gematik schließt neue Sicherheitslücke der ePA
Die CCC-Sicherheitsforscher hatten zusammen mit Christoph Saatjohann, Professor für IT-Sicherheit an der FH Münster, herausgefunden, dass sich Adresse und Versicherungsbeginn über die sogenannte elektronische Ersatzbescheinigung (eEB) abfragen lassen. Die eEB wird in der Praxis ausgestellt, wenn der Patient seine Gesundheitskarte vergessen hat.
Das Einfallstor: die elektronische Ersatzbescheinigung
Voraussetzung für den Zugriff auf die ePA sind der Zugang zur Telematikinfrastruktur, die Krankenversichertennummer und die Gesundheitskartennummer des Patienten sowie ein „Hashwert“. Dieser „Hash Check Value“ (HCV) berechnet sich aus dem Versicherungsbeginn, der Straße und Hausnummer des Versicherten. Zugänglich sollen diese Daten nur über den Chip auf der Gesundheitskarte sein. Der CCC konnte mithilfe eines von Saatjohann entwickelten Programms jedoch zeigen, dass sie auch über den KIM-Dienst verschickt werden.
Für die technische Umsetzung der ePA ist die bundeseigene Digitalagentur gematik zuständig. Nach eigenen Angaben behob sie die Sicherheitslücke umgehend. „Die potenziell betroffenen Versicherten werden identifiziert und geschützt“, gab sie am Mittwoch bekannt. Sie habe bislang weder Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat, noch dass tatsächlich Versichertendaten abgeflossen sind. Grundsätzlich gelte weiterhin, dass die ePA für alle mit höchsten und modernsten Sicherheitsstandards gebaut werde.
Laut gematik-Geschäftsführer Dr. Florian Fuhrmann wurde aufgrund der Hinweise als erste Sofortmaßnahme das Verfahren, das bereits einige Kassen für Ersatzbescheinigungen alternativ zur Versichertenkarte (eGK) nutzen, vorerst ausgesetzt.
Die elektronische Patientenakte war am Dienstag für alle 73 Millionen gesetzlich Versicherten bundesweit an den Start gegangen.