Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?

Sicherheit (Pexels, allgemeine Nutzung)2022 soll die elektronische Patientenakte (ePA 2.0) ausgerollt werden. Die Idee dabei ist, dass alle Informationen eines Patienten an einem digitalen Ort gespeichert werden. Arzt und Patient können dann auf diese Daten zugreifen. Aber es gibt immer wieder Ärger mit der ePA – der Datenschutzbeauftrage rüffelte 2021 die Krankenkassen bezüglich der Einführung wegen des unklaren Berechtigungskonzeptes. Und nun ist auch noch bekannt geworden, dass ePA 2.0 ein Sicherheitsrisiko für die Teilnehmer (Ärzte, Patienten) durch die hochgeladenen Dokumente aufweist.


Anzeige

Elektronische Patientenakte (ePA 2.0)

Gesetzlich Krankenversicherte haben seit 2021 die Möglichkeit, Ärzte, Psychotherapeuten oder anderen Leistungserbringern mittels einer elektronischen Patientenakte über Befunde, Diagnosen, Therapiemaßnahmen und Behandlungsberichte zu informieren. Dafür können Informationen aus bereits vorhandenen einzelnen Dokumentationen fall- und einrichtungsübergreifend zusammengeführt werden. Die gesetzlichen Krankenkassen müssen ihren Versicherten seit 2021 eine elektronische Patientenakte anbieten. Zu den Dokumenten und Daten, die in der ePA gespeichert werden können, gehören:

  • medizinische Behandlungsdaten, zum Beispiel Befunde, Diagnosen und Therapiemaßnahmen
  • Arztbriefe, die im Zuge einer (zahn-)ärztlichen Behandlung erstellt wurden
  • elektronischer Medikationsplan oder Notfalldatensatz
  • elektronisches Zahn-Bonusheft
  • elektronisches Untersuchungsheft für Kinder
  • elektronischer Mutterpass
  • elektronische Impfdokumentation
  • elektronische Verordnungen
  • Daten aus einer elektronischen Gesundheitsakte (eGA)
  • Krankenkassendaten über in Anspruch genommene Leistungen

Die Daten werden vom Versicherten per App, die die Krankenkasse bereitstellt, in die ePA hochgeladen oder angezeigt. Ärzte und Leistungserbringer können über eine Telematik-Infrastruktur auf die Daten zugreifen. Die Server, auf denen die elektronischen Patientenakten gespeichert werden, befinden sich in Deutschland (siehe hier). Hier ein Tweet der TK zum Thema.

Derzeit existieren in Deutschland drei Server-Backends der ePA, die von Bitmarck/Rise, IBM und ITSG betrieben werden (siehe). Ärzte können dort Befunde über ihre Praxisverwaltungssoftware einstellen und herunterladen. Die Versicherten selbst bestimmen, wer auf ihre Daten Zugriff erhält. Seit 2022 sollen bereits vorhandene Daten bei einem Krankenkassenwechsel exportiert und in eine ePA ihrer neuen gesetzlichen Krankenkasse übertragen werden, schreibt die AOK hier.

Das Bundesgesundheitsministerium hat eine Übersicht über die elektronische Patientenakte (ePA) veröffentlicht. Weitere Informationen finden sich bei der gematik, bei adesso, bei der Stiftung Gesundheitswissen,  und auf ePA-Guide. Ärzte können sich z. B. auf dieser Seite über die ePA informieren.

Ärger gibt es um das Berechtigungsmanagement, mit dem der Patient bestimmt, wer welche Daten einsehen darf. Datenschutzbeauftragter Ulrich Kelber liegt seit Ende 2020 mit den Krankenkassen diesbezüglich im Clinch (siehe diesen Beitrag von Sept. 2021 und diesen Beitrag). Der Hintergrund: Mit ePA 2.0 können Nutzer zwar auf Dateiebene per App festlegen, wer auf diese zugreifen darf. Aber Benutzer ohne Smartphone müssen die Daten per PIN freigeben, wenn der Arzt darauf zugreifen soll. Hier scheint es noch Klärungsbedarf zu geben, wenn ich den Beitrag richtig sehe.

Sicherheitsrisiko Dokumente

Insgesamt ist das Interesse an der elektronischen Patientenakte (ePA 2.0) bisher gering. Die Ärzteverbände forderten im November 2021 sogar ein einjähriges Moratorium für die Digitalisierung im Gesundheitswesen, weil es jede Menge Probleme gibt (siehe Digitalisierung im Gesundheitswesen: Ärzteverbände fordern einjähriges Moratorium). Die Einführung des elektronischen Rezepts (eRezept) wurde um ein halbes Jahr auf Sommer 2022 verschoben.

 Sicherheitsprobleme in der elektronischen Patientenakte

Zum 31. Dezember 2021 wies heise in obigem Tweet und in diesem Artikel auf potentielle Sicherheitsprobleme in der elektronischen Patientenakte hin. Das Problem: In die elektronische Patientenakte werden ja Dokumente eingestellt, die dann von Leistungserbringern wie Ärzte, Kliniken, Therapeuten etc. und ggf. vom Patienten geöffnet und angezeigt werden. Enthalten diese Dokumente Schadinhalte, gefährdet dies Jeden, der auf die Daten zugreift.

Die Spezifikation der ePA sieht zwar vor, dass nur bestimmten Dokumenttypen wie PDF, JPEG, PNG, TIFF, text/plain und text/rtf, XML, HL7-V3, PKCS7-mime und FHIR+XML hochgeladen werden dürfen. Aber sowohl Ärzte als auch Patienten können solche Dateien in die elektronische Patientenakte hochladen.


Anzeige

Heise bekam den Tipp, dass die TK-App in der Android-Version 3.15.0 (Produktversion 3.1.0.13) es ermöglichen soll, auch ZIP-Archive auf die Server hochzuladen und in Patientenakten zu speichern. Es ist in meinen Augen schon erstaunlich, dass die Apps das Hochladen der Dateitypen kontrollieren. Der Hintergrund ist wohl, dass die Ende-zu-Ende-Verschlüsselung diese Prüfung in der App erfordert.

Laut heise führte dies dazu, dass die Dateitypen nur über den Mime-Typ, nicht aber über Dateikennungen gefiltert werden. Heise gelang es, eine ZIP-Archivdatei durch Anhängen der Erweiterung .txt auf Google Drive hochzuladen und dann über TK-Safe als "Dokument ohne besondere Form" in die ePA hochladen. Die Techniker Krankenkasse hat diese Schwachstelle zwar mit der TK-App Version 4.1 (Produktversion 4.0.0.1) geschlossen.

Aber auch wer das Thema verbotene Dateitypen mal ausblendet, bei den Dateitypen PDF oder text/rtf sträuben sich mir die Haare, sind das doch gerade ein Einfallstore für Malware in Unternehmen. Heise zitiert die Techniker Krankenkasse (bei anderen Krankenkassen dürfte dies ähnlich sein), dass Ärzte die ePA-Dateien unbedingt beim Download auf möglichen Schadcode prüfen müssten. Auch die Patienten seien für die Sicherheit der Daten verantwortlich. Die gematik, die das Ganze implementiert, schreibt dazu:

Die Kontrolle über diese Dateien liegt beim Versicherten selbst, das heißt, dass auch nur der Versicherte selbst dies aushebeln und die Ärztin/den Arzt seines Vertrauens bewusst mit einer Datei schädigen kann. Dieses eher unrealistische Szenario betrifft nicht nur die Nutzung der ePA, sondern besteht bereits jetzt, beispielsweise bei der Übermittlung von Befunden (wie z. B. Röntgenbildern) auf einem Datenträger, die der Versicherte mit in die Praxis bringt.

Liest man die Ausführungen der Verantwortlichen, die heise hier zitiert, stehen mir die Haare zu Berge. Dort heißt es: Weil bei der ePA stets nachgewiesen werden könne, wer eine Datei ins System einstellt, sei das System, laut gematik, sicherer als etwa eine Übermittlung per E-Mail. Daher gebe es auch keine Folgeabschätzungen, welcher Schaden durch Einspielen von Schadcode in die ePA entstehen könnte. Die gematik argumentiert dann auch, dass Ärzte nach § 75b SGB V verpflichtet seien, "Standardsicherheitsmaßnahmen gegen Malware" einzuhalten. Zitat aus dem heise-Artikel:

Ärzte und andere Leistungserbringer sollten daher aktualisierte Virenscanner und frisch gepatchte PDF-Reader auf ihren Systemen haben. Darüber hinaus ist es eine gute Idee, ePA-Daten sowie Mail-Anhänge in einer virtuellen Maschine zu öffnen, die eine Ausbreitung von möglichem Schadcode zumindest deutlich erschwert.

Da tun sich schlicht Abgründe auf, denn weder Patienten noch Ärzte sind i.d.R. in der Lage, diese Bedingungen zu erfüllen. Eigentlich müssten Ärzte aus Sicherheits- und Haftungsgründen die Unterstützung der ePA 2.0 verweigern. Das ist aber nicht möglich, weil Patienten zwar ein opt-in-Recht besitzen, die Ärzte aber eine Mitwirkungspflicht nach § 291a SGB V  haben. Sei müssten die ePA 2.0 unterstützen.

Wer sich den heise-Artikel durchliest, fühlt sich im Kabinett der Grausamkeiten – und ich bin überzeugt, dass wir mit der Einführung von ePA 2.0 und Folgeversionen noch sehr viel Spaß der negativen Art bekommen. Bald dürften sich die ersten Sicherheitsvorfälle in diesem Bereich ereignen. Und bei Ausfall der Telematik-Infrastruktur (TI) sieht es mit dem Zugriff auf die elektronische Patientenakte mau aus. Dass die Telematik-Infrastruktur (TI) von Schwachstellen wie log4j betroffen war, ist da nur noch eine nette Fußnote. Schöne neue Digitalisierungswelt.

Cyberangriff auf Bitmark

Als kleine Ergänzung, weil es so schön in den Artikel passt. Der IT-Dienstleister für Krankenkassen, Bitmark, wurde inzwischen Opfer eines Ransomware-Angriffs (siehe den Artikel Cyberangriffe auf Krankenkassen-IT-Dienstleister Bitmarck, Klinikum Hochsauerland GmbH).

In Folge dieses Angriffs konnten keine eAUs (elektronischen Arbeitsunfähigkeitsbescheinigungen) mehr ausgestellt werden. Und mehr als 80 Krankenkassen, die an Bitmark angeschlossen waren, lagen "IT-mäßig" ziemlich auf dem Kreuz – da ging teilweise nichts mehr. Mittlerweile wurde im Nachgang auch bekannt, dass durch den Ransomware-Angriff Patientendaten abgegriffen wurden. Wenn Anbieter wie Bitmark schon keine IT-Sicherheit hinbekommen, obwohl die breite Infrastruktur der Ärzte noch nicht angeschlossen ist, wie soll das mit der elektronischen Patientenakte funktionieren, wo hunderttausende Teilnehmer Dokumente in riskanten Dokumentformaten einspeisen dürfen.

Ähnliche Artikel:
Elektronische Patientenakte: Bär will Datenschutz schleifen
Digitalisierung im Gesundheitswesen: Ärzteverbände fordern einjähriges Moratorium
Gesundheitswesens: Einrichtungen Hauptziel von Ransomware-Angriffen
Autsch: Der CovPass-Ansatz zum digitalen COVID-19-Impfnachweis wird fünfmal teurer als geplant


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?

  1. Paul sagt:

    Warum wurde hier denn nicht die überaus "erfolgreichen" Modelle von De-mail und z. B. Bea übernommen, einfach alles -"nur ganz kurz" bei ein und Ausgang auszupacken und auf Viren zu scannen? Mit einem HSM. So ähnlich wie fie Sina-Box?
    Wäre auch für Kripo und Co. sehr praktisch wenn sie einen Tatverdachtigen suchen.

    Gier frisst Hirn.
    Selten solch hohlen, ovr AAhnungslosigkeit strotzen fenlärungen gehört.
    Als ob schon jemals ein Angriff nicht über mehrere Ecken gelaufen wäre. Als ob ein Betrügern seine eigenen Daten angeben würde.
    Was machen die eigentlich beruflich?

  2. Paul sagt:

    Bei manchen Arztbriefen gibt es Teile die der Patient niemals lesen darf (x. B. Infos über 3., vgl. Missbrauch)
    Wie soll das beim EPA gemacht werden?

    Was soll das Gequatsche von. ZIP?
    Wenn irgendwelchen Code auf einem fremden Rechner ausführen lassen kann, kann damit auch rekursive Zips erzeugen oder gigabyte an random.
    Das ist doch reine Laienwissen das mit der Zip Bombe…

    Bitte sag einer das ich nur in einem Alptraum gefangen bin, dad alles nut Theater ist.

  3. Paul sagt:

    Meine Texte wurden unter aktiver Mithilfe von MS-smart key auf dem Handy erstellt und lassen sich nicht nacheditieren. Sorry für die extrem Gipptehler.

  4. Herr IngoW sagt:

    Die TK-App funktioniert nur teilweise, TK-Safe geht schon mal gar nicht, kommt eine Fehlermeldung (unerwarteter Fehler).
    Ansonsten ist die App nicht wirklich Aktuell, die letzten Daten zB. von Medikamenten sind über ein halbes Jahr alt (letzte Verschreibung Anfang Dezember).
    Die App ist für Arztbesuche nicht zu gebrauchen da auch manche Daten zu Medikamenten und Diagnosen nicht stimmen.

  5. Klaus451f sagt:

    Wir lehnen die Telematik-Infrastruktur aus Datenschutzgründen seit Beginn an ab und zahlen dafür 2,5 % vom Honorar. Wenn die Pflicht zur ePA (und auch E-Rezept und eAU) durchgesetzt wird, ist Schluß mit Behandlung von Kassenpatienten.
    Wahrscheinlich haben wir genug Arztpraxen in Deutschland.
    Die EPA ist für den Arzt sowieso wertlos, weil ja der Patient bestimmt, was er sehen darf. Der Arzt ist aber auf vollständige Informationen angewiesen.
    Aus opt-in soll übrigens opt-out werden (so wie schon in Frankreich), d.h. jeder bekommt eine Akte und muss diese ggfs. abwählen.
    Und wer als Patient kein Smartphone hat, ist sowieso erschossen und kann die Akte nicht verwalten.

    • chris sagt:

      Die EPA gibt es nicht auf PC sondern nur für absolut unsichere Handys.
      Solange Gockel und Apfel die Finger da drauf haben ist das Handy eine einzige Datenschleuder. Die Klaut Speicherung macht das nicht besser, obwohl DSS bei der TK in Ordnung zu sein scheint.
      Ich habe die EPA App zwar drauf werde da aber nichts draufladen und keinen Arzt freigeben.
      Die Datenübermittlung der Krankenkasse hat übrogens 6-9 Monate Verzögerung. Damit unbrauchbar.
      Irgendwie fehlt hier der Wille etwas vernünftig zu machen. Schade eigentlich.

  6. Paul sagt:

    Ich darf auf kaum einen Cloud Speicher verschlüsselte Daten ablegen.
    Bei der ePA darf ich das.
    Könnte ich, Terrorist, meine Bombenbauanleitung einfach in dem ePA eines geknackten Patienten oder besser eines Arztes rechnet speichern?
    Ich kann ja unterschreiben wer die Dateien darf lesen darf….

  7. Kein Hacker sagt:

    Das RTF-Format ist uralt und heute eigentlich nur bei Hackern beliebt. Es ist möglich ausführbaren Code einzubetten.

    Wer so etwas zulässt, sollte in eine IT-freie-Zone eingeiefert werden.

  8. Robert sagt:

    Wenn ich schon wieder 'APP' lese, muss ich mich 3x hintereinander übergeben.
    Smartphones sind per se UNSICHER!! Man soll keine wichtigen Daten über Smartphones laufen lassen.

  9. Ch.Re. sagt:

    Bin kein Experte im medizinischen Bereich, aber irgendwie vermisse ich das DICOM Format.

    PDF/A würde ich auch noch als akzeptabel ansehen, da es strenger ist. Wobei PDF/a3 schon wieder viel weitere Dateiformate als Anlagen zulässt.

  10. Niels sagt:

    [Zitat]Darüber hinaus ist es eine gute Idee, ePA-Daten sowie Mail-Anhänge in einer virtuellen Maschine zu öffnen, die eine Ausbreitung von möglichem Schadcode zumindest deutlich erschwert.[/Zitat]

    Chapeau! In einer Arztpraxis. Selten so gelacht. Das nächste Bier geht auf mich. Ach die meinen das ernst…

    • Günter Born sagt:

      Genau darum habe ich dieses Zitat in den Artikel kopiert – zeigt, wie weltfremd der ganze Ansatz ist.

      • Paul sagt:

        Die Idee mit der Virtuellen Maschine ist theoretischb nicht so schlecht, da viele Malware Debuggersperren und VM-Erkennung haben und ggd. ihr Vorgehen ändern / ganz einstellen, weil sie sich ja nicht beobachten lassen wollen

        Aber wie sollen Updates so sichergestellt werden?
        Wie bekommt man die Daten rein und raus?
        Wie viele OS Lizenzen braucht man?
        Warum liefert Gematik nicht gleich solche VMs?
        Angst vor der Haftung?
        Wo ist der Nutzen? Ausser das Gematik sich mal wieder die Taschen mit Geld vollstopft?

        • Singlethreaded sagt:

          Für eine normale, kleine Praxis (kein Ärztezentrum) ist das einfach nicht zu machen. Es ist völlig unrealistisch anzunehmen, dass die medizinischen Fachangestellten oder der Arzt vor der Übernahme von Dokumenten erstmal einen Hypervisor lädt und jede Datei in einer VM auf schädliche Wirkungen untersucht.

          Es bleibt auch die Frage: Was nutzt einem die Datei in der VM? Am Ende muss die Datei irgendwie in das Praxis-System auf der produktiven Ebene. Verhält sich die Datei in der VM harmlos, dann muss das nicht für das Produktivsystem gelten. Eine VM kann einen auch schnell in falscher Sicherheit wiegen.

          Vermutlich erfolgt der sichere Austausch zwischen VM und Produktivsystem seitenweise per manuellem Screenshot ;-)

          Gruß Singlethreaded

          • Zocker sagt:

            "Es ist völlig unrealistisch anzunehmen, dass die medizinischen Fachangestellten oder der Arzt vor der Übernahme von Dokumenten erstmal einen Hypervisor lädt und jede Datei in einer VM auf schädliche Wirkungen untersucht."

            Dieser Prozess müsste weitestgehend automatisch ablaufen. Das umzusetzen dürfte es hapern.

  11. Micha sagt:

    Ein Smartphone habe ich nicht. Ich werde mir für die ePA 2.0 auch keines kaufen.

    Die ePA2.0 muss doch von jedem aktuellen Betriebssystem aus verwaltet werden können. Browserbasiert würde diesen Ansatz schon erfüllen.

    Eine Sperre für veraltete oder nicht aktualisierte Betriebssystemversionen wäre wünschenswert. Auch wenn es böse klingt. Smartphones ohne aktuelle Sicherheitspatch-Ebene sollten auch darunter fallen.

    • Zocker sagt:

      Damit würde bei Android fast alles außer den Pixelmodellen rausfallen, weil die paar Telefone, die Sicherheitsupdates bekommen, diese normalerweise zeitverzögert bekommen.

      Beim Browser könnte man eine Sperre höchstwahrscheinlich problemlos aushebeln. Da muss man nur den Useragent abändern.
      Beim PC sollte man eher vom Browser wegkommen und ein Programm als Alternative anbieten. Dürfte sicherer sein als per Browser.

      Egal was man für Maßnahmen ergreift, es wird nur eine Frage der Zeit sein, bis Daten auf dem Schwarzmarkt landen.

      • Micha sagt:

        Habe dabei an das Android One Telefon meiner Großeltern gedacht. Das hat über 3 Jahre jeden Monat am Monatsanfang die aktuelle Sicherheitspatch-Ebene als Update Installiert. Mittlerweile gibt es aber keine mehr da das Gerät über 3 Jahre alt ist.

        Das lief so ab wie die Windowsupdates am zweiten Dienstag im Monat bei Microsoft. Nach der Installation musste man das Telefon nur noch neu starten.

        • Zocker sagt:

          Android One ist aber eine absolute Nische. Und 3 Jahre sind halt nichts mehr heutzutage. Gerade mal bei Geizhals nachgeschaut: von knapp 2500 Modellen sind 68 mit Android One. Und davon wiederum 59 von Nokia.

      • chw9999 sagt:

        > Beim PC sollte man eher vom Browser wegkommen und ein Programm als Alternative anbieten. Dürfte sicherer sein als per Browser.<

        Na, das mag ich bezweifeln. Ein Programm unter Windoof vs. ein Browser unter Linux.
        Klar, wenn man die Mehrheit der PC-Nutzer zählt, dann werden das Windows-Nutzer sein. Aber die Mehrheit der Nutzer insgesamt werden nur per Handy zugreifen wollen. PCs sind doch nur zu Spielen (Hey, die Sprüche der 80er und 90er werden wieder aktuell!)…
        Außerdem: Jede Wette, dass das "Windows-Programm" auch nur ein Wrapper um eine Webseite wäre ;) Vielleicht wäre das ja nicht mal das Schlimmste :)

        Aber ich vermute, die Diskussion geht in die falsche Richtung: Sicherheit bei User? Das interessiert doch keinen, nicht mal "die User" selber. Sicherheit muss beim Betreiber stattfinden! Wenn da alle Daten auf einmal auf Reisen in unbekannte Gefilde gehen (nebst Verschlüsselung der Infrastruktur), dann steht erst mal alles.

  12. Kalle sagt:

    Schöne Digitalisierung. Für alle mehr Aufwand, mehr Kosten, mehr Unsicherheit, Systemgefährdung etc, blahblah. Das übersteigt der mögliche Nutzen kaum die Nachteile. Dann bitte doch lieber eine Vorgabe, dass alle Ärzte mir meine Patientenakte ausdrucken und mitgeben müssen – ordentlich formatiert. Also wenn's tatsächlich um _den_ Spaß ging.
    So schön es vielleicht wäre ein System zu haben, dass Transparenz in "anonyme" (pfft) Krankheitsverläufe und Behandlungen bringt – das scheint ohne die völlige Aufgabe aller anderen notwendigen Einschränkungen nicht möglich zu sein. Dafür leben wir nicht in der richtigen Welt, in der wir sowas ohne maximalen und dauerhaften Schaden überständen. Dann lieber feststellen, dass das der falsche Ansatz ist und einstampfen.

  13. Paul sagt:

    Die Sache mit der VM bedeutet,
    das man für jeden Patienten eine VM hat.
    In der können seine Vielen wüten…
    Bei jedem Patienten würde eine neue Readonly VM starten. Die Daten könne man sie ja in der VM ansehen oder per USB auf seinen Daten Speicher über tragen.
    Ich hoffe es wird noch klarer was für ein zynischer Marketing Unsinn da gelabert und implementiert wurde.Wo ist eigentlich Smudo? Der würde da ja genau passen…und es geht um Milliarden.

    Die Systeme würde von Fachanbietern angeboten.Die Praxis würde davon Nichts merken. Ausser den ⁵
    5% vom Umsatz, jeden Monat…

  14. DWE sagt:

    Wenn die Daten an vorgelagerter Stelle geprüft werden, ist das eh kein E2E mehr.
    Dann kann man doch auch gleich über eine vernünftige Gateway-Security nachdenken, anstelle sich auf aushebelbare lokale Sicherheitsmechanismen verlassen zu müssen.

Schreibe einen Kommentar zu Ch.Re. Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.