Potenziell betroffene Versicherte identifiziert und geschützt
Der Chaos Computer Club (CCC) hat ein neues Szenario für unberechtigte Zugriffe auf die elektronische Patientenakte (ePA) beschrieben. Danach hätten Hacker über elektronische Ersatzbescheinigungen von Versichertenkarten den Behandlungskontext einer versicherten Person fälschen können. In Kombination mit der Versichertennummer, einem Codierungsschlüssel, einem illegal beschafften Praxisausweis (SMC-B) sowie einem Anschluss an die Telematikinfrastruktur (TI) wäre damit theoretisch der Zugriff auf Patientenakten vereinzelt möglich gewesen. Die gematik hat diese Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestanden haben könnte, geschlossen. Die potenziell betroffenen Versicherten werden identifiziert und geschützt.
Nach den Worten des gematik-Geschäftsführers Dr. Florian Fuhrmann wird der bundesweite Rollout der ePA von den gematik-Sicherheitsteams gemeinsam mit dem BSI eng begleitet. Hinweisen externer Sicherheitsforscher und Sicherheitsforscherinnen geht die gematik demnach in standardisierten Prozessen umgehend nach und leitet bei entsprechender Bewertung passende Maßnahmen ein. Aufgrund der aktuellen Hinweise hat die gematik präventiv als erste Sofortmaßnahme das Verfahren vorerst ausgesetzt, das bereits einige Kassen für Ersatzbescheinigungen alternativ zur Versichertenkarte (eGK) nutzen. Bislang gibt es nach Angabe der gematik keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat bzw. tatsächlich Versichertendaten abgeflossen sind.
Bereits Ende 2024 Schwachstelle aufgedeckt
Bereits Ende Dezember 2024 hat der Chaos Computer Club dargestellt, dass es unter bestimmten Voraussetzungen aufgrund einer technischen Schwachstelle theoretisch möglich gewesen wäre, den Behandlungskontext einer versicherten Person zu simulieren und somit zu fälschen. Für den bundesweiten Rollout der ePA für alle wurden daher laut gematik mit dem BSI weitere hohe Sicherheitsmaßnahmen umgesetzt. Der Nachweis für den Behandlungskontext wurde mit weiteren Kartenmerkmalen abgesichert. Zusätzlich zur Kartennummer müssen weitere Merkmale bekannt sein, die teilweise auch nicht auf der Versichertenkarte stehen. Das ist in der Regel nur mit dem physischen Vorliegen und Einlesen der eGK in der Einrichtung möglich.
Informationen zur ePA
Themenseiten von KZV Nordrhein, BMG und gematik
Die KZV Nordrhein stellt Ihnen detaillierte Informationen zur ePA zur Verfügung.
Auch das BMG hat Informationen und Antworten auf Fragen rund um die ePA auf einer Themenseite zusammengestellt.
FAQ, News, kostenloses Infomaterial für Praxen sowie Informationen zu technischen Fragen und zur Sicherheit der ePA finden Sie auf der Website der gematik.
Meldung der gematik zur Schließung der neuen Sicherheitslücke
Zum vollständigen Wortlaut der Meldung der gematik zur Schließung der neuen ePA-Sicherheitslücke gelangen Sie über nachfolgenden Link.
Update vom 15. Mai 2025
Wie die KBV meldet, wurde das Verfahren zur elektronischen Ersatzbescheinigung laut Informationen der gematik vorübergehend teilweise ausgesetzt. Praxen können den elektronischen Versicherungsnachweis daher zurzeit nicht bei Krankenkassen anfordern. Allerdings können Versicherte die elektronische Ersatzbescheinigung weiterhin über ihre Krankenkassen-App an ihre Praxis übermitteln lassen, sofern die Praxis das Verfahren bereits nutzt.
