„ePA für Alle“ als TOP bei dem 38. Chaos Communication Congress und seine Folgen:
Der Chaos Computer Club (CCC) hat auf seinem 38. Chaos Communication Congress am 27.12.2024 Sicherheitsaspekte zu der weiter in Entwicklung befindlichen ePA vorgestellt und auf seiner Medienplattform veröffentlicht.
Im Zuge der Einführung der ePA für Alle hat der CCC folgende Forderungen geäußert:
- Unabhängige und belastbare Bewertungen von Sicherheitsrisiken
- Transparente Kommunikation von Risiken gegenüber Betroffenen
- Offener Entwicklungsprozess über den gesamten Lebenszyklus
Im Vortrag des CCC zur ePA4all wurde unter anderem dargelegt, dass Dritte Zugriff auf die ePA erhalten können.
Grundlage hierfür bildete ein aktueller Fall, in dem ein ausscheidender Arzt im Zuge der Praxisauflösung bei eBay Kleinanzeigen nicht nur Kartenlesegerät und SMC-B der Praxis, sondern auch die dazugehörige PIN verkauft habe.
Leistungserbringer sind zum Schutz der Schlüsseldaten verpflichtet:
Der Schutz der privaten Schlüsselmaterialien ist bereits Gegenstand der gemeinsamen Zertifizierungsrichtlinie für Teilnehmer der gematik-TSL, die sich technisch an die Kartenherausgeber richten. In der Folge werden über die Kartenanbieter auch die individuellen Leistungserbringer über Allgemeine Geschäftsbedingungen dazu verpflichtet, die überlassenen Identifikationsdaten (PIN) geheim zu halten und nicht gegenüber Dritten offenzulegen. Das eingangs geschilderte Tätigwerden stellt somit in jedem Falle ein vertragsbrüchiges Verhalten dar.
Wird über derart beschaffte Zugangsmittel durch unberechtigte Dritte Zugriff etwa auf ePA-Daten genommen, kann für den Verkäufer der Zugangsmittel auch die Beteiligung an einer Straftat nach § 399 SGB V nicht ausgeschlossen werden.
Laut gematik werden die weiteren vom CCC dargestellten Angriffsszenarien auf die elektronische Patientenakte schrittweise und in enger Abstimmung mit dem Rollout-Konzept behoben, so dass zu jedem Zeitpunkt die Sicherheit der elektronischen Patientenakte gewährleistet wird. Dazu tauscht sich die gematik eng mit den Betreibern der Aktensysteme sowie dem Bundesamt für Sicherheit in der Informationstechnik aus.
Vor dem bundesweiten Rollout, so die gematik, werden zudem zusätzliche technische Lösungen implementiert und abgeschlossen sein. Diese zusätzlichen Sicherungsmaßnahmen befinden sich bereits in der Umsetzung und konzentrieren sich auf folgende Aspekte:
- Verhinderung des missbräuchlichen Einsatzes von Ausweisen der Telematikinfrastruktur und insbesondere der Praxisausweise (SMC-B).
- Zusätzliche technische Sicherheitsmaßnahmen beim Stecken einer Gesundheitskarte in der Arztpraxis.
- Erweiterung der Überwachungsmaßnahmen der gematik und der Aktenbetreiber, um unzulässige Zugriffe auf die ePA schnell zu erkennen.
Für das Vertrauen der Institutionen und der Bevölkerung in die ePA für alle ist die Gewährleistung der Sicherheit von entscheidender Bedeutung. Deshalb wurde die ePA für alle mit den höchsten und modernsten Sicherheitsstandards entwickelt, die in Zusammenarbeit mit den obersten Sicherheits- und Datenschutzbehörden, wie dem BSI und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), entwickelt und abgestimmt wurden. Die Sicherheit der Telematikinfrastruktur und aller Anwendungen wird kontinuierlich überprüft, in enger Abstimmung mit den zuständigen Behörden und externen Experten.
Die aufgeführten Maßnahmen gewährleisten laut gematik eine sichere Nutzung der ePA für alle in Praxen, Apotheken und Krankenhäusern in den Modellregionen und dem darauffolgenden bundesweiten Rollout.
Dennoch ist die Mitwirkung aller Vertragsärztinnen und -ärzte unerlässlich, um die IT-Sicherheit in allen Praxen zu gewährleisten. Die konsequente Einhaltung der gesetzlichen Vorgaben sowie der IT-Sicherheitsrichtlinien in allen Praxen ist hierfür unabdingbar. Dies gilt insbesondere für den Umgang mit SMC-B Karten und den dazugehörigen PINs, sowie der sorgfältigen Nutzung der technischen Komponenten der Telematikinfrastruktur. Nur auf diese Weise kann wirksam und nachhaltig die IT-Sicherheit gewahrt werden.
Datensicherheit in den Praxen kann nur durch die tatkräftige Unterstützung aller Vertragsärztinnen und -ärzte erfolgen, dann sollte mit der Einführung der ePA für alle einer besseren Patientenversorgung nichts mehr im Wege stehen.