Neue ePA startet zunächst nur in ausgewählten Testpraxen

gematik reagiert mit Maßnahmenbündel auf aufgezeigte Schwachstellen

Mitglieder des Chaos Computer Clubs (CCC) haben Ende Dezember 2024 die von ihnen aufgedeckten Schwachstellen beim Zugriff auf die elektronische Patientenakte 3.0 („ePA für alle“) öffentlich gemacht. Über die Erkenntnisse des CCC wird seitdem sowohl in der Fachpresse wie in Publikumsmedien berichtet. Die weitreichendste Sicherheitslücke besteht demnach offenbar darin, dass theoretisch auf beliebig viele elektronische Patientenakten zugegriffen werden kann, ohne dass zuvor der konkrete Behandlungskontext durch das Einlesen der jeweiligen Gesundheitskarte des Versicherten hergestellt wurde.

Für eine solche Manipulation ist jedoch laut einer ersten Stellungnahme der Betreiber­gesellschaft gematik vom 27. Dezember 2024 die Kombination verschiedener, teils illegaler Aktionen und Voraussetzungen notwendig – zum Beispiel die Beschaffung eines Praxisausweises (SMC-B) samt der dazugehörigen PIN sowie ein TI-Konnektor inklusive VPN-Zugangsdienst. Betroffen ist laut gematik nicht die Sicherheitsarchitektur des ePA-Aktensystems als solches. Mögliche Einfallstore sind vielmehr neben dem technischen Nachweis des Behandlungskontextes auch organisatorische Mängel bei der Umsetzung der IT-Sicherheit in den Praxen – insbesondere durch eine nicht fachgerechte Entsorgung von gebrauchten TI-Komponenten oder die leichtfertige Herausgabe von Zugangsdaten an vermeintliche IT-Dienstleister.

Bundesweiter Starttermin steht noch nicht fest

Die Gesellschafter der gematik, darunter die Kassenärztliche Bundesvereinigung und das Bundesgesundheitsministerium (BMG), haben vor diesem Hintergrund beschlossen, dass ein bundesweiter Rollout der ePA 3.0 erst dann erfolgen wird, wenn alle bekannten Schwachstellen geschlossen sind. Ursprünglich hatte das BMG den 15. Februar als Starttermin genannt.

Ein von der gematik mit dem BMG und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Maßnahmenkatalog sieht dafür neben einer zusätzlichen Verschlüsselung der Krankenversicherungsnummern durch die Krankenkassen unter anderen vor, dass zunächst ausschließlich die teilnehmenden Praxen, Apotheken und Krankenhäuser in den Testregionen Franken, Hamburg und Westfalen auf die ePA der Versicherten zugreifen können.

Entsorgen Sie Ihre TI-Hardware fachgerecht

Durch einen sensiblen Umgang mit Ihrer TI-Hardware verhindern Sie erfolgreich eine missbräuchliche Verwendung. Das schließt insbesondere die vertraglich festgelegte fachgerechte Entsorgung von abgelaufenen bzw. nicht mehr benötigten TI-Kompo­nen­ten ein. Wenn Sie Ihren Institutionsausweis (SMC-B) oder elektronischen Heilberufs­ausweis (eHBA) nicht mehr brauchen, müssen diese von Ihnen gesperrt und zerstört werden. Ein nicht mehr benötigter Konnektor und Ihre Kartenterminals müssen Sie an die TI-Vertragspartner zur Entsorgung zurücksenden. Der Handel mit gebrauchten TI-Komponenten ist nicht zulässig.

Welche Schutzmaßnahmen sollte ich in der Praxis unbedingt umsetzen?

  • strukturiertes Sicherheitskonzept inkl. Einrichtung der Zugriffsberechtigung je Mitarbeiter
  • Fernzugriffe auf die Praxis-IT verhindern (Zugangsdaten nicht leichtfertig telefonisch an vermeintliche IT-Dienstleister herausgeben, werkseitig vergebene Passwörter ändern)
  • Einsatz einer Virenschutz-Software, die mehrfach täglich aktualisiert wird
  • Aktivierung von Phishing-Schutz im Internet-Browser
  • Installation einer Firewall
  • regelmäßige Sensibilisierung & Schulung des Praxisteams zur Prävention von Cyber-Kriminalität
  • regelmäßige Datensicherungen
  • regelmäßige Updates der eingesetzten Software und Betriebssysteme
  • Komponenten der Telematikinfrastruktur stets auf dem aktuellen Stand halten

Klare Vorgaben helfen Ihnen dabei, sensible Patientendaten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall in der Arztpraxis deutlich zu reduzieren. Anforderungen, die ein hohes Maß an IT-Sicherheit in der Praxis gewährleisten können, sind in der sogenannten IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) festgehalten.

Gerne stehen Ihnen die IT-Berater der KVBW dafür zu Seite.

Mehr zum Thema

Direktkontakt

IT-Berater
0711 7875-3570

KIM als sicheren Übertragungsweg zur KVBW nutzen

Verwenden Sie KIM-E-Mails als vertraulichen Kommunikationskanal, wenn Sie besonders schützenswerte Daten (mit Personenbezug) verschlüsselt an die KVBW übermitteln möchten (z. B. Schriftverkehr zu Genehmigungsverfahren, Dokumentations­prüfungen, Honorarunterlagen, Praxiskennzahlen, Angebote zur IT-Ausstattung).

KIM-E-Mails können Sie einfach und sicher aus Ihrem Praxisverwaltungssystem oder dem KIM-Client-Modul innerhalb der Telematikinfrastruktur (TI) versenden. 

Wichtig: Damit Nachrichten bei einem KIM-Adressaten ankommen, müssen diese als KIM-E-Mail innerhalb der TI übermittelt werden (funktioniert nicht aus dem freien Internet).

itp@kvbw.kim.telematik
  • Mo – Fr: 8 – 16 Uhr
Team IT in der Praxis