Fraunhofer-Instituts

Wie sicher ist die elektronische Patientenakte?

Berlin - 12.11.2024, 17:50 Uhr

Das BMG wirbt für die ePA für alle – doch nicht alle Sicherheitszweifel sind ausgeräumt. (Foto: IMAGO / snowfieldphotography)

Das BMG wirbt für die ePA für alle – doch nicht alle Sicherheitszweifel sind ausgeräumt. (Foto: IMAGO / snowfieldphotography)


Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat die elektronische Patientenakte auf Herz und Nieren geprüft. Der Auftraggeber Gematik zeigte sich mit dem Ergebnis zufrieden. Ein Blick in das Gutachten zeigt aber einige gravierende Baustellen auf. Die DAZ fragte nach. 

Die elektronische Patientenakte (ePA) gilt als „Herzstück“ der Digitalisierung des deutschen Gesundheitswesens. Mit dem Mitte Dezember 2023 vom Bundestag beschlossenen und im März 2024 in Kraft getretenen Digitalisierungsgesetz wurde ihr verbindlicher Start auf den 15. Januar 2025 festgelegt. Das gilt zumindest für jene Versicherten, die dem nicht widersprechen, also kein „Opt-Out-Verfahren“ einleiten. 

Big Brother Award für Lauterbach

Von ihrer Sicherheit überzeugen konnte die Bundesregierung nicht alle. So erhielt Bundesgesundheitsminister Karl Lauterbach (SPD) auch für die ePA den diesjährigen Big Brother Award in der Kategorie Gesundheit. Durch den Europäischen Gesundheitsdatenraum (EHDS) und dessen Umsetzung im Gesundheitsdatennutzungsgesetz (GDNG) würden „unsere Gesundheitsdaten zur Beute kommerzieller und politischer Interessen“, so Thilo Weichert in seiner Laudatio am 11. Oktober dieses Jahres.

Mehr zum Thema

Elektronische Patientenakte

Das Infomobil zur ePA rollt an

Bundesdatenschutzbeauftragte

Einspruch gegen ePA muss erleichtert werden

Stellungnahme zum Gesundheitsdatennutzungsgesetz

ABDA will automatisierte AMTS-Prüfung durch Krankenkassen streichen

Der Experte vom Netzwerk Datenschutzexpertise sieht die Gefahr, dass die etwa für Forschungszwecke bereitgestellten Daten trotz Anonymisierung eine Identifikation des Versicherten ermöglichten. Pro Datensatz seien „so viele sensitive Merkmale über die körperliche und seelische Gesundheit hinterlegt, dass mit ein wenig Zusatzwissen leicht herauszufinden ist, wer da mit welcher Therapie behandelt wurde“. 

Datenleaks und mehr 

Für Weichert sind damit beträchtliche Risiken verbunden: Die Daten könnten in die Hände von Adresshändlern gelangen. Darüber hinaus darf die Polizei auf die Daten zugreifen und könnte sie für strafrechtliche Ermittlungen nutzen. Aber auch die Krankenkassen haben Zugriff, um beispielsweise Versicherten eine günstigere Therapie zu empfehlen. Das machen sie aber vorbei an Ärzten – die ABDA kritisierte früh, dass Kostenträger so zu Leistungserbringern werden.

„Erhebliche datenschutzrechtliche Bedenken“

So äußerte auch der damalige Bundesdatenschutzbeauftragte, Ulrich Kelber, in seinem Tätigkeitsbericht 2023 „erhebliche datenschutzrechtliche Bedenken“. Bezüglich der Widerspruchslösung nehme er bei den Bürgern „Verunsicherung, Ohnmacht und Misstrauen wahr“.

Die neue Datenschutzbeauftragte, Louisa Specht-Riemenschneider, hatte sich mit der bereits beschlossenen ePA anzufreunden. Sie forderte aber erst Ende Oktober wieder, dass Bürgerinnen und Bürger besser über sie und die Widerspruchslösung informiert werden. Da dies im Gesetzgebungsverfahren nicht bedacht worden sei, drohe man, „Menschen auf dem Weg zur ePA“ zu verlieren.

Untätigkeit will man sich im BMG aber nicht vorwerfen zu lassen. So tingelt seit einigen Tagen ein Infobus durch deutsche Großstädte. Darüber hinaus läuft eine Kampagne über Internet, Radio und Fernsehen.

Gematik: ePA für alle ist sicher

Um nun auch die letzten Bedenken zu zerstreuen, meldete die Gematik am 10. Oktober: „Gutachten bestätigt: ePA für alle ist sicher“. Sie hatte das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) beauftragt, zu überprüfen, ob das Sicherheitskonzept der ePA – also das, was auf dem Papier steht – den selbstgesteckten Anforderungen – jenen der Gematik – standhält. 

Laut Gematik ist das Ergebnis: „Die ePA für alle ist in den geprüften Bereichen grundlegend sicher. Integrität und Sicherheit der kritischen Infrastruktur sind mit dem vorliegenden Konzept gewährleistet.“ Das SIT schreibt etwas nüchterner in einer Pressemitteilung zu dem Gutachten: „Die Systemarchitektur ist insgesamt angemessen, lässt sich jedoch noch verbessern.“

Stresstest mit Künstlicher Intelligenz

Wie kommt das SIT zu ihrem Ergebnis? Sämtliche Texte der Sicherheitsanforderungen aus dem Konzept wurden durch Künstliche Intelligenz untersucht – mit einem anschließenden Gegencheck durch die Gutachter. Die Ergebnisse wurden mithilfe von möglichen Angriffsszenarien abgeglichen, wobei die KI dann anzeigte, welche Attacken im Sicherheitskonzept berücksichtigt wurden und welche nicht.

Wer also wissen will, wie die ePA angegriffen werden kann und wie hoch die Wahrscheinlichkeit ist, dass dies auch von Erfolg gekrönt ist, der findet in dem Gutachten genug Stoff. Es liest sich geradezu wie eine Anleitung. Dabei darf aber angenommen werden, dass mögliche Angreifer sich schon ihre eigenen Gedanken machen können und auf das Gutachten nicht angewiesen sind.

Insgesamt wurden 21 Schwachstellen identifiziert, von denen bei vier der Schweregrad als hoch eingeschätzt wird. Bei sechs geht das SIT von einer mittleren und bei elf von einem geringen Schweregrad aus. Zudem wurden sieben Inkonsistenzen ermittelt. Wie gesagt und wie auch das SIT betont: Hier wurde noch nicht die konkrete Umsetzung der ePA geprüft, es geht rein um das Konzept, also die verschriftlichte Sicherheitsarchitektur.

Gematik gewohnt zugeknöpft 

Fragt man bei der Gematik nach, wie dort das Ergebnis eingeschätzt wird, ob man also über die Anzahl der Schwachstellen überrascht ist, ob mit weniger oder mehr, ob vielleicht auch mit heftigeren oder weniger heftigen Schwachstellen gerechnet wurde, gibt es nur ausweichende Antworten. Man prüfe „laufend“. Das Gutachten ließ man „proaktiv“ erstellen, die Verbesserungspotenziale wurden „aufgegriffen“. 

Mögliche Angriffsziele

Aber was könnte überhaupt angegriffen, „kompromittiert“ werden? Das ist zum einen natürlich die ePA an sich, also die verfügbaren Daten einer Patientin oder eines Patienten. Sie ließen sich beispielsweise für kommerzielle Zwecke nutzen, aber auch gänzlich löschen. Auf der anderen Seite könnte auch das System als Ganzes oder in wichtigen Komponenten angegriffen werden, das Funktionieren der ePA im Allgemeinen lahmgelegt werden.

Demnach gibt es nun bestimmte Punkte, die die Gematik verhindern will. Die Sicherheitsziele umfassen:

  • Unbefugtes Lesen der Akte
  • Unbefugtes Manipulieren der Akte
  • Unbefugtes Löschen der Akte
  • Denial-of Service-Angriff der Akte
  • Aufdecken von Behandlungen und Krankheiten

Um Klarheit darüber zu haben, wie das verhindert werden kann, muss man wissen, wer potenzielle Angreifer sind. Möglich wären Angriffe von außerhalb der TI durch Regierungsorganisationen, Hacker oder beispielsweise Cyberkriminelle. Als Innentäter gelten beispielsweise Mitarbeiter der Gematik, der Betreiber oder Hersteller des Aktensystems, aber auch der Primärsysteme der Leistungserbringer. Möglich ist aber auch, dass Nutzer des ePA-Verfahrens die Akte oder Teile kompromittieren wollen. Hier wären unter anderem Kostenträger oder auch Leistungserbringer zu nennen. 

Langes Wochenende für Innentäter

Welches sind nun die vier als „hoch eingestuften Schwachstellen“? Zum einen wird kritisiert, dass die Anbieter der TI-Dienste im Falle eines Angriffs an einem Wochenende mit Feiertag nicht sofort die Attacke bewerten und Gegenmaßnahmen einleiten müssen. Sie hätten dazu 72 Stunden – in dieser Zeit könnte das System aber schon kompromittiert sein.

Zwei Fälle beziehen sich auf Möglichkeiten für Innentäter. Zu diesem Thema stellen die Gutachter allgemein fest, dass Innentäter der Betreiberorganisationen „eine große Schwachstelle bei der Absicherung“ der ePA darstellen. 

So gibt es zum einen bei den Betreibern der Aktensysteme keine Rollentrennung bezüglich des Hardware-Sicherheitsmoduls (HSM) und sogenannten Masterkeys. Mit den Masterkeys lassen sich Informationen über kryptografische Verfahren ableiten, mit denen dann die Daten der Versicherten entschlüsselt werden können. In den HSM werden die Masterkeys hergestellt.

Ein Mitarbeiter mit Zugang zum Rechenzentrum könnte so gleichzeitig das HSM zerstören und die Backups der Masterkeys löschen und damit dafür sorgen, dass die Daten des Versicherten nicht mehr entschlüsselt werden können. Sie wären dann „unwiederbringlich“ verloren.

Überhaupt könnten Innentäter mit Zugriff auf kritische IT-Systeme die Verfügbarkeit der Akte einschränken, indem sie das Rechenzentrum physisch angreifen oder Komponenten herunterfahren. Die Gutachter empfehlen auch hier, dass Zutrittsberechtigungen so verteilt werden, dass ein Mitarbeiter nicht alle Systeme gleichzeitig physisch angreifen kann. Insgesamt plädieren sie mit Blick auf Innentäter für eine „strikte Trennung von Rollen und Verantwortlichkeiten“.

Die letzte Schwachstelle, deren Relevanz als „hoch“ eingestuft wird, bezieht sich auf die Entwicklungsprozesse der Software. Ist dieser nicht sicher, könnte ein Mitarbeiter eines Hardwareherstellers oder Softwareentwicklers, der Komponenten der TI zur Verfügung stellt, unbemerkt beliebige Änderungen am Code durchführen und das System anfällig für Angriffe machen. „Rein auf Ebene der Gematik ist es nur schwer möglich, solche Supply-Chain-Angriffe zu erkennen“, schreiben die Gutachter.

Zur Betonung der Gefahr durch Innentäter sagt die Gematik gegenüber der DAZ, dass man sich dieses mögliche Angreiferpotenzial von Beginn an in Betracht gezogen wurde. Das zu verhindern, sei ein „wesentliches Ziel“ der ePA-Sicherheitsarchitektur. 

Zu den konkret von den Gutachtern genannten Fällen stellt die Gematik fest, dass diese darauf hinauslaufen, dass die von ihr gestellten Sicherheitsanforderungen den Betreibern zu viel Umsetzungsspielraum geben. „Wir planen, diese Anforderungen zu ergänzen“, heißt es.

Welche Angriffe und Angreifer sind relevant?

Auffällig ist in dem Bericht, was zu möglichen Angreifern aus Regierungsorganisationen festgehalten wird. Laut Gutachtern ist die Relevanz dieser Angreifergruppe hoch. „Sie verfügen über erhebliche finanzielle und technische Ressourcen sowie hochqualifiziertes Fachpersonal.“ Allerdings wird im Anschluss geschrieben, dass „nach Absprache mit der gematik festgelegt“ wurde, „dass Angriffe durch Regierungsorganisationen nicht relevant sind“.

Das Fraunhofer SIT erklärte dazu gegenüber der DAZ, dass der Auftraggeber, in diesem Fall die Gematik, abhängig von seiner Aufgabendefinition bestimmte Angreifer als nicht relevant markieren kann. Es wird weiter ausgeführt, dass aufgrund der finanziellen und personellen Kapazitäten von Regierungsorganisationen Schutzmaßnahmen „vergleichsweise aufwendig“ sind und „neben den monetären Kosten im Einzelfall auch die Benutzbarkeit einer Lösung erheblich einschränken“. 

Daher müsste im Einzelfall geprüft werden, ob das vorliegende System für einen solchen Angreifer relevant ist und ob ein Schutz gegen diesen Angreifer „vom Auftrag des Systemverantwortlichen abgedeckt ist“. Das könnte konkret formuliert heißen, der Schutz gegen Angriffe von Regierungsorganisationen ist zu aufwendig, zum anderen wäre das System für diese vielleicht auch gar nicht interessant genug und letztlich ist es auch gar nicht die Aufgabe der Gematik – sondern eventuell einer anderen Behörde – solche Angriffe abzuwehren.

Die Gematik selbst erklärte gegenüber der DAZ, dass man Angriffe von Regierungsorganisationen als „potenzielle Bedrohung“ erachtet, auf die man sich vorbereitet. Das geht auch aus dem Gutachten hervor, laut dem nach Absprache die Bedrohung aber als „niedrig“ eingestuft wird. Wie diese Herabstufung von der vormals vom Fraunhofer SIT als „hoch“ eingeschätzten Relevanz herrührt, das geht aus der Antwort der Gematik nicht hervor.

Darüber hinaus antworten weder Gematik, noch das Fraunhofer SIT auf die Frage, ob bei der Betrachtung der Regierungsorganisationen als Angreifer der TI unterschieden wurde in in- oder ausländische. Beides wäre schließlich denkbar.

Im Begleitschreiben der Gematik zu dem Gutachten wird darauf hingewiesen, dass einige der vom Fraunhofer SIT angeführten Schwachstellen „außerhalb der Regelungshoheit der Gematik“ liegen. Auf Nachfrage heißt es dazu von der Gematik, dass es dabei zum einen darum geht, dass es Angriffe geben kann, wenn bei den Krankenkassen Widerspruch gegen das Erstellen einer ePA eingereicht wird. Dies liege aber in der Verantwortung der Kostenträger.

Zum anderen geht es um Angriffe auf die Primärsysteme der Leistungserbringer – beispielsweise Apotheken oder Praxen. Da diese IT-Sicherheit vor Ort noch einiges mehr als nur die TI umfasst, kann die Gematik hier keine Sicherheitsanforderungen stellen. „Es ist notwendig, dass medizinische Einrichtungen sich um einen ausreichenden IT-Sicherheitsschutz kümmern“, so die Gematik. 

Umbau der Gematik steht in den Sternen

Nun hatte die Ampel-Koalition eigentlich vor, die Gematik zu einer Digitalagentur umzubauen und ihre Kompetenzen zu erweitern. Wie es mit dem diesbezüglichen Gesetz weitergeht, steht aufgrund des Bruchs der Koalition in den Sternen. Auf die Frage der DAZ, ob mit diesen Kompetenzen aber ein Zugriff beispielsweise auf die oben skizzierten Schwachstellen bei Kostenträgern und Leistungserbringern möglich wäre, wollte sich die Gematik nicht äußern, da es sich um ein noch laufendes Verfahren handelt.

Die Gematik gibt sich also sicher, dass man das, was in dem Gutachten als Schwachstellen identifiziert hat, in den Griff bekommt – auch bis zum bald anstehenden Roll-Out. Dabei gibt es schon erste Zweifel, dass es zu einer Verschiebung kommen könnte. Wie die „Ärztezeitung“ am 7. November berichtete, sagte KBV-Vorstandsmitglied Sibylle Steiner bei einem Pressegespräch an dem Tag, dass man da noch abwarten müsse. Demnach sei ein Veranstaltungstermin Ende November, bei dem die tatsächliche Anwendung der ePA vorgestellt werden soll, verschoben worden. Die notwendige Referenzumgebung habe den Praxisverwaltungssystem-Herstellern immer noch nicht zur Verfügung gestanden. 

Einen Tag später erklärte der Vorstandsvorsitzende des Softwarehauses Duria, Erich Gehlenbei, in einem Interview mit der Zeitung, dass man immer noch nicht sagen könne, dass die Technik steht und die Nutzung der ePA empfohlen werden könne. Erinnert sei an dieser Stelle, dass die Kassen die Einführung Mitte Januar bereits Anfang Februar dieses Jahres „mehr als ambitioniert“ nannten.

Skeptische Bürgerinnen und Bürger

Dabei ist der Anteil der Menschen, die der ePA skeptisch gegenüberstehen, im vergangenen Jahr ohnehin gestiegen. Eine Ende Oktober veröffentlichte Umfrage der Unternehmensberatung Deloitte ergab, dass ein Drittel der Befragten wahrscheinlich oder bestimmt von der Opt-Out-Option Gebrauch machen werde. Insbesondere bei den 18- bis 24-Jährigen ist die Unsicherheit gewachsen. Im vergangenen Jahr sagten noch 45 Prozent, dass sie die ePA nutzen würden. Derzeit sind es nur noch 37 Prozent. Mit Blick auf diese Skepsis wäre es sicherlich nicht von Vorteil, wenn die Einführung der ePA ähnlich stotternd anlaufen würde, wie die des E-Rezeptes.


Matthias Köhler, DAZ-Redakteur
redaktion@daz.online


Diesen Artikel teilen:


Das könnte Sie auch interessieren

IT-Sicherheitsexperten zeigen Sicherheitslücken bei der ePA-Authentifizierung auf

Gematik stoppt VideoIdent-Verfahren

log4j-Sicherheitslücke bei Rise-Konnektoren

Konnektor-Update! Sonst Sperrung

Patientendaten-Schutzgesetz (PDSG)

Spahn will Wettbewerb bei E-Rezept-Apps ermöglichen

Die Fachcommunity soll Sicherheitslücken aufspüren – finanzielle Anreize gibt es aber nicht

E-Rezept: Was bringt die Open-Source-Strategie der Gematik?

Gematik-Gesellschafter beschließen Opt-out-ePA

E-Patientenakte kommt künftig automatisch

Alte und neue Hürden für die Digitalisierung

Diagnose Digital-Desaster?

0 Kommentare

Kommentar abgeben

 

Ich akzeptiere die allgemeinen Verhaltensregeln (Netiquette).

Ich möchte über Antworten auf diesen Kommentar per E-Mail benachrichtigt werden.

Sie müssen alle Felder ausfüllen und die allgemeinen Verhaltensregeln akzeptieren, um fortfahren zu können.