Zum 29. April 2025 ist die elektronische Patientenakte ja flächendeckend für gesetzlich Krankenversicherte gestartet. Sicher und funktional, wie der Gesundheitsminister versicherte. Am 30. April 2025 musste die gematik vermelden, dass man eine durch den Chaos Computer Club (CCC) gemeldete neue Sicherheitslücke entschärft habe.
Kleiner Rückblick auf ePA 3.0
Im Beitrag Status zum Start der elektronischen Patientenakte (ePA) am 29.4.2025 hatte ich zum 28. April 2025 ja einen Abriss des Status zur elektronischen Patientenakte (ePA 3.0) in Deutschland gegeben. Zu diesem Stichtag begann der flächendeckende Hochlauf der ePA 3.0 auf freiwilliger Basis (siehe und hier). Theoretisch kann jeder mit seiner Gesundheitskarte (eGK) beim Arzt auftauchen und seine elektronische Patientenakte führen lassen.
Dieser Start war eigentlich bereits zum 15. Februar 2025 geplant, musste aber wegen zahlreicher Probleme verschoben werden. Auch zum 29. April gibt es keine Verpflichtung, dass der Arzt die ePA 3.0 unterstützt – und viele Praxen werden das auch nicht können, weil die Praxisverwaltungssysteme das noch nicht beherrschen. Zudem sind viele versprochene Funktionen noch nicht vorhanden und sollen später implementiert werden oder sind gänzlich entfallen. Viele Details lassen sich in den am Artikelende verlinkten Beiträgen nachlesen.
Ist die ePA 3.0 sicher?
Fachleute zeigten sich vor allem skeptisch in Bezug auf die Sicherheit der ePA-Daten. Kurz vor dem Pilotstart zum Januar 2025 hatten Sicherheitsforscher öffentlich auf eine Sicherheitslücke hingewiesen, so dass auch Unbefugte auf ePA-Daten zugreifen konnten. Das wurde durch einen Taschenspielertrick – die Pilot-Praxen wurden handverlesen freigeschaltet – korrigiert. So griff der Trick, dass sich Unbefugte einen Heilberufsausweis sowie die Infrastruktur der ePA beschaffen und zum Zugriff auf die elektronische Patientenakte missbrauchen können.
Die Sache mit der elektronischen Ersatzbescheinigung
Falls ein Patient seine Krankenkassenkarte, (eGK) vergessen oder verloren hat, wird eine sogenannte elektronische Ersatzbescheinigung benötigt. Die Kassenärztliche Bundesvereinigung (KBV) und der GKV-Spitzenverband haben sich im Bundesmantelvertrag-Ärzte (BMV-Ä) darauf geeinigt, dass Arztpraxen spätestens zum 1. Juli 2025 die Nutzung einer sogenannten elektronischen Ersatzbescheinigung ermöglichen müssen. Die Versicherten sollen diese Ersatzbescheinigung per App abrufen können.
- Die Arztpraxis muss dem Versicherten ihre KIM-Adresse z.B. über einen QR-Code zur Verfügung stellen.
- Der Versicherte muss diesen QR-Cdoe einscannen und über eine Krankenkassen-App an die Kasse übermitteln.
- Von der Krankenkasse wird die elektronische Ersatzbescheinigung in Form eines (FHIR-)Datensatzes, der die Daten enthält, die auf der eGK gespeichert sind (z.B. Name und Geburtsdatum), an die Arztpraxis geschickt.
Ich hatte im Beitrag Elektronischen Patientenakte (ePA) kommt erst im April; und weitere News über diesen Schlenker berichtet. Und mir lag die Information vor, dass sich über die Kartennummer durch „Raten“ eine Berechtigung zum Zugriff auf jede ePA generieren ließe, ohne jemand eine elektronische Gesundheitskarte (ePA) in Händen zu haben. Ich bin diesem Detail aber nicht nachgegangen, da ich die Information nicht für genügend valide gehalten habe. Sieht so aus, als ob der CCC das aufgegriffen hat.
Angriff über elektronische Ersatzbescheinigung
Zum 30. April 2025 (also gestern, einen Tag nach dem Flächenstart der ePA 3.0) musste die gematik, die die Infrastruktur betreibt, die Meldung ePA-Sicherheitslücke geschlossen veröffentlichen.
In der Meldung heißt es, dass der gematik Informationen vor liegen, dass der Chaos Computer Club ein Szenario für unberechtigte Zugriffe auf die elektronische Patientenakte beschrieben hat. Über elektronische Ersatzbescheinigungen für Versichertenkarten könne man an Informationen gelangen, um auf einzelne elektronische Patientenakten (ePA) zuzugreifen.
Die gematik habe die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen. Die potenziell betroffenen Versicherten werden identifiziert und geschützt. Klingt alles harmlos, und der Noch-Gesundheitsminister Prof. Karl Lauterbach wird mit „In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen. Ich bin der gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen hat. Die elektronische Patientenakte muss sehr gut geschützt bleiben. Massenangriffe auf Patientendaten müssen ausgeschlossen bleiben.“ zitiert.
gematik wiegelt ab
Der gematik-Geschäftsführer Dr. Florian Fuhrmann erklärt dazu: „Der bundesweite Rollout der ePA wird von unseren Sicherheitsteams gemeinsam mit dem BSI eng begleitet. Man gehe Hinweisen externer Sicherheitsforscher wir in standardisierten Prozessen umgehend nach und leite bei entsprechender Bewertung passende Maßnahmen ein.
Aufgrund der Hinweise habe die gematik präventiv als erste Sofortmaßnahme das Verfahren vorerst ausgesetzt, das bereits einige Kassen für Ersatzbescheinigungen alternativ zur Versichertenkarte (eGK) nutzen. Man prüfe und monitore laufend und mit höchster Priorität. Man habe bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat.
Einige Details
Laut CCC ist es möglich gewesen, über Elektronische Ersatzbescheinigungen von Versichertenkarten den Behandlungskontext einer versicherten Person zu fälschen. In Kombination mit der Versichertennummer, einem Codierungsschlüssel sowohl einem illegal beschafften Praxisausweis (SMC-B) und einem Anschluss an die Telematikinfrastruktur (TI) wäre damit theoretisch der Zugriff auf Patientenakten vereinzelt möglich. Die gematik geht nicht davon aus, dass Versichertendaten tatsächlich abgeflossen sind.
Zum Hintergrund: Ausführungen der gematik
Ende Dezember 2024 hat der Chaos Computer Club dargestellt, dass es unter bestimmten Voraussetzungen aufgrund einer technischen Schwachstelle theoretisch möglich gewesen wäre, den Behandlungskontext einer versicherten Person zu simulieren und somit zu fälschen. Für den bundesweiten Rollout der ePA für alle wurden mit dem BSI weitere hohe Sicherheitsmaßnahmen umgesetzt. Der Nachweis für den Behandlungskontext wurde mit weiteren Kartenmerkmalen abgesichert. Zusätzlich zur Kartennummer müssen weitere Merkmale bekannt sein, die teilweise auch nicht auf der Versichertenkarte stehen. Das ist in der Regel nur mit dem physischen Vorliegen und Einlesen der eGK in der Einrichtung möglich.
Grundsätzlich gilt weiterhin: Die ePA für alle wurde und wird mit höchsten und modernsten Sicherheitsstandards gebaut, welche die gematik zusammen mit den obersten Sicherheits- und Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickelt und abstimmt. Zusätzlich schützt ein mehrstufiges Sicherheitskonzept die Telematikinfrastruktur (TI). Außerdem wird die Sicherheit der TI und aller Anwendungen fortlaufend geprüft – in enger Abstimmung mit den zuständigen Behörden und externen Experten. Also alles im grünen Bereich?
Einige Details zum Angriff sind in Artikeln von Golem und heise näher beschrieben – der CCC hatte die Informationen wohl dem Spiegel gesteckt, der dies in einem Artikel (hinter Paywall) berichtete.
Das Problem: Die auf dem Chip der Gesundheitskarte (eGK) hinterlegte Kartennummer ICCSN wird ohne kryptografische Überprüfung übertragen. Diese ICCSN reichte bis vor kurzem noch aus, um ohne eGK auf die elektronische Patientenakte zuzugreifen. Zudem hat man zum Start neue Sicherheitsregeln festgelegt, so dass die ICCSN alleine nicht mehr reicht, um auf die ePA-Daten zuzugreifen. So wird ein Hash-Wert aus der Anschrift des Versicherten gebildet.
Christoph Saatjohann, Professor für IT-Sicherheit an der FH Münster, hatte mit Bianca Kastl und Martin Tschirsich entdeckt, dass sich die Anschrift und der Versicherungsbeginn über die elektronische Ersatzbescheinigung (eEB) abfragen lassen. Der CCC konnte nachweisen, dass der Prüfwert aus dem Datum des Versicherungsbeginns und der Straße und Hausnummer der Wohnanschrift der versicherten Person unter bestimmten Umständen automatisch generiert werden kann.
Der Fix wurde, wie auch die oben erwähnte Sicherheitslücke, durch einen Taschenspielertrick, vorgenommen: Man akzeptiert vorerst einfach keine Elektronische Ersatzbescheinigungen mehr. Die Patientenakte ist somit (vorerst) sicher. In der Pharmazeutische Zeitung kritisiert der CCC in diesem Artikel die Flickschusterei bei der ePA. Weitere drastische Aussagen des CCC finden sich im Artikel von heise, den ich oben verlinkt habe. Auch die oben verlinkten Folgeposts von Bianca Kastl auf Mastodon sind ganz lesenswert.
Ähnliche Artikel:
Gesundheitsgesetze I: EU-Parlament macht Weg für EU Health Data Space (EHDS) frei
Gesundheitsgesetze II: Bundestag beschließt Digitalisierung im Gesundheitswesen (GDNG, DigiG)
Gesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen
Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
Neustart in 2023 für Elektronische Patientenakte (ePA) geplant
Lauterbach „will“ die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?
Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen CyberangriffeEU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pläne, offene Fragen
Europäischer Gesundheitsdatenraum (EHDS) beschlossen – die Haken für Patienten
Büchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-/Datenschutz
re:publica: Kontra Datenschutz; wo ist die Medizinethikerin Buyx „falsch abgebogen?
Nachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay
Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group
Elektronische Patientenakte: Das Ende der ärztlichen Schweigepflicht?
News aus dem Gesundheitswesen: ePA, Widerspruch, Schwachstellen und Ärzteärger
Elektronischer Medikationsplan (eMP): Implementierung zum Scheitern verurteilt?
Elektronische Patientenakte (ePA) und das (zwingende) Opt-out
Elektronische Patientenakte (ePA): Opt-out jetzt! Erste Pläne für Begehrlichkeiten
Sicherheitsgutachten zur elektronischen Patientenakte (ePA)
Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den „Datenschatz“
Status elektronische Patientenakte (ePA 3.0): Weg ins Desaster?
Elektronische Patientenakte (ePA): Vernichtende Kritik von CCC und Fachleuten
Ärzte raten vorerst zum Verzicht bei der elektronischen Patientenakte (ePA)
Elektronische Patientenakte (ePA): Chaos vor dem Start zum 15.1.2025
Elektronischen Patientenakte (ePA) kommt erst im April; und weitere News
KBV Ärztepräsident Gassen: „Elektronische Patientenakte verzögert sich“
Apothekenumschau: Insights zum ePA 3.0-Testlauf – es hakt weiterhin
Status zum Start der elektronischen Patientenakte (ePA) am 29.4.2025
„… und ist somit (vorerst) sicher“.
Na Gott sei Dank, dann werde ich mir auch mal so ein Ding besorgen, achne muss man ja nicht, muss man ja nur „entsorgen“ wenn man es nicht will.
Gibts eigentlich auch ein allgemeines Opt-Out für vorenthaltenes Selbstbestimmungsrecht, um nicht jedem künftigen Krempel aktiv widersprechen zu müssen?
Eigentlich ist es immer der gleiche Ablauf bei der Telematik-Infrastruktur, TI, im deutschen Gesundheitswesen:
1. alles ist super abgesichert nach höchstem Standard
2. Eine Lücke wird von Forschern außerhalb der Gematik entdeckt.
3. Die Lücke wird heruntergespielt und mehr oder weniger gut geschlossen.
4. Und wir sind wieder bei Punk 1.
Die Experten vom CCC sind sicherlich sehr kompetent und engagiert bei der Sache. Gleichzeitig führen sie ihre Forschungen zur Sicherheit der TI mehr oder weniger in ihrer Freizeit unentgeltlich durch. Auch sind die Forscher vom CCC an die deutschen Gesetze gebunden und halten sich an diese. Ausländische Geheimdienste oder die organisierte Kriminalität haben da deutlich größere personelle, finanzielle und zeitliche Ressourcen zu Verfügung und lassen sich nicht vom deutschen Strafgesetzbuch von ihrer Tätigkeit abhalten.
Eigentlich müsste die Gematik eine eigene Abteilung für IT-Sicherheit unterhalten, bei der ausgewiesene Experten kontinuierlich nach Sicherheitslücken suchen und diese beheben. Vermutlich will man hier einfach Geld sparen und fährt auf Risiko.
Übrigens kenne ich keinen ärztlichen Kollegen, der aktiv in der Patientenversorgung tätig ist, der die deutsche Telematik-Infrastruktur im Gesundheitswesen in der jetzigen Ausgestaltung befürwortet. Der Nutzen für die Patienten und den medizinische Versorgung steht derzeit in keinem akzeptablen Verhältnis zu den Risiken, wie der Gefährdung der ärztlichen Schweigepflicht.
Man hat sich an bestimmte Normen (i.d.R. DIN oder ISO) gehalten; das bedeutet „nach höchstem Standard“.
Diese oder ähnliche Infrastrukturen würde ich übrigens grundsätzlich befürworten – aber nicht so.
Öffentlich einsehbar – vom ersten bis zum letzten Bit – und zwar bevor mit der Umsetzung begonnen wird!
… zudem kommen noch die hohen monatlichen Kosten für die TI hinzu bzw. für TI-verweigererne Praxen die Honorarabzüge.
Hatte heute Morgeen mit meiner Frau die Diskussion bzgl. des Widerspruchs. Es gab in den Nachrichten am Dienstag die Information, daß der Roll-Out nun bundesweit erfolgt.
Meine Frau hatte aufgrund des Beitrags auch verstanden, daß ab Oktober 2025 kein Widerspruch mehr möglich sei. Und nun für *ALLE* gesetzlich Versicherte die ePA eingerichtet wird.
Ich habe Ihr entgegnet, daß dies nicht sein kann, da dies gegen das Persönlichkeitsrecht verstosse. Wir haben BEIDE letztes Jahr bei der Krankenkasse widersprochen.
Ich hatte damals mit der Krankenkasse damals telefoniert, bzgl. der Risiken der ePA. Analog den Beipackzettel von Medikamenten. Ich bekam niXX Konkretes raus. Auch meine Einwände bzgl. der Hacks, welche von CCC existierten wurden typisch Business-Sprech schön geredet.
Eure Diskussion beruhte auf einem Missverständnis:
Die Nutzung der ePA ist ab Oktober verplichtend – das stimmt! Aber nur dann, wenn überhaupt eine existiert, Patienten also bei ihrer KK nicht widersprochen haben.
Abgesehen davon kann man dieser auch nach Anlage noch widersprechen bzw. diese mitsamt Inhalt vollständig löschen lassen.
Etwas Anderes wäre mir neu.
So hatte ich es auch verstanden und kenne es auch so.
Danke nochmal für Deine Bestätigung.
„Für die Zukunft der Gesundheitsversorgung nutzen wir die Chancen der Digitalisierung. Noch 2025 rollen wir die elektronische Patientenakte stufenweise aus, von einer bundesweiten Testphase zu einer verpflichtenden sanktionsbewehrten Nutzung.“
Seite 110, Koalitionsvertrag der neuen Regierung, spd.de/fileadmin/Dokumente/Koalitionsvertrag2025_bf.pdf
„verpflichtenden sanktionsbewehrten Nutzung“ klingt jetzt irgendwie weniger nach Widerspruchs- oder Löschungsmöglichkeiten.
Das bezieht sich auf die Leistungserbringer. Manche davon werden als Ärzte bezeichnet. Siehe dazu auch die
KBV Startseite -> … ePA – Fragen und Antworten
https://www.kbv.de/html/69298.php
„Fragen und Antworten zur elektronischen Patientenakte (ePA)
Mit der elektronischen Patientenakte (ePA) stehen Arztbriefe, Befunde, Laborwerte, die Medikation oder andere relevante Informationen sowohl den Patientinnen und Patienten als auch den behandelnden Ärzten und Psychotherapeuten auf einen Blick zur Verfügung.
Der bundesweite Rollout beginnt ab 29. April schrittweise. Für Ärzte und Psychotherapeuten wird die Nutzung ab 1. Oktober verpflichtend sein.
Dazu gibt es viele Fragen. Die KBV greift sie auf und gibt Antworten.
…
Müssen Patienten die ePA nutzen?
Die Nutzung der ePA ist freiwillig. Versicherte haben die Möglichkeit, der Einrichtung und Bereitstellung einer ePA durch ihre Krankenkasse zu widersprechen. Dies war erstmalig vor der initialen Einrichtung möglich. Aber auch später ist jederzeit ein Widerspruch möglich. Die Krankenkassen sind in diesem Fall verpflichtet, die ePA inklusive aller Daten zu löschen.
…“
Ein Blick auf die Hauptseite zum Thema ePA kann auch nicht schaden.
https://www.kbv.de/html/epa.php
> Aber auch später ist jederzeit ein Widerspruch möglich. Die Krankenkassen sind in diesem Fall verpflichtet, die ePA inklusive aller Daten zu löschen.
Auch aus den Backups (Datensicherungen)?
Das glaube ich nicht! Das löschen der Daten heißt nämlich nicht nur Löschen aus der Datenbank, sondern auch aus den Backups!
Soweit denken viele nur nicht.
Und ja, technisch ist das möglich. Ich habe selbst schon mehr Backups wiederhergestellt. Dort auf Anforderung / Anordnung Daten aus den wiederhergestellten Daten gelöscht. Und danach ein neues Backup erstellt. Alles unter den Augen von Revision / Datenschützer und Betriebsrat. Das ist auch so protokolliert worden. Und somit DSGVO konform.
Hoffe, ein findiger Profi pulverisiert den Laden (Gematik) in Kürze vollständig – dann ist endlich wieder Ruhe. Ich kann den Mist nicht mehr hören und wir haben alle genug anderen Sch… um die Ohren.
Ach ja, haftendes Eigenkapital, wenn ich richtig informiert bin, 50.000€ – na denn.
Meine Meinung.
Stammkapital („haftendes Eigenkapital“) sind bei einer GmbH immer mindestens 25.000 Euro was in der Regel auch nicht überschritten wird, insofern man nicht wirklich sehr gute Gründe dafür hat, die man dann aber auch unbedingt mit einer auf dem Gebiet qualifizierten Person absprechen sollte!
Das _war_ bei der Gematik GmbH entsprechend genauso; „_war_“ deshalb, weil ich auf die Schnelle nur ggf. veraltete Informationen finden konnte.
Ich verstehe das nicht. Den Verantwortlichen sind keinerlei Hinweise auf Datenlecks bekannt, wie kann es dann Lücken geben. ;)
Sie haben ja schon die Augen geschlossne und halten sich und Ohren zu, da kann doch kein Datenleck mehr entstehen.
Falls es nötig ist: Es war Sarkasmus.
Das Ganze wird eh ’ne „Unendliche Geschichte“
Ob diese mit einem „guten“ Ende ausgeht?
Ich persönlich glaube nicht daran!
Warum gehen da eigentlich nicht irgendwelche Lobby-Verbände dagegen vor?
Die Ärzte, was ist mit der ärztlichen Schweigepflicht?
Wenn Hinz und Kunz alles lesen kann! Die Krankenkasse soll zahlen, nicht mehr und nicht weniger,
was genau ich habe, geht die mal gar nichts an!
Irgendwie funktioniert der Zwischenschritt mit der Kassenärztlichen Vereinigung nicht mehr!
Was geht es meinen Zahnarzt an, ob ich in psychiatrischer Behandlung bin?
Und die Mitarbeiter einer Apotheke??
Und es gibt noch mehr Ungereimtheiten!
Notärzte, da wo es eventuell wichtig wäre, haben gar keinen Zugriff.
usw.
Aber „Datenkraken“, die dürfen den Pool durchpflügen, SUPER!!
„Was geht es meinen Zahnarzt an, ob ich in psychiatrischer Behandlung bin?“
Ist nur insofern wichtig, um Wechselwirkungen zwischen den Medikamenten erkennen zu können – z.b. Betäubung bei Zahnbehandlungen oder der Nachbehandlung.
„(…)
Dieser Start war eigentlich bereits zum 15. Februar 2025 geplant, musste aber wegen zahlreicher Probleme verschoben werden. Auch zum 29. April gibt es keine Verpflichtung, dass der Arzt die ePA 3.0 unterstützt – und viele Praxen werden das auch nicht können, weil die Praxisverwaltungssysteme das noch nicht beherrschen. …
(…)“
Ergänzung:
… und viele Praxen werden das auch nicht können, weil sie sich mit dem Thema bisher nicht auseinandergesetzt haben. Während des Praxisbetriebes fehlt dazu einfach die Zeit. Für alle.
Wir könnten in der Arztsoftware die ePA mit einem Klick aktivieren. Unsere Erfahrungen mit der TI lassen uns jedoch zu dem Schluß kommen, dass dies keine gute Idee ist. Wieso? Wir haben noch andere Probleme mit der TI. Manche „gelöste“ Probleme kommen zudem immer wieder. Wir hoffen, dass durch den Start der ePA die Wartezeiten an den Hotlines nicht noch länger werden. Träumen darf man ja.
Siehe dazu auch https://fachportal.gematik.de/ti-status :-(