{"id":12240,"date":"2025-05-01T15:38:00","date_gmt":"2025-05-01T15:38:00","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/05\/01\/bsi-gibt-entwarnung-sicherheitsvorfall-bei-elektronischer-patientenakte-als-weniger-kritisch-eingestuft\/"},"modified":"2025-05-01T15:38:00","modified_gmt":"2025-05-01T15:38:00","slug":"bsi-gibt-entwarnung-sicherheitsvorfall-bei-elektronischer-patientenakte-als-weniger-kritisch-eingestuft","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=12240","title":{"rendered":"BSI gibt Entwarnung: Sicherheitsvorfall bei elektronischer Patientenakte als weniger kritisch eingestuft"},"content":{"rendered":"<p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) r\u00e4umt dem aktuellen Sicherheitsvorfall in der elektronischen Patientenakte (ePA), entdeckt vom Chaos Computer Club (CCC), eine Art Entwarnung ein. Anders als bei dem im Dezember beim CCC-Kongress publik gewordenen Angriffsszenario, das einen massiven Zugriff auf ePA-Daten darstellte, geht es hier um eine gezieltere Form der Attacke. Diese nutzt die digitale Abrufbarkeit der elektronischen Ersatzbescheinigung (eEB) durch Praxen aus, um letztendlich Daten zu erschlie\u00dfen, die f\u00fcr den Zugriff auf einzelne Patientenakten relevant w\u00e4ren. Die Sicherheitsforscher des CCC hatten die L\u00fccke wie gewohnt dem CERT-Bund beim BSI vorab gemeldet, was zur Abschaltung des eEB-Moduls durch den Betreiber f\u00fchrte. Das BSI bewertet diese Art von Angriff als weniger kritisch, da sie spezifische Vorkenntnisse und gezielte Aktionen erfordert. Es betont jedoch die Wichtigkeit kontinuierlicher Sicherheits\u00fcberwachung und -verbesserung. Die aktuelle Situation unterstreicht die Notwendigkeit eines st\u00e4ndigen Abgleichs zwischen den technischen Entwicklungen der ePA und den sich wandelnden Bedrohungslandschaften. Obwohl das BSI aufgrund gesetzlicher Regelungen im Rahmen der Erstellung technischer Richtlinien ein Einvernehmen mit der Gematik (Betreiberin der ePA-Infrastruktur) eingeht, existieren keine direkten Pr\u00fcf- oder Genehmigungspflichten. Politische Zielsetzungen, die schnelle Einf\u00fchrung der ePA trotz m\u00f6glicher Sicherheitsbedenken nach 20 Jahren Diskussion, f\u00fchrten dazu, dass dem BSI keine regulatorischen Mittel zur Verf\u00fcgung gestellt wurden, um beispielsweise den Betrieb zu untersagen oder Anforderungen eigenst\u00e4ndig versch\u00e4rfen zu k\u00f6nnen. Im Zuge eines im Dezember \u00f6ffentlich gewordenen strukturellen Sicherheitsdefizits in der ePA beauftragte das Bundesgesundheitsministerium das BSI mit einer Sicherheitsbewertung. Diese wird kontinuierlich aktualisiert und dient als Grundlage f\u00fcr die Sicherstellung eines sicheren Betriebs der ePA bei vollst\u00e4ndiger Implementierung aller vorgeschlagenen Schutzma\u00dfnahmen. Allerdings sind diese Bewertungen f\u00fcr die Gematik nicht verpflichtend umzusetzen. Die Verantwortung f\u00fcr die Implementierung der Sicherheitsma\u00dfnahmen liegt weiterhin beim Betreiber der Infrastruktur, der Gematik. Zusammenfassend l\u00e4sst sich festhalten, dass der aktuelle Vorfall zwar ernst genommen wird, aber im Kontext der Gesamtsicherheit der ePA als weniger kritisch eingestuft wird. Das BSI betont die fortlaufende Zusammenarbeit mit der Gematik und die kontinuierliche Anpassung an neue Bedrohungen, um einen sicheren Betrieb der ePA zu gew\u00e4hrleisten. Die Implementierung der Sicherheitsma\u00dfnahmen bleibt jedoch prim\u00e4r in der Verantwortung der Gematik.<\/p>\n<p>Schlagw\u00f6rter: BSI + ePA + CCC<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) r\u00e4umt dem aktuellen Sicherheitsvorfall in der elektronischen Patientenakte (ePA), entdeckt vom Chaos Computer Club (CCC), eine Art Entwarnung ein. Anders als bei dem im Dezember beim CCC-Kongress publik gewordenen Angriffsszenario, das einen massiven Zugriff auf ePA-Daten darstellte, geht es hier um eine&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":12239,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-12240","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12240","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12240"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12240\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/12239"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12240"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12240"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12240"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}