Lauterbach: ePA-Start erst nach Behebung aller Sicherheitslücken

Die elektronische Patientenakte (ePA) soll erst ausgerollt wird, wenn „alle Hackerangriffe, auch des Chaos Computer Clubs (CCC), technisch unmöglich gemacht worden“ seien, twitterte Bundesgesundheitsminister Lauterbach auf X. Er betonte, daran werde schon länger gearbeitet. Man brauche die Digitalisierung für eine bessere Medizin und Forschung. Der Grund: Der Chaos Computer Club (CCC) hatte erneut auf Sicherheitslückenhingewiesen.

Kurz zuvor hieß es von einer Sprecherin des Bundesgesundheitsministeriums (BMG) auf Nachfrage von heise online noch, man wolle trotzdem am bundesweiten Rollout ab dem 15. Januar festhalten. Über „das Problem" sei man mit dem CCC im Kontakt. „Das theoretische Problem, das der CCC beschreibt, wird vor der Einführung der ePA für alle gelöst sein.

Die gematik betonte Ende Dezember, dass die vom CCC vorgestelltenAngriffsszenarien auf die neue ePA technisch möglich gewesen wären, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich sei, da verschiedene Voraussetzungen erfüllt sein müssten. „Dazu zählen zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation. Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.“

Die gematik steht nach eigenen Angaben „im intensiven Austausch mit den zuständigen Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), hat bereits technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert und ist mit deren Umsetzung gestartet“.

Quellen: heise online, DÄ, gematik