Ein Stethoskop liegt neben einem Handy und einer Tastatur.
Exklusiv

Vor Start der e-Patientenakte IT-Sicherheitslücken in Praxen

Stand: 15.06.2022 19:29 Uhr

Im Januar startet die elektronische Patientenakte. Arztpraxen, Krankenhäuser und Apotheken werden dann über die Telematik-Infrastruktur miteinander vernetzt. Doch nach Recherchen von BR und NDR gibt es dabei gravierende Sicherheitslücken.

Welche Blutwerte hat die Patientin? Welche Medikamente nimmt sie? Wie sind frühere Behandlungen verlaufen? Informationen wie diese können ab dem neuen Jahr digital übermittelt werden. Ab 2021 haben gesetzlich Versicherte ein Anrecht auf die elektronische Patientenakte (ePA) - ihre Einführung beginnt mit einer Testphase ab Januar. Die Vernetzung des Gesundheitswesens ist eines der größten Digitalisierungsprojekte der laufenden Legislaturperiode, stark vorangetrieben durch Gesundheitsminister Jens Spahn.

Für die ePA wurde in den vergangenen Jahren ein Gesundheitsdatennetzwerk aufgebaut - die sogenannte Telematik-Infrastruktur, die Arztpraxen, Apotheken, Krankenhäuser und bald auch Pflegeheime vernetzt. Für den Anschluss an das gesicherte Netz braucht es sogenannte TI-Konnektoren, kleine Geräte, vergleichbar mit einem Internetrouter.

Die Infrastruktur gilt als besonders sicher - das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einem "angemessen hohen Schutzniveau". Doch der Konnektor kann zur Schwachstelle werden - mit fatalen Folgen.

Sicherheitslücken beim Anschluss

IT-Sicherheitsexperten haben nach Informationen von BR und NDR gravierende Sicherheitslücken beim Anschluss der Konnektoren entdeckt, noch kurz vor Einführung der ePA. In etwa 200 Fällen waren Konnektoren offen über das Internet erreichbar, zu finden mit "trivialen Methoden", wie Christoph Saatjohann von der Fachhochschule Münster erklärt: "Auch für nicht versierte Benutzer wäre es möglich gewesen, solche Konnektoren im Internet ausfindig zu machen."

In etwa 30 Fällen hätten Hacker der Telematik-Infrastruktur sogar vortäuschen können, eine Arztpraxis zu sein, und damit Zugriff auf alle Patientenakten der Praxis bekommen, ohne Passwortschutz. "Wir könnten Arztbriefe sehen, Diagnosebefunde, Röntgenbilder, quasi alle Daten, die dort in dieser ePA gespeichert sind, was ja im Zweifelsfall eine komplette Historie der Krankheitsgeschichte der Patienten darstellt", sagt Saatjohann.

Die IT-Sicherheitsexperten haben ihre Ergebnisse mit Journalisten von BR und NDR geteilt, die die beschriebenen Sicherheitslücken Anfang Dezember technisch nachvollzogen haben. Darüber hinaus werden die Experten ihre Ergebnisse auf einer Online-Konferenz des Chaos Computers Clubs im Dezember präsentieren, der "remote Chaos Experience". Betroffen wären potentiell Tausende Patienten.

Gematik warnt vor fehlerhaftem Betrieb

Die für die Telematik-Infrastruktur zuständige Betreibergesellschaft Gematik teilt auf Anfrage mit, man sei im Juli von den IT-Sicherheitsexperten auf fehlerhaft angeschlossene Konnektoren hingewiesen worden. Man habe die Ergebnisse "sehr ernst genommen und unverzüglich Kontakt zu den beteiligten IT-Dienstleistern aufgenommen".

In einer E-Mail an die Hersteller der Konnektoren, die dem Reporterteam vorliegt, wies die Gematik vor wenigen Wochen "nochmals eindrücklich" auf die Schwachstelle hin. Bei einem fehlerhaften Anschluss sei der Zugriff auf die elektronische Patientenakte für einen Angreifer "mit geringem Aufwand" möglich. Nach Recherchen von BR und NDR waren bis Mitte Dezember allerdings immer noch einzelne Konnektoren offen im Internet erreichbar.

Das BSI erklärte auf Anfrage, Kliniken und Ärzte trügen "eine besondere Verantwortung" für ihre IT, da sie Patientendaten verarbeiten, die "zu den intimsten Daten gehören, die über einen Menschen erfasst werden können". Weiter heißt es: „"Die IT-Sicherheit in Arztpraxen sollte insgesamt erhöht werden." Ein Sprecher des Bundesgesundheitsministeriums teilte auf Anfrage mit, Minister Spahn unterstütze Bestrebungen, die Informationssicherheit weiter zu stärken.

IT-Sicherheitsrichtlinie kommt erst 2021

Eine Richtlinie der Kassenärztlichen Bundesvereinigungen soll IT-Sicherheitsanforderungen in Praxen verbindlich regeln und etwa dafür sorgen, dass nur zertifizierte Fachleute die Praxen an die Telematik-Infrastruktur anschließen. Das Problem: Die Richtlinie tritt frühestens im Januar in Kraft, in einigen zentralen Sicherheitsanforderungen wohl sogar erst ab 2022. Das geht aus einem internen Entwurf hervor, der BR und NDR vorliegt. Bislang scheiterte die Richtlinie am Widerstand der Kassenärztlichen Bundesvereinigung, die zusätzliche Kosten für Praxen fürchtete. Der Großteil der 168.000 Arztpraxen ist bereits an die Telematik-Infrastruktur angeschlossen.

Von Ärzteseite wird die bereits bestehende Elektronische Arztvernetzung als Alternative zur Telematik-Infrastruktur vorgeschlagen. Doch die IT-Sicherheitsexperten entdeckten auch hier gravierende Sicherheitslücken, die das BSI auf Anfrage als "kritisch" einstufte. "Was bei den Konnektoren als eine Art tickende Zeitbombe wahrgenommen wird, ist hier aktuell schon ausnutzbar", sagt IT-Sicherheitsexperte Martin Tschirsich. So war etwa der Zugriff auf Patientenlisten, Arztbriefe mit Diagnosen, Behandlungs- und Medikamentenpläne, Arbeitsunfähigkeitsbescheinigungen möglich.

Maria Klein-Schmeink, Grünen-Gesundheitsexpertin im Bundestag, beschäftigt sich seit Jahren mit der Telematik-Infrastruktur und fordert im Interview mit BR und NDR ein "Frühwarnsystem" für die Datensicherheit: "Wir brauchen regelhaft Mechanismen, die sicherstellen, dass man Sicherheitslücken sehr schnell entdecken und abstellen kann."

Das Bundesgesundheitsministerium teilte auf Anfrage mit, dass die Einführung der ePA "planmäßig" starten könne. Die Gematik werde in Zukunft regelmäßig eigene Sicherheitstests durchführen, um Fehlkonfigurationen frühzeitig zu erkennen.                                              

Dieses Thema im Programm: Über dieses Thema berichteten Deutschlandfunk am 18. November 2020 um 16:40 Uhr und MDR aktuell am 15. Dezember 2020 um 11:19 Uhr sowie die tagesschau um 14:00 Uhr.