Der Spiegel deckte zusammen mit Hackern des Chaos Computer Clubs (CCC) auf, dass auch bei neu eingeführten Sicherheitsmaßnahmen der elektronischen Patientenakte Mängel bestehen. Der noch amtierende Gesundheitsminister Lauterbach bestätigte, dass nach dem bundesweiten Start der elektronischen Patientenakte (ePA) am Dienstag eine Sicherheitslücke entdeckt wurde.
„In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen“, schrieb Lauterbach am Mittwochabend auf X. „Ich bin der gematik dankbar, dass sie auf die ersten Hinweise sofort reagiert und auch diese Sicherheitslücke noch geschlossen hat.“ Dazu verlinkte er die Spiegel-Recherche.
Bereits im Dezember waren Sicherheitslücken bei der ePA festgestellt worden, sodass die ursprünglich für Februar geplante bundesweite Einführung verschoben wurde (Apollo News berichtete). Lauterbach hatte angekündigt, die elektronische Patientenakte erst dann einführen zu wollen, wenn „alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind“.
Doch wie die Hacker des CCC zeigten, ließen sich auch die neuen Sicherheitsmaßnahmen überwinden und ein Zugriff auf Patientendaten wäre möglich. Bevor der Artikel beim Spiegel am Mittwochabend veröffentlicht wurde, informierten die Hacker die zuständige Stelle Cert Bund beim Bundesamt für Sicherheit in der Informationstechnik über die Ergebnisse. Die Gematik, die für die ePA zuständig ist, führte daraufhin am Mittwochnachmittag eine „erste Sofortmaßnahme“ durch.
„Die Gematik hat die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen. Die potenziell betroffenen Versicherten werden identifiziert und geschützt“, heißt es auf der Webseite der Agentur, die zu 51 Prozent dem Gesundheitsministerium gehört.
Die CCC-Hacker Bianca Kastl und Martin Tschirsich überwanden die neu eingeführte Sicherheitsmaßnahme und demonstrierten dies dem Spiegel. Um auf Daten der ePA zugreifen zu können, braucht es die Gesundheitskartennummer des Patienten sowie dessen Krankenversichertennummer. Außerdem braucht man Zugang zu dem gesicherten Netzwerk und einen Prüfwert, den sogenannten hash check value (hcv).
Jedoch kann auf die Daten auch zugegriffen werden, wenn der hcv nicht vorliegt, wie die Hacker herausfanden. Der hcv wird aus Straße und Hausnummer des Versicherten sowie aus dem Datum des Versicherungsbeginns errechnet. Jede Gesundheitseinrichtung, die ein Zugriffsrecht auf die ePA hat, soll monatlich nur eine begrenzte Anzahl an Zugriffsbefugnissen erhalten.
So sollen Krankenhäuser beispielsweise 200.000 Zugriffsbefugnisse monatlich erhalten. Um den hcv zu umgehen, muss man sich nur eine elektronische Ersatzbescheinigung ausstellen lassen. Die elektronische Ersatzbescheinigung soll dazu dienen, dass bei Patienten abgerechnet werden kann, die ihre Gesundheitskarte vergessen haben. Mit den Daten aus der Ersatzbescheinigung lässt sich der hcv errechnen.
Die Hacker entwickelten innerhalb von zwei Stunden ein rudimentäres Programm, um elektronische Ersatzbescheinigungen von Versicherten der Barmer, der Techniker Krankenkasse und der hkk automatisiert abzufragen. „Man hat ein zusätzliches Vorhängeschloss an die Tür gemacht, doch der Schlüssel liegt weiterhin unter der Fußmatte“, sagt der CCC-Hacker Tschirsich. Die neue Sicherheitsmaßnahme sei „nachgewiesen wirkungslos“.
NAHOST AM LIMIT: ISRAEL-IRAN-KONFLIKT ESKALIERT! Raketen in Tel Aviv - Explosionen in Teheran STREAM
