Diabetologie » Sonstiges

»

Start der ePA durch Sicherheitslücken überschattet

Symbolbild, Smartphone mit dem Begriff ePA

Start der ePA durch Sicherheitslücken überschattet

Berufspolitik

Diabetologie

Sonstiges

3 MIN

Erschienen in: diabetes heute

Für 230 Arztpraxen in den drei Modellregionen Franken, Hamburg und Nordrhein-Westfalen hat am 15. Januar die Ära der Elektronischen Patientenakte (ePA) begonnen. Danach soll der bundesweite Roll out folgen. Die Integration von 72 Millionen ePAs in die Versorgung ist ein IT-Mega-Projekt mit hohem Risikopotenzial. Recherchen des Chaos Computer Clubs (CCC) haben Sicherheitslücken offengelegt, wonach der unberechtigte Zugriff auf eine einzelne Akte, auf alle in einer Arztpraxis ­geführten ePAs sowie auf das Gesamtsystem theoretisch möglich sei.

So erhielt der Chaos Computer Club (CCC) offenbar ohne Probleme Zugang zu einer fremden Gesundheitskarte und hackte sich über ausrangierte Hardware in Arztpraxen ein. Zwei Telefonate hätten nach dem CCC-Bericht ausgereicht, um eine Gesundheitskarte für jemand anderen an die eigene Adresse schicken zu lassen. Dadurch sei es leicht gewesen, mit Hackermethoden Zugriff auf die Daten zu erhalten. Dann gaben sich CCC-Hacker als IT-Dienstleister aus und erhielten so Zugriff auf die Praxisdaten eines Niedergelassenen. Restbestände aus aufgegebenen Praxen wie Konnektoren samt Karten seien im Internet zu erwerben. Ausweise für Leistungserbringer lassen sich laut CCC ebenfalls über Schadcodes bei Kartenherausgebern organisieren, so der CCC.

HÄV mahnt Datenschutz 
und gute Funktionalität an

Für Dr. Markus Beier, Co-Bundesvorsitzender des Hausärztinnen- und Hausärzteverbands (HÄV), steht und fällt die ePA mit der Sicherung des Datenschutzes und einer perfekten Funktionalität der Akte. „Wir sehen den Sinn der ePA, weil wir mehr digitalen Austausch brauchen. Aber wenn sie flächendeckend in die Praxen kommt, muss sie funktionieren. Für alles andere haben wir keine Zeit, weil dann die Versorgung der Patienten massiv leiden würde“, stellte Beier zum ePA-Start fest.
Hannelore König, Präsidentin des Verbandes medizinischer Fachberufe e. V. (vmf), befürchtet, dass die medizinischen Fachangestellten die vielen Fragen der Patienten zum Datenschutz, zum Widerspruchsverfahren und zur Sicherheit nicht beantworten können. Die aufgeworfenen Sicherheitsbedenken müssten unbedingt ausgeräumt werden; sonst dürfe es keinen bundesweiten Roll out der ePA geben. „Alles andere sorgt nur für Frustration in den Praxen.“

gematik hält den Zugriff für unwahrscheinlich

Die gematik räumte danach ein, dass die Angriffsszenarien des CCC technisch möglich wären, aber die praktische Durchführung in der Realität sei nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssten. Dazu zählten zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation. Die gematik hat trotzdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) angesprochen, um solche Hackerangriffe technisch zu unterbinden.

KBV sieht ePA-Roll out mit „ungutem Gefühl“

Mit der Beschränkung ausschließlich auf Einrichtungen, die an der Erprobung teilnehmen, reagiert die gematik auf die Mängel in der Sicherheitsarchitektur der ePA-Server, auf die der Chaos Computer Club jüngst hingewiesen hat. „Die weitreichendste Schwachstelle ist, dass auf beliebig viele elektronische Patientenakten zugegriffen werden kann, ohne dass eine Gesundheitskarte des Versicherten gesteckt und der Behandlungskontext hergestellt wurde“, sagte KBV-Vorstandmitglied Dr. Sibylle Steiner. Die Kassenärztliche Bundesvereinigung nehme die Schwachstellen, die der Chaos Computer Club entdeckt habe, „sehr ernst“ und blickt mit einem „unguten Gefühl“ auf die doch kurze Testphase und den sehr zeitig angedachten Roll-out Start.

Autor: Franz-Günter Runkel

Bilderquelle: ©nmann77/stock.adobe.com

Weitere Beiträge zu diesem Thema

T1D-Screening: Früherkennung mit Augenmaß oder vorschneller Schritt?

Fachartikel

Sollte Typ-1-Diabetes künftig bevölkerungsweit gescreent werden? Im Interview diskutieren Prof. Dr. Olga Kordonouri und Dr. Karl Horvath Chancen und Grenzen der Früherkennung. Im Fokus stehen vermeidbare Ketoazidosen, mögliche Belastungen für Familien, fehlende Evidenz aus RCTs und die Frage, unter welchen Bedingungen ein T1D-Screening verantwortungsvoll eingeführt werden kann.

Diabetologie

Diabetes bei Kindern und Jugendlichen

Beitrag lesen

Semaglutid bei Frauen in der Menopause: Neue Daten zu Gewicht, Herz und Migräne

Pharmaservice

Beim ECO 2026 in Istanbul wurden neue Auswertungen zu Semaglutid bei Frauen mit Adipositas in der Peri- und Postmenopause präsentiert. Post-hoc-Analysen aus STEP-UP und SELECT zeigen konsistente Gewichtsreduktionen von bis zu 22,6 % sowie eine MACE-Risikosenkung – ergänzt durch Real-World-Daten zu 42–45 % weniger Migräne und 25 % weniger Depression.

Diabetologie

Komorbiditäten von Diabetes

Beitrag lesen
Ein Mann mit Anzug sitzt vor einem geöffneten Laptop, in der Luft steht USECASE und darum sind verschiedene Tech-Symbole angeordnet.

Prädiabetes frühzeitig erkennen – KI als Werkzeug der betrieblichen Prävention

Berufspolitik

Viele Menschen mit Prädiabetes werden zu spät erkannt – oft erst, wenn der Diabetes bereits manifest ist. Ein neuer Forschungsansatz aus der Arbeitsmedizin setzt früher an: KI-Modelle sollen Risikofaktoren bereits im Betrieb sichtbar machen. Für Diabetologinnen und Diabetologen könnte das die Zuweisung in die Fachversorgung grundlegend verändern.

Diabetologie

Sonstiges

Beitrag lesen