Ein zusätzlicher Datenabgleich sollte das massenhafte Hacken der elektronischen Patientenakte erschweren. Doch auch das neue Verfahren lässt sich kinderleicht aushebeln.
von Friedhelm Greis
Hacker des Chaos Computer Clubs (CCC) haben auch die neu eingeführten Sicherungsmaßnahmen der elektronischen Patientenakte (ePA) umgehen können. Das berichtet der Spiegel unter Berufung auf eine entsprechende Demonstration des Vorgangs durch die Hacker. Die für die Telematikinfrastruktur (TI) im Gesundheitswesen zuständige Gematik teilte mit, die neue Sicherheitslücke umgehend geschlossen zu haben. Die bundesweite Hochlaufphase der ePA war vor einem Tag gestartet worden.
Hintergrund der anhaltenden Sicherheitsprobleme mit der ePA ist die Tatsache, dass die auf dem Chip der Gesundheitskarte hinterlegte Kartennummer ICCSN ohne kryptografische Überprüfung übertragen wird, obwohl ein entsprechender Schlüssel dazu auf dem Chip hinterlegt ist. Die Übertragung der ICCSN reichte bis vor kurzem jedoch aus, um Zugriff auf die ePA zu erhalten. Um dies zu unterbinden, führte die Gematik in Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik neue Sicherheitsvorkehrungen ein.
“Zusätzlich zur Kartennummer werden die Krankenversicherungsnummer sowie weitere Kartenmerkmale benötigt, was in der Regel nur mit Vorliegen der elektronischen Versichertenkarte (eGK) in der Einrichtung möglich ist”, schrieb die Gesellschaft Mitte April 2025. Doch das ist offenbar nicht der Fall.
Gematik schließt Sicherheitslücke
Dem Spiegel zufolge setzt sich der Prüfwert aus dem Datum des Versicherungsbeginns und der Straße und Hausnummer der Wohnanschrift der versicherten Person zusammen. Die Hacker hätten nun gezeigt, dass sie diese Daten unter bestimmten Voraussetzungen automatisiert abfragen könnten, im System der sogenannten elektronischen Ersatzbescheinigung. Dieses System werde normalerweise dazu genutzt, um Patienten, die ihre Gesundheitskarte vergessen hätten, trotzdem abrechnen zu können. Mit den abgefragten Daten lasse sich der Prüfwert berechnen, das Verfahren dazu sei öffentlich dokumentiert.
Diese hätte “einzelne Versicherte weniger Krankenkassen” betreffen können. “Die potenziell betroffenen Versicherten werden identifiziert und geschützt”, hieß es weiter. Die Gematik geht demnach nicht davon aus, dass Versichertendaten tatsächlich abgeflossen sind. Das Verfahren für die Ersatzbescheinigungen sei vorerst ausgesetzt worden, sagte Gematik-Geschäftsführer Florian Fuhrmann. Der geschäftsführende Bundesgesundheitsminister Karl Lauterbach (SPD) kommentierte den Vorfall mit den Worten:
“In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen. Ich bin der Gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen hat. Die elektronische Patientenakte muss sehr gut geschützt bleiben. Massenangriffe auf Patientendaten müssen ausgeschlossen bleiben.”
Anfang des Jahres hatte Lauterbach noch behauptet:
“Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind. Daran wird schon länger gearbeitet.”
Später sagte er, dass zum Start der bundesweiten ePA-Nutzung alle Probleme gelöst sein würden, auch das vom CCC beschriebene.
Wir können nur mit Ihrer Hilfe überleben!
Ihnen gefallen unsere Inhalte? Zeigen Sie Ihre Wertschätzung. Mit Ihrer Spende von heute, ermöglichen Sie unsere investigative Arbeit von morgen: Unabhängig, kritisch und ausschließlich dem Leser verpflichtet. Unterstützen Sie jetzt ehrlichen Journalismus mit einem Betrag Ihrer Wahl!
