Fraunhofer-GutachtenElektronische Patientenakte leidet an schweren Schwachstellen

Mitte Januar geht die elektronische Patientenakte für alle an den Start. Forschende bescheinigen dem Konzept allerdings gravierende Schwachstellen. Um ein möglichst hohes Maß an IT-Sicherheit und Datenschutz zu gewährleisten, will die gematik nachbessern.

Zwei Mediziner blicken in ein Mikroskop
Forschende des Fraunhofer Insituts haben die elektronische Patientenakte in Augenschein genommen (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com National Cancer Institute

Die elektronische Patientenakte (ePA) ist sicher. Das verspricht mantraartig nicht nur Bundesgesundheitsminister Karl Lauterbach (SPD), sondern auch die gematik. Sie ist dafür zuständig, das digitale Großprojekt umzusetzen, indem sie unter anderem die erforderlichen Standards definiert. Derzeit befindet sich die „ePA für alle“ auf der Zielgeraden: Ab dem 15. Januar 2025 soll sie stufenweise bundesweit ausgerollt werden.

Dieses Sicherheitsversprechen hat das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) im Auftrag der gematik genauer unter die Lupe genommen. Bereits Ende August erstellte das Forschungsinstitut ein gut 90-seitiges Gutachten, das die gematik allerdings erst vor wenigen Tagen veröffentlicht hat.

Die Forschenden haben dabei nicht die fertige ePA, sondern nur das entsprechende gematik-Konzept in Augenschein genommen, also „die dokumentierte Architektur sowie die Anforderungen an die Umsetzung der einzelnen Komponenten“, wie sie betonen.

Unterm Strich ergebe das Konzept „das Bild einer angemessenen Systemarchitektur“. Allerdings identifizieren die Forschenden auch gravierende Schwachstellen, die vor dem Start der elektronischen Patientenakte noch geschlossen werden sollten.

Verschiedene Angriffsszenarien, aber keine Spionage?

Das Fraunhofer SIT hat die ePA entlang verschiedener Angriffsszenarien auf mögliche Probleme untersucht. Im Fokus standen Lücken, die es Angreifenden ermöglichen, die elektronische Patientenakte unbefugt einzusehen oder zu manipulieren.

Insgesamt haben die Forschenden dabei 21 Schwachstellen im gematik-Konzept identifiziert. Vier dieser Schwachstellen stufen sie mit dem Schweregrad „hoch“ und damit als besonders gefährlich ein. Sechs Schwachstellen weisen den Schweregrad „mittel“, die verbleibenden elf Schwachstellen den Grad „niedrig“ auf.

Als besonders relevant bewerten die Forschenden mögliche Angriffe von Hacker:innen sowie von Herstellern und Betreibern der Aktensysteme, mit denen die elektronischen Patientenakten verwaltet werden. Aber auch Leistungserbringer, also etwa Ärzt:innen oder Apotheker:innen, könnten versuchen, unberechtigt Zugriff auf die ePA zu erhalten, um sich so finanzielle Vorteile zu verschaffen.

Überraschenderweise erachten die Forschenden – „nach Absprache mit der gematik“ – Angriffe durch Regierungsorganisationen als „nicht relevant“. Die Sicherheitsexpertin Bianca Kastl, die auf netzpolitik.org eine Kolumne schreibt, hält dies auf Anfrage für unverantwortlich: „In Hinblick auf die aktuelle Bedrohungslage ist ein Ausschließen von Regierungsorganisationen als Bedrohung seitens der gematik mindestens äußerst verwunderlich bis hochgradig gefährlich.“

Zu lange Fristen und eine fehlende Rollentrennung

Als eine besonders gravierende Schwachstelle werten die Forschenden vom Fraunhofer SIT eine zu lange Reaktionsfrist. Laut Vorgaben der gematik sind Anbieter der Aktensysteme dazu verpflichtet, Schwachstellen in ihren IT-Systemen an Wochenenden und Feiertagen innerhalb von 72 Stunden zu bewerten und entsprechende Gegenmaßnahmen einzuleiten.

Diese ausgedehnte Frist könnten Angreifer:innen gezielt ausnutzen, mahnen die Forschenden, um sich Vorteile zu verschaffen. Sie plädieren dafür, die Bewertungszeiträume an Wochenenden zu verringern und einen Notdienst einzurichten. Als Grundlage könnte der Cyber Resilience Act der EU dienen. Er sieht bereits bei „unkritischen“ Produkten im Konsumentenbereich eine Frist von gerade einmal 24 Stunden vor.

Ein weiteres Sicherheitsrisiko ergebe sich aus einer unzureichenden Rollentrennung der Mitarbeitenden beim Umgang mit Backups. Denn die gematik schließe nicht explizit aus, dass eine Mitarbeitende, die Zugang zum Rechenzentrum hat, gleichzeitig auch dafür zuständig ist, die Masterkeys zu sichern, so die Forschenden.

Aus den Masterkeys lassen sich die privaten Schlüssel ableiten, mit denen die Daten der Versicherten verschlüsselt werden. Zerstört ein Mitarbeiter die Masterkeys, können die Versicherten schlimmstenfalls ihre Daten nicht mehr entschlüsseln. Die Forschenden empfehlen der gematik daher, die Rollen von Mitarbeitenden strikter zu trennen.

Darüber hinaus sollten die Anforderungen an Backup- und Wiederherstellungsprozesse präziser definiert sein. Es fehle „ein klarer Prozess, […] wann und von wem eine Wiederherstellung ausgelöst wird“, so die Forschenden. Auch mahnen sie eine Pflicht zur Offline-Datensicherung an. Dies würde es Angreifern erschweren, von außen an Backup-Daten zu gelangen und diese unwiederbringlich zu löschen.

Drohende Angriffe in der Lieferkette

Gefahren drohen laut Gutachten aber nicht nur im aktiven ePA-Betrieb, sondern bereits bei der Herstellung von Aktensystemen. Auch gegen diese sogenannten Lieferketten-Angriffe fehle es an Vorkehrungen, die die IT-Sicherheit zusätzlich erhöhen.

Es sollte bereits im Entwicklungsprozess vermieden werden, dass schädlicher Code oder Hintertüren in die Software eingeschleust werden. Die Forschenden empfehlen, den Zulieferern „Vorgaben zu sicheren Entwicklungsprozessen und zur Absicherung ihrer Entwicklungssysteme zu machen“, wie sie etwa auch in der Automobilbranche üblich sind. Dies sei geradezu unerlässlich, auch weil es in den vergangenen Jahren vermehrt zu  Ransomware-Angriffe auf Gesundheitseinrichtungen gekommen ist.

Mehr Pflichten für Primärsysteme gefordert

Auch aus diesem Grund fordern die Forschenden die gematik dazu auf, strengere Sicherheitsanforderungen an die Verwaltungssysteme zu stellen, die etwa in Praxen, Krankenhäusern und Apotheken eingesetzt werden. Einen entsprechenden Leitfaden gebe es zwar bereits, für die Entwicklung der sogenannten Primärsysteme sei er bislang aber nicht verpflichtend.

„Die umfangreichen Zugriffsberechtigungen der Leistungserbringer, die prinzipiell Zugriff auf Akten erhalten können, solange kein Widerspruch des Betroffenen vorliegt (Opt-out), stellen eine Herausforderung für das Gesamtsystem dar“, schreiben die Forschenden. Ein unzureichend gesichertes Primärsystem könne zu erheblichem Datenverlust führen, „auch wenn die betroffenen Personen nie bei dem entsprechenden Leistungserbringer tatsächlich behandelt wurden.“

Theorie und Praxis

Eine Sprecherin der gematik bestätigte auf Anfrage von netzpolitik.org, dass man die „Verbesserungspotenziale“, die das Gutachten benennt, bereits aufgegriffen habe. Auch werde man die ePA kontinuierlich daraufhin prüfen, wie sich die Sicherheit weiter erhöhen lässt. Allerdings lägen die vom Fraunhofer SIT identifizierten Schwachstellen, sagt die Sprecherin, „teils außerhalb des Regelungsbereichs der gematik“.

Für Bianca Kastl ist das Gutachten derweil kaum mehr als eine erste Bewertung, die sich zudem nur auf ein Konzept bezieht. „Besonders die erwähnten Risiken der fehlenden Maßnahmen für einen sicheren Entwicklungsprozess bei den Herstellern des Aktensystems verlagern viele mögliche Probleme auf die konkrete Umsetzung – die ja erst noch folgen wird“, so Kastl.

Eben deshalb sei es auch voreilig von der gematik, die ePA grundsätzlich als sicher zu bewerten. „Eine solche Behauptung ist auf Basis einer Bedrohungsanalyse sehr früh und gewagt“, sagt Kastl. „Letztlich ist die Sicherheitsanalyse nicht mehr als eine Prüfung des Bauplans der ePA – und keine tiefgreifende Prüfung der fertigen Aktensysteme, die mit echten Daten befüllt werden.“

In anderen Worten: Mit Blick auf die IT-Sicherheit steht der ePA die Bewährungsprobe erst noch bevor.

Update, 30.10.2024: Eine Aussage wurde fälschlicherweise einem Forschenden des Fraunhofer SIT zugeordnet. Wir haben den Satz entfernt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

  1. Eine elektronische Patientenakte hat durchaus ihre Vorteile. Aber bis all diese Schwachstellen und Datenschutzprobleme behoben sind werde ich das nicht benutzen.

  2. „90-seitiges Gutachten, das die gematik allerdings erst vor wenigen Tagen veröffentlicht hat“ Wo ist der Link dazu?
    Nur eine Patientenakte die vollständig unter meiner eigenen Kontrolle ist, ist sicher. Alles andere ist Augenwischerei. Heißt, daß alles mit meinem privaten Schlüssel gesichert ist, den niemand anderes als ich hat. Bei bedarf kann ich denn einzelne Dokumente mit einem spezifischen öffentlichen Schlüssel freigeben. Das wäre sicher.
    Es geht dem Gesundheitsökonomen Lauterbach doch darum die Krankengeschichte der Patienten zu monetarisieren.

    1. Ich glaub nicht, dass Lauterbach deine Daten Monetarisieren will. Eine komplette E2E Akte zu machen ist wahrscheinlich sehr schwer umzusetzen und wahrscheinlich auch sehr teuer. Daher ist die jetzige ePA eher ein Kompromiss.

  3. Interessant ist, dass viele Medien behaupten, dass die Ablehnung gegen die ePA sehr klein ist (ca. 1% der Versicherten haben einen Widerspruch eingelegt).
    Wenn man dieser (https://e-health-com.de/details-news/epa-wenig-bekannt-und-widerspruchsloesung-bevorzugt/ ) Umfrage glaubt, dann gibt es noch durchaus Wissenslücken und Vorbehalte.

    Übrigens sollte man noch einen weiteren Widerspruch bei seiner Krankenkasse einreichen: den gegen die Risikosuche der Krankenkasse anhand der Abrechnungsdaten, die unabhängig von der ePA stattfinden wird. Siehe: https://widerspruch-epa.de/widerspruch-gegen-risikosuche/

  4. Wahrscheinlich geht es darum….später in einigen Jahren massiv Kosten einzusparen und Patienten in ihrem Verhalten einzuschränken und zu erziehen. Natürlich verursachen einige Patienen durch ihr individuelles verhalten auf Kosten der Allgemeinheit….unötige Mehrfachuntersuchungen etc. Aber auf der anderen Seite wer möchte nicht selber mitentscheiden. Was ist mit falschen Diagnosen oder welche die man anzweifelt…..viele Fragen….wenig Klärung. Erstmal die Leute reinlocken und dann mit Salami Taktik alles ändern…..zu ungunsten des Versicherten.

  5. Es ist leider schon vorgekommen, dass eine vorausgegangene Diagnose falsch war und alle nachfolgende Behandlungen anderer Ärzte sich warum auch immer auf diese stützten. Seither sehe ich Diagnosen in Überweisungsscheine sehr kritisch.
    Auch Ärztliche Aussagen wie Beispiel „Angstpatient, Psychisch, Labil, beginnende Demenz, usw.“ können beim nächsten Arzt oder Krankenhaus, dem Patienten zum großen Nachteil entwickeln… Die Rücksichtslosigkeit und Egalität (Gleichgültigkeit) der Ärzte und des Personals, ist entsprechend unbeschreiblich.

    Ärzte halten zu Ärzte!
    Kein (Kaum ein) Arzt wird ein anderen Kollegen in die Pfanne hauen, wenn er Fehler findet!

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.