Mitte Januar geht die elektronische Patientenakte für alle an den Start. Forschende bescheinigen dem Konzept allerdings gravierende Schwachstellen. Um ein möglichst hohes Maß an IT-Sicherheit und Datenschutz zu gewährleisten, will die gematik nachbessern.

Die elektronische Patientenakte (ePA) ist sicher. Das verspricht mantraartig nicht nur Bundesgesundheitsminister Karl Lauterbach (SPD), sondern auch die gematik. Sie ist dafür zuständig, das digitale Großprojekt umzusetzen, indem sie unter anderem die erforderlichen Standards definiert. Derzeit befindet sich die „ePA für alle“ auf der Zielgeraden: Ab dem 15. Januar 2025 soll sie stufenweise bundesweit ausgerollt werden.

Dieses Sicherheitsversprechen hat das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) im Auftrag der gematik genauer unter die Lupe genommen. Bereits Ende August erstellte das Forschungsinstitut ein gut 90-seitiges Gutachten, das die gematik allerdings erst vor wenigen Tagen veröffentlicht hat.

Die Forschenden haben dabei nicht die fertige ePA, sondern nur das entsprechende gematik-Konzept in Augenschein genommen, also „die dokumentierte Architektur sowie die Anforderungen an die Umsetzung der einzelnen Komponenten“, wie sie betonen.

Unterm Strich ergebe das Konzept „das Bild einer angemessenen Systemarchitektur“. Allerdings identifizieren die Forschenden auch gravierende Schwachstellen, die vor dem Start der elektronischen Patientenakte noch geschlossen werden sollten.

Verschiedene Angriffsszenarien, aber keine Spionage?

Das Fraunhofer SIT hat die ePA entlang verschiedener Angriffsszenarien auf mögliche Probleme untersucht. Im Fokus standen Lücken, die es Angreifenden ermöglichen, die elektronische Patientenakte unbefugt einzusehen oder zu manipulieren.

Insgesamt haben die Forschenden dabei 21 Schwachstellen im gematik-Konzept identifiziert. Vier dieser Schwachstellen stufen sie mit dem Schweregrad „hoch“ und damit als besonders gefährlich ein. Sechs Schwachstellen weisen den Schweregrad „mittel“, die verbleibenden elf Schwachstellen den Grad „niedrig“ auf.

Als besonders relevant bewerten die Forschenden mögliche Angriffe von Hacker:innen sowie von Herstellern und Betreibern der Aktensysteme, mit denen die elektronischen Patientenakten verwaltet werden. Aber auch Leistungserbringer, also etwa Ärzt:innen oder Apotheker:innen, könnten versuchen, unberechtigt Zugriff auf die ePA zu erhalten, um sich so finanzielle Vorteile zu verschaffen.

Überraschenderweise erachten die Forschenden – „nach Absprache mit der gematik“ – Angriffe durch Regierungsorganisationen als „nicht relevant“. Die Sicherheitsexpertin Bianca Kastl, die auf netzpolitik.org eine Kolumne schreibt, hält dies auf Anfrage für unverantwortlich: „In Hinblick auf die aktuelle Bedrohungslage ist ein Ausschließen von Regierungsorganisationen als Bedrohung seitens der gematik mindestens äußerst verwunderlich bis hochgradig gefährlich.“

Zu lange Fristen und eine fehlende Rollentrennung

Als eine besonders gravierende Schwachstelle werten die Forschenden vom Fraunhofer SIT eine zu lange Reaktionsfrist. Laut Vorgaben der gematik sind Anbieter der Aktensysteme dazu verpflichtet, Schwachstellen in ihren IT-Systemen an Wochenenden und Feiertagen innerhalb von 72 Stunden zu bewerten und entsprechende Gegenmaßnahmen einzuleiten.

Diese ausgedehnte Frist könnten Angreifer:innen gezielt ausnutzen, mahnen die Forschenden, um sich Vorteile zu verschaffen. Sie plädieren dafür, die Bewertungszeiträume an Wochenenden zu verringern und einen Notdienst einzurichten. Als Grundlage könnte der Cyber Resilience Act der EU dienen. Er sieht bereits bei „unkritischen“ Produkten im Konsumentenbereich eine Frist von gerade einmal 24 Stunden vor.

Ein weiteres Sicherheitsrisiko ergebe sich aus einer unzureichenden Rollentrennung der Mitarbeitenden beim Umgang mit Backups. Denn die gematik schließe nicht explizit aus, dass eine Mitarbeitende, die Zugang zum Rechenzentrum hat, gleichzeitig auch dafür zuständig ist, die Masterkeys zu sichern, so die Forschenden.

Aus den Masterkeys lassen sich die privaten Schlüssel ableiten, mit denen die Daten der Versicherten verschlüsselt werden. Zerstört ein Mitarbeiter die Masterkeys, können die Versicherten schlimmstenfalls ihre Daten nicht mehr entschlüsseln. Die Forschenden empfehlen der gematik daher, die Rollen von Mitarbeitenden strikter zu trennen.

Darüber hinaus sollten die Anforderungen an Backup- und Wiederherstellungsprozesse präziser definiert sein. Es fehle „ein klarer Prozess, wann und von wem eine Wiederherstellung ausgelöst wird“, so die Forschenden. Auch mahnen sie eine Pflicht zur Offline-Datensicherung an. Dies würde es Angreifern erschweren, von außen an Backup-Daten zu gelangen und diese unwiederbringlich zu löschen.

Drohende Angriffe in der Lieferkette

Gefahren drohen laut Gutachten aber nicht nur im aktiven ePA-Betrieb, sondern bereits bei der Herstellung von Aktensystemen. Auch gegen diese sogenannten Lieferketten-Angriffe fehle es an Vorkehrungen, die die IT-Sicherheit zusätzlich erhöhen.

Es sollte bereits im Entwicklungsprozess vermieden werden, dass schädlicher Code oder Hintertüren in die Software eingeschleust werden. Die Forschenden empfehlen, den Zulieferern „Vorgaben zu sicheren Entwicklungsprozessen und zur Absicherung ihrer Entwicklungssysteme zu machen“, wie sie etwa auch in der Automobilbranche üblich sind. Dies sei geradezu unerlässlich, auch weil es in den vergangenen Jahren vermehrt zu  Ransomware-Angriffe auf Gesundheitseinrichtungen gekommen ist.

Mehr Pflichten für Primärsysteme gefordert

Auch aus diesem Grund fordern die Forschenden die gematik dazu auf, strengere Sicherheitsanforderungen an die Verwaltungssysteme zu stellen, die etwa in Praxen, Krankenhäusern und Apotheken eingesetzt werden. Einen entsprechenden Leitfaden gebe es zwar bereits, für die Entwicklung der sogenannten Primärsysteme sei er bislang aber nicht verpflichtend.

„Die umfangreichen Zugriffsberechtigungen der Leistungserbringer, die prinzipiell Zugriff auf Akten erhalten können, solange kein Widerspruch des Betroffenen vorliegt (Opt-out), stellen eine Herausforderung für das Gesamtsystem dar“, schreiben die Forschenden. Ein unzureichend gesichertes Primärsystem könne zu erheblichem Datenverlust führen, „auch wenn die betroffenen Personen nie bei dem entsprechenden Leistungserbringer tatsächlich behandelt wurden.“

Theorie und Praxis

Eine Sprecherin der gematik bestätigte auf Anfrage von netzpolitik.org, dass man die „Verbesserungspotenziale“, die das Gutachten benennt, bereits aufgegriffen habe. Auch werde man die ePA kontinuierlich daraufhin prüfen, wie sich die Sicherheit weiter erhöhen lässt. Allerdings lägen die vom Fraunhofer SIT identifizierten Schwachstellen, sagt die Sprecherin, „teils außerhalb des Regelungsbereichs der gematik“.

Für Bianca Kastl ist das Gutachten derweil kaum mehr als eine erste Bewertung, die sich zudem nur auf ein Konzept bezieht. „Besonders die erwähnten Risiken der fehlenden Maßnahmen für einen sicheren Entwicklungsprozess bei den Herstellern des Aktensystems verlagern viele mögliche Probleme auf die konkrete Umsetzung – die ja erst noch folgen wird“, so Kastl.

Eben deshalb sei es auch voreilig von der gematik, die ePA grundsätzlich als sicher zu bewerten. „Eine solche Behauptung ist auf Basis einer Bedrohungsanalyse sehr früh und gewagt“, sagt Kastl. „Letztlich ist die Sicherheitsanalyse nicht mehr als eine Prüfung des Bauplans der ePA – und keine tiefgreifende Prüfung der fertigen Aktensysteme, die mit echten Daten befüllt werden.“

In anderen Worten: Mit Blick auf die IT-Sicherheit steht der ePA die Bewährungsprobe erst noch bevor.

Update, 30.10.2024: Eine Aussage wurde fälschlicherweise einem Forschenden des Fraunhofer SIT zugeordnet. Wir haben den Satz entfernt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.