ePA-Sicherheit: BSI hat vor Risiko gewarnt

Auf die Sicherheitslücken, die der Chaos Computer Club bereits einen Tag nach dem Start der elektronischen Patientenakte entdeckt und gemeldet hat, gibt das Bundesamt für Sicherheit in der Informationstechnik auf Nachfrage von heise online eine Art Entwarnung. Denn anders als bei dem Angriff, der beim Chaos Communication Congress im Dezember öffentlich dargestellt wurde, ging es im aktuellen Fall nicht direkt um einen massenhaften Zugriff auf elektronische Patientenakten. Stattdessen brauchte es eine gezieltere Attacke, bei der die digitale Abrufbarkeit zur elektronischen Ersatzbescheinigung (eEB) durch Praxen genutzt werden konnte, um alle Daten zu erhalten, die dann wieder für einen Zugriff auf einzelne Patientenakten notwendig gewesen wären.

Die Sicherheitsforscher aus dem CCC-Umfeld haben über die ihnen bekannte Lücke das beim BSI angesiedelte CERT-Bund auch in diesem Fall am Dienstagabend vorab informiert. Daraufhin wurde gestern das eEB-Modul vorerst vom Betreiber abgeschaltet.

BSI hatte vor Restrisiko gewarnt

Bei der Einschätzung des gestern bekannt gewordenen Szenarios geht das BSI deshalb von "hohen technischen Hürden" aus. Insbesondere die Notwendigkeit von Hardware aus dem Gesundheitssystem sowie einem gültigen Identitätsnachweis sei eine Hürde, die zudem Aufdeckungsrisiko mit sich bringe. Allerdings gelte auch: "Die Frage, ob die für das Angriffsszenario notwendigen zusätzlichen Patienteninformationen strukturell angemessen geschützt sind, entzieht sich dem Aufgabenbereich des BSI", teilt eine Sprecherin der Bonner Behörde auf Anfrage mit. Die IT-Sicherheitsbehörde weist zudem darauf hin: "Das BSI hatte auf ein bestehendes Restrisiko für gezielte Angriffe auf die ePA durch ein solches potentielles Szenario hingewiesen und seine Stakeholder darüber vor dem bundesweiten ePA-Rollout informiert."

Damit sieht das BSI die Verantwortung klar bei den Betreibern der Infrastruktur der elektronischen Patientenakte: "Der bundesweite Rollout der ePA wird von unseren Sicherheitsteams gemeinsam mit dem BSI eng begleitet", hatte der Geschäftsführer der Gematik gestern erklärt, deren Hauptgesellschafter der Bund ist. Das Bundesamt für Sicherheit in der Informationstechnik ist zwar nach den einschlägigen Regelungen des Sozialgesetzbuchs V in die Erstellung der Technischen Richtlinien eingebunden.

BSI muss ePA-Sicherheit nicht freigeben

Doch anders als vermutet werden könnte, ist dort nur ein "Benehmen" vorgesehen, das mit dem BSI hergestellt werden muss. Echte Prüf- oder Genehmigungspflichten würden erst mit der Formulierung des "Einvernehmens" juristisch vorgesehen. Dann dürfte das BSI dem Betreiber etwa auch den Betrieb untersagen oder Anforderungen eigenständig verschärfen. Im Zuge des starken politischen Willens dazu, die ePA trotz möglicher Bedenken nach 20 Jahren Diskussion endlich an den Start zu bekommen, wurden solche Mittel für Datenschutzbehörden oder BSI jedoch ausgeschlossen.

Infolge der im Dezember öffentlich gemachten strukturellen Sicherheitslücke wurde das BSI vom Bundesgesundheitsministerium zu einer sogenannten Sicherheitsbewertung aufgefordert. Diese werde von den IT-Sicherheitsspezialisten aus Bonn auch weiterhin aktualisiert, heißt es aus dem BSI. Allerdings sind diese Bewertungen für die Gematik nicht verpflichtend umzusetzen. "Aus der Sicherheitsbewertung ergibt sich, dass bei vollständiger Implementierung aller Mitigationsmaßnahmen ein angemessen sicherer Betrieb der elektronischen Patientenakte gewährleistet ist", erklärt die BSI-Sprecherin. Für die Implementierung allerdings bleibt weiterhin die Gematik als Betreiber der Infrastruktur und Ersteller der technischen Spezifikationen zuständig.

(nie)