Die Einführung der elektronischen Patientenakte (EPA) für alle Versicherten steht im Jahr 2025 bevor, doch ein jüngst veröffentlichtes Gutachten des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) hat Bedenken hinsichtlich der Sicherheit des Systems aufgeworfen. Das von der Gematik in Auftrag gegebene Gutachten hat die Sicherheitsarchitektur der EPA umfassend geprüft und kommt zu dem Ergebnis, dass zwar grundlegende Sicherheitsmaßnahmen vorhanden sind, jedoch erhebliche Schwachstellen bestehen, die behoben werden müssen, um die sensiblen Gesundheitsdaten der Bürger ausreichend zu schützen.
Zentraler Kritikpunkt des Gutachtens ist die Anfälligkeit gegenüber sogenannten Innentätern. Diese sind Nutzer, die durch ihre berufliche Tätigkeit, wie etwa in Arztpraxen, Apotheken oder Krankenhäusern, legitimen Zugang zur EPA haben. Laut den Experten des Fraunhofer SIT genügt die aktuelle Systemarchitektur nicht, um diese internen Bedrohungen ausreichend abzuwehren. Sie empfehlen dringend, zusätzliche technische und organisatorische Maßnahmen zu implementieren, um die Sicherheit der EPA gegen potenzielle Angriffe aus den eigenen Reihen zu erhöhen. Besonders die Verfügbarkeit des Systems müsse durch verstärkte Sicherheitsmechanismen gewährleistet werden, um möglichen Datenverlusten vorzubeugen.
Eine weitere erhebliche Schwachstelle betrifft die Primärsysteme der Leistungserbringer, also die IT-Infrastrukturen von Apotheken, Arztpraxen und anderen Gesundheitseinrichtungen, die auf die EPA zugreifen. Das Gutachten hebt hervor, dass selbst eine gut gesicherte EPA anfällig ist, wenn die IT-Systeme dieser Einrichtungen nicht den höchsten Sicherheitsstandards entsprechen. Ein Angriff auf ein solches System könnte den gesamten Sicherheitsverbund gefährden, selbst wenn die betroffenen Patienten nie in den angegriffenen Einrichtungen behandelt wurden. Die Experten fordern daher, klare Sicherheitsanforderungen an die Primärsysteme der Leistungserbringer zu stellen, um das Risiko von Datenverlusten zu minimieren.
Darüber hinaus kritisiert das Fraunhofer SIT das Fehlen verbindlicher Vorgaben für die regelmäßige Durchführung von Penetrationstests durch die Anbieter der EPA-Systeme. Solche Tests sind notwendig, um Schwachstellen in der IT-Sicherheit frühzeitig zu erkennen und zu beheben. Aktuell gibt es jedoch keine Verpflichtung, diese Tests durchzuführen, was laut den Experten eine gravierende Lücke im Sicherheitskonzept darstellt. Auch die Anforderungen an Sicherheitsprüfungen beim Umgang mit Widersprüchen und Zugriffsanfragen seien nicht klar definiert, was ebenfalls ein Risiko für die Integrität des Systems darstelle.
Die Gematik hat nach Veröffentlichung des Gutachtens bereits erste Schritte eingeleitet, um die in ihrem Zuständigkeitsbereich liegenden Empfehlungen umzusetzen. Diese Maßnahmen umfassen unter anderem die Verbesserung der technischen Sicherheitsvorkehrungen und die Einführung organisatorischer Richtlinien, um den Schutz vor Innentätern zu verstärken. Es bleibt jedoch abzuwarten, ob auch die IT-Systeme der Leistungserbringer, wie Apotheken und Arztpraxen, in naher Zukunft den notwendigen Sicherheitsstandards angepasst werden, um eine umfassende Sicherheit der EPA zu gewährleisten.
Kommentar:
Die Ergebnisse des Fraunhofer-Gutachtens zur Sicherheit der elektronischen Patientenakte werfen ein beunruhigendes Licht auf die IT-Sicherheitslage im deutschen Gesundheitswesen. Obwohl die EPA eine zukunftsweisende Innovation darstellt, die Patienten eine bessere Kontrolle über ihre Gesundheitsdaten ermöglichen soll, zeigen die aufgedeckten Schwachstellen deutlich, dass es noch erheblicher Anstrengungen bedarf, um den Schutz dieser sensiblen Daten sicherzustellen.
Besonders problematisch ist die unzureichende Absicherung gegenüber Innentätern – eine Gefahr, die oft unterschätzt wird. Die Tatsache, dass autorisierte Nutzer der EPA potenziell großen Schaden anrichten könnten, zeigt, wie wichtig es ist, nicht nur auf externe Cyberangriffe zu fokussieren, sondern auch interne Bedrohungen ernst zu nehmen. Es reicht nicht aus, lediglich die zentralen Server zu schützen; auch die IT-Infrastrukturen von Apotheken und Arztpraxen müssen den höchsten Sicherheitsanforderungen genügen, da sie das schwächste Glied in der Sicherheitskette darstellen könnten.
Die Gematik hat zwar bereits Schritte zur Verbesserung angekündigt, doch die Zeit drängt. Solange keine verbindlichen Vorgaben zur Durchführung von Penetrationstests und Sicherheitsprüfungen existieren, bleibt die EPA ein potenzielles Ziel für Angriffe. Zudem sind auch die Leistungserbringer in der Pflicht, ihre Systeme entsprechend zu modernisieren. Ein sicheres Gesundheitssystem ist nur so stark wie seine schwächsten Komponenten. Es bleibt zu hoffen, dass alle Beteiligten die notwendigen Schritte ergreifen, bevor es zu ernsthaften Zwischenfällen kommt.
Von Engin Günder, Fachjournalist