Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 

Aktuell

Praxisnachrichten

PraxisNachrichten: Hinterher ist man immer schlauer

Schwachstellen bei der ePA: Hinweise zur Datensicherheit

30.01.2025 - Der Chaos Computer Club hat Schwachstellen bei der elektronischen Patientenakte aufgedeckt. Erst wenn diese behoben sind, soll die Akte laut Bundesgesundheitsministerium bundesweit ausgerollt werden, vorausgesetzt die Tests zur Funktionalität verlaufen erfolgreich. Wo liegen die Schwachstellen und was können Praxen zur Sicherheit beitragen? Darum geht es in diesem Teil der ePA-Serie.

Der Chaos Computer Club (CCC) hat Ende 2024 öffentlich auf ein technisches Sicherheitsproblem der ePA-Server aufmerksam gemacht. Es könnte Angreifern theoretisch ermöglichen, auf sämtliche elektronische Patientenakten (ePA) zuzugreifen, ohne dass jeweils die elektronische Gesundheitskarte (eGK) gesteckt wird. Die IT-Experten des CCC hatten sich für den Test illegal Zugang zur Telematikinfrastruktur (TI) verschafft, über die die ePA läuft.

Die gematik ist nun dabei, in enger Abstimmung mit dem Bundesministerium für Gesundheit und dem Bundesamt für Sicherheit in der Informationstechnik, die Schwachstellen in der Sicherheitsarchitektur der ePA zu beheben. Erst wenn das abgeschlossen ist, soll der bundesweite Rollout erfolgen. Das hat Bundesgesundheitsminister Karl Lauterbach zugesichert.

TI vor illegalen Zugriffen schützen

Ärzte und Psychotherapeuten sollten vor dem Hintergrund der aufgezeigten Schwachstellen generell wachsam sein, was die Komponenten betrifft, die den Zugang in die TI ermöglichen. Dabei geht es um den Konnektor, das Kartenterminal und den Praxisausweis in Form der SMC-B-Chipkarte. Besonders kritisch ist deren Weitergabe oder der Verkauf, zum Beispiel bei einer Praxisabgabe.

Insbesondere die SMC-B-Karte, die im Kartenterminal steckt und aufgrund ihrer geringen Größe schnell übersehen werden kann, darf nicht wie ein gewöhnlicher Teil der Praxisausstattung behandelt werden. Sie ist der Schlüssel zur TI: Zusammen mit der eGK des Patienten gewährt sie Zugang zur TI und damit zu den dort liegenden medizinischen Daten.

Die SMC-B-Karte ist daher ebenso sensibel zu handhaben wie der elektronische Heilberufsausweis. Die zugehörige PIN darf niemals leichtfertig an Dritte herausgegeben werden. Mit ihr melden sich Praxen täglich in der TI an. Ansonsten wird die PIN beispielsweise bei der Erstinstallation des Konnektors benötigt. Bei dem Schritt unterstützen häufig IT-Dienstleister.

Externe IT-Dienstleister mit falschen Identitäten

Um unbefugte Zugriffe auf die Praxis-IT und damit auf die besonders sensiblen Behandlungs- und Abrechnungsdaten zu verhindern, sind weitere Schutzmaßnamen erforderlich. So ist besondere Sensibilität gegenüber externen IT-Dienstleistern geboten. Denn zunehmend geben sich Kriminelle mit falschen Identitäten und Dokumenten als IT-Fachkräfte aus, um an Daten heranzukommen. Deshalb sollten Ärzte, Psychotherapeuten und deren Mitarbeitende sorgfältig verifizieren, ob beispielsweise ein Anrufer tatsächlich die Person ist, die sie vorgibt zu sein. So können sie die ihnen bekannte Support-Nummer ihres Dienstleisters wählen und dort nachfragen.

Phishing-Kampagnen und Trojaner

Kriminelle arbeiten häufig remote. Sie versuchen mit unterschiedlichen Angriffsmethoden, aus der Ferne Zugriff auf die Praxis-IT zu bekommen. Eine häufige Methode sind Phishing-Kampagnen, bei der die Opfer meist per E-Mail aufgefordert werden, vertrauenswürdige Daten preiszugeben. Oder sie werden dazu verleitet, Trojaner herunterzuladen und zu öffnen, die dann eine Schadsoftware installieren.

Besondere Vorsicht gilt deshalb bei Downloads und E-Mail-Anhängen von unbekannten Absendern. Letztere sollten im Zweifel gelöscht werden. Außerdem sollten die IT-Systeme regelmäßig auf Anomalien sowie auf Aktualität überprüft werden. Unverzichtbare Schutzmaßnahmen sind ein aktueller Virenscanner und eine Firewall.

Unterstützung durch zertifizierte Dienstleister

Für Ärzte und Psychotherapeuten kann es ratsam sein, sich externe Unterstützung zu holen, wenn es um Datensicherheit geht. Welche Maßnahmen sie zum Schutz ihrer Praxis-IT ergreifen müssen, beschreibt die IT-Sicherheitsrichtlinie der KBV. Außerdem bietet die KBV eine Liste mit IT-Dienstleistern an, die speziell für die Umsetzung der Vorgaben aus der IT-Sicherheitsrichtlinie zertifiziert wurden und bei denen sich Praxen Hilfe holen können.

Teil 10 der Serie: Befunde in der ePA

Eine Erkältung, ein Magengeschwür oder ein Hörsturz – welche Befunde gehören eigentlich in die ePA und welche nicht? Darum geht es im zehnten Teil der ePA-Serie am 13. Februar.

Konnektoren und Kartenterminals sachgerecht entsorgen

Der Konnektor muss ausgetauscht werden, weil seine Gültigkeitsdauer abläuft. Oder ein Kartenterminal ist kaputt. Was passiert mit den Geräten? Die gematik hat Empfehlungen veröffentlicht, wie ein Konnektor oder ein Kartenterminal sachgemäß zu entsorgen oder auszutauschen ist.

So muss der Konnektor abgemeldet und auf Werkseinstellungen zurückgestellt werden, wenn dieser dauerhaft außer Betrieb genommen wird. Bei der Außerbetriebnahme eines Kartenterminals muss die SMC-B-Karte entnommen werden. Ist die Karte noch gültig, kann sie in einem anderen Kartenterminal weiterverwendet werden. Andernfalls ist es notwendig, die Karte zu zerstören. Sowohl Konnektor als auch Kartenterminals dürfen laut gematik nicht im Hausmüll entsorgt werden.

Mehr Informationen auf der Internetseite der gematik

Hier können sich Praxen zur IT-Sicherheit informieren

Serie zur elektronischen Patientenakte

Mehr zum Thema

zu den PraxisNachrichten