Studie zeigt Probleme der elektronischen Patientenakte

Ab dem 15.01.2025 soll die elektronische Patientenakte (ePA) stufenweise bundesweit eingeführt werden. Dieses Großprojekt soll eine zentrale Rolle in der Digitalisierung des deutschen Gesundheitswesens einnehmen. Während Bundesgesundheitsminister Karl Lauterbach und die für die Umsetzung verantwortliche gematik die Sicherheit der ePA betonen, weist ein kürzlich veröffentlichtes Gutachten des Fraunhofer Instituts für Sichere Informationstechnologie (SIT) auf gravierende Schwachstellen hin.

Elektronische Patientenakte ab 2025

Die elektronische Patientenakte ist bereits seit 2021 für gesetzlich Versicherte verfügbar und kann bei der jeweiligen Krankenkasse beantragt werden. Die ePA ermöglicht die digitale Speicherung und den Austausch von Gesundheitsdaten wie Arztberichten, Diagnosen und verschriebenen Rezepten. Ende letzten Jahres hat der Deutsche Bundestag nun zwei Digitalgesetze für die Gesundheitsversorgung verabschiedet, die im Februar mit der Absegnung durch den Bundesrat ihre letzte Hürde überwunden haben. Eine der wesentlichen Veränderungen des neuen Digital-Gesetzes (DigiG) ist neben Neuerungen zum e-Rezept die automatische Einrichtung der ePA für alle gesetzlich Versicherten ab 2025, soweit kein Widerspruch des jeweiligen Patienten vorliegt.

Gutachten des Fraunhofer SIT

Das Gesetz schreibt vor, dass die ePA, genauso wie auf politischer Ebene versprochen, sicher sein soll. Deshalb hat die gematik das Fraunhofer SIT beauftragt ihr Sicherheitskonzept auf potenzielle Schwachstellen zu untersuchen. Die Forschung basierte dabei nicht auf einer fertigen Version, sondern auf einem Konzept, das die Systemarchitektur und Anforderungen an die einzelnen Komponenten dokumentiert. Das bereits im August erstellte Gutachten hat die gematik nun am 10.10.2024 veröffentlicht. Insgesamt arbeiteten die Forschenden in ihrem 93-seitigem Gutachten 21 Schwachstellen heraus, darunter vier schwerwiegende Sicherheitslücken, die vor Implementierung noch behoben werden müssen. Nichtsdestotrotz ergebe sich jedoch „das Bild einer angemessenen Systemarchitektur“.

Risiken durch Hacker und sonstige unbefugte Dritte

Zu den identifizierten Schwachstellen zählen potenzielle Angriffsmöglichkeiten durch Hacker, aber auch durch Akteure innerhalb des Systems, wie etwa Hersteller und Betreiber der Aktensysteme sowie medizinisches Personal oder Apotheker. Die ePA könnte demnach unbefugte Zugriffe und Manipulationen durch verschiedene Innen- oder Außentäter begünstigen. Eine Bedrohung durch Regierungsorganisationen zu Zwecken der Spionage oder aufgrund eines Cyberkriegs sieht das Fraunhofer SIT nach Absprache mit der gematik nicht.

Zu lange Reaktionszeiten 

Eine der vier als „hoch“ bewerteten Schwachstellen sei die lange Reaktionsfrist für Anbieter der Aktensysteme, die im Falle einer Sicherheitslücke an Wochenenden und Feiertagen bis zu 72 Stunden haben, um Maßnahmen einzuleiten. Diese Frist könnte von Angreifern ausgenutzt werden, weshalb das Fraunhofer SIT eine Verkürzung der Reaktionsfristen und die Einführung eines Notdienstes fordert. Hierbei könne man sich am neuen Cyber Resilience Act (CRA) orientieren, der eine Meldefrist von 24 Stunden bestimmt. Für kritische Systeme solle zudem wie nach dem CRA eine verkürzte Frist gelten.

Rollentrennung für Mitarbeiter erforderlich

Als nächste schwerwiegende Schwachstelle stellt das Fraunhofer SIT fest, dass es eine Sicherheitslücke hinsichtlich der Rollentrennung bei Mitarbeitern bei Betreiber von Aktiensystemen gibt. Es sei sicherzustellen, dass Personal mit Zugriff auf Rechenzentren nicht auch für die Sicherung des Masterkeys zuständig ist. Anderenfalls könne ein Innentäter einen vollständigen Datenverlust herbeiführen.

Verfügbarkeitsbeeinflussung durch Innentäter

Zudem kritisiert das Fraunhofer SIT, dass nach dem aktuellen Konzept Innentäter die Verfügbarkeit der ePA beeinträchtigen können. Deshalb sollten Betreiber von Aktensystemen sicherstellen, dass ein einzelner Mitarbeiter, nicht sämtliche Befugnisse besitzt, „um alle Komponenten, die für den reibungslosen Betrieb benötigt werden, herunterzufahren“.

Gefahr durch Lieferketten-Angriffe

Eine weitere schwerwiegende Schwachstelle betreffe mögliche Angriffsszenarien entlang der Lieferkette. Schon bei der Herstellung und Entwicklung der Aktensysteme bestünde das Risiko, dass Schadcode oder Hintertüren in die Software eingearbeitet werden könnten. Um solche Risiken zu minimieren, fordert das Fraunhofer SIT bereits den Zulieferern striktere Vorgaben für ein sicheres Entwicklungsverfahren zu machen.

Sicherheitsanforderungen an Primärsysteme

Neben den Aktensystemen selbst bestünden auch Sicherheitsrisiken bei den sogenannten Primärsystemen, die das Fraunhofer SIT als „mittel“ einstuft. Hierbei handelt es sich um Verwaltungssystemen, die direkt in den Gesundheitseinrichtungen genutzt werden. Ein solches Systeme könne über umfangreiche Zugriffsrechte verfügen, die ein Angriffspotential darstellen können. Ein nicht hinreichend geschütztes Primärsystem kann zu einem schweren Sicherheitsvorfall mit großen Datenverlusten führen. Deshalb solle die gematik „verpflichtende Anforderungen für Primärsysteme einführen“. Hierfür gebe es zwar bereits einen Leitfaden, dieser sei aber bislang nicht verpflichtend.

Gematik ergreift Maßnahmen

Die Gematik erklärt in ihrer Pressemitteilung, dass sie bereits erste Maßnahmen ergriffen hat, um die vom Fraunhofer SIT vorgeschlagenen Maßnahmen umzusetzen. Dabei fokussiere sie sich auf die in ihren Zuständigkeitsbereich fallende Vorschläge. Teilweise können laut eines Begleitschreibens der gematik die Nachbesserung durch die Aufnahme neuer Spezifikationsinhalte behoben werden, teilweise ergebe sich eine Lösung aber schon aufgrund anderer Vorgaben. Insgesamt arbeite man daran die „ePA weiter zu optimieren“.

Fazit

Die Einführung der ePA ist ein wichtiger Schritt in der Digitalisierung des deutschen Gesundheitssystems. Dennoch zeigen die Ergebnisse des Fraunhofer SIT, dass noch Handlungsbedarf besteht, bis die IT-Sicherheit und der Datenschutz beim Einsatz der ePA vollständig gewährleistet werden kann. Die identifizierten Schwachstellen und Angriffsszenarien werfen Fragen auf, ob die ePA zum geplanten Starttermin den Anforderungen an Datensicherheit und Datenschutz gerecht wird. Letztlich steht die ePA aber vor allem auch noch vor ihrer eigentlichen Bewährungsprobe in der Praxis. Eine tatsächliche Sicherheitsbewertung kann nämlich erst erfolgen, wenn die ePA in einer einsatzfähigen Version vorlieget und sich in Medizinalltag bewähren muss.