Die gematik dankt den Sicherheitsforscher:innen des Chaos Computer Clubs (CCC) für die Hinweise zur Sicherheit der neuen elektronischen Patientenakte (ePA für alle) und nimmt diese entsprechend ernst. Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen. Dazu zählen zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation. Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.

Die gematik steht im intensiven Austausch mit den zuständigen Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), hat bereits technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert und ist mit deren Umsetzung gestartet.

Für die ab 15. Januar startende Pilotphase bedeutet dies, dass zunächst nur die in der Modellregion teilnehmenden Leistungserbringer auf die ePA der Versicherten zugreifen können. Die elektronischen Patientenakten aller Versicherten bundesweit sind somit gut geschützt.

Vor dem bundesweiten Rollout werden weitere technische Lösungen umgesetzt und abgeschlossen sein. Die zusätzlichen Sicherungsmaßnahmen sind bereits in Erarbeitung und haben folgenden Fokus:

• Verhinderung, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können.
• Schließung der Sicherheitslücke durch eine zusätzliche Verschlüsselung der Krankenversichertennummer.
• Sensibilisierung der Nutzerinnen und Nutzer der Telematikinfrastruktur im Umgang und Schutz der technischen Infrastruktur, Ausweisen und Karten.
• Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung.

Grundsätzlich gilt weiterhin: Die ePA für alle wurde und wird mit höchsten und modernsten Sicherheitsstandards gebaut, welche die gematik zusammen mit den obersten Sicherheits- und Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickelt und abstimmt. Zusätzlich schützt ein mehrstufiges Sicherheitskonzept die Telematikinfrastruktur (TI). Außerdem wird die Sicherheit der TI und aller Anwendungen fortlaufend geprüft - in enger Abstimmung mit den zuständigen Behörden und externen Expert:innen.