FEHLER!

BSI gibt Entwarnung: Sicherheitsvorfall bei elektronischer Patientenakte als weniger kritisch eingestuft

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) räumt dem aktuellen Sicherheitsvorfall in der elektronischen Patientenakte (ePA), entdeckt vom Chaos Computer Club (CCC), eine Art Entwarnung ein. Anders als bei dem im Dezember beim CCC-Kongress publik gewordenen Angriffsszenario, das einen massiven Zugriff auf ePA-Daten darstellte, geht es hier um eine gezieltere Form der Attacke. Diese nutzt die digitale Abrufbarkeit der elektronischen Ersatzbescheinigung (eEB) durch Praxen aus, um letztendlich Daten zu erschließen, die für den Zugriff auf einzelne Patientenakten relevant wären. Die Sicherheitsforscher des CCC hatten die Lücke wie gewohnt dem CERT-Bund beim BSI vorab gemeldet, was zur Abschaltung des eEB-Moduls durch den Betreiber führte. Das BSI bewertet diese Art von Angriff als weniger kritisch, da sie spezifische Vorkenntnisse und gezielte Aktionen erfordert. Es betont jedoch die Wichtigkeit kontinuierlicher Sicherheitsüberwachung und -verbesserung. Die aktuelle Situation unterstreicht die Notwendigkeit eines ständigen Abgleichs zwischen den technischen Entwicklungen der ePA und den sich wandelnden Bedrohungslandschaften. Obwohl das BSI aufgrund gesetzlicher Regelungen im Rahmen der Erstellung technischer Richtlinien ein Einvernehmen mit der Gematik (Betreiberin der ePA-Infrastruktur) eingeht, existieren keine direkten Prüf- oder Genehmigungspflichten. Politische Zielsetzungen, die schnelle Einführung der ePA trotz möglicher Sicherheitsbedenken nach 20 Jahren Diskussion, führten dazu, dass dem BSI keine regulatorischen Mittel zur Verfügung gestellt wurden, um beispielsweise den Betrieb zu untersagen oder Anforderungen eigenständig verschärfen zu können. Im Zuge eines im Dezember öffentlich gewordenen strukturellen Sicherheitsdefizits in der ePA beauftragte das Bundesgesundheitsministerium das BSI mit einer Sicherheitsbewertung. Diese wird kontinuierlich aktualisiert und dient als Grundlage für die Sicherstellung eines sicheren Betriebs der ePA bei vollständiger Implementierung aller vorgeschlagenen Schutzmaßnahmen. Allerdings sind diese Bewertungen für die Gematik nicht verpflichtend umzusetzen. Die Verantwortung für die Implementierung der Sicherheitsmaßnahmen liegt weiterhin beim Betreiber der Infrastruktur, der Gematik. Zusammenfassend lässt sich festhalten, dass der aktuelle Vorfall zwar ernst genommen wird, aber im Kontext der Gesamtsicherheit der ePA als weniger kritisch eingestuft wird. Das BSI betont die fortlaufende Zusammenarbeit mit der Gematik und die kontinuierliche Anpassung an neue Bedrohungen, um einen sicheren Betrieb der ePA zu gewährleisten. Die Implementierung der Sicherheitsmaßnahmen bleibt jedoch primär in der Verantwortung der Gematik.

Schlagwörter: BSI + ePA + CCC

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 1. Mai 2025