Auch die für den offiziellen Start der elektronischen Patientenakte (ePA) in dieser Woche neu hinzugefügten Sicherheitsmaßnahmen sollen einem Bericht zufolge unzureichend sein. Dem „Spiegel“ zufolge hat der Chaos Computer Club (CCC) eine zentrale neue Schutzvorkehrung überwunden und die Behörden darüber informiert. Die Betreiber reagierten demnach am Mittwochnachmittag mit einer sofortigen Notfallmaßnahme auf den Hinweis. Die weitere ePA-Sicherheitslücke sei damit vorerst geschlossen.
Bereits Ende des vergangenen Jahres hatten die IT-Sicherheitsexperten eine Reihe von Schwachstellen im System der ePA publik gemacht. Die Gematik als Betreiber musste einräumen, dass die Angriffsszenarien „technisch möglich“ seien, wenn auch in der Realität „wenig wahrscheinlich“. Der Start der ePA wurde daraufhin auf Dienstag dieser Woche verschoben. Bundesgesundheitsminister Karl Lauterbach hatte damals dazu mitgeteilt: „Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind.“
Um den Zugriff von Unbefugten auf elektronische Patientenakten zu erschweren, wurde daraufhin unter anderem die zusätzliche Abfrage eines Prüfwertes eingeführt, der sich aus dem Datum des Versicherungsbeginns und der Straße und Hausnummer der Wohnanschrift des Versicherten zusammensetzt.
Die Hacker demonstrierten dem „Spiegel“ nun, dass sie diese Daten unter bestimmten Voraussetzungen automatisiert abfragen können, im System der sogenannten elektronischen Ersatzbescheinigung. Es wird normalerweise dazu genutzt, um Patienten, die ihre Gesundheitskarte vergessen haben, trotzdem abrechnen zu können. Mit den abgefragten Daten lässt sich dem Bericht zufolge der Prüfwert berechnen, das Verfahren dazu ist öffentlich dokumentiert.
Die Gematik reagierte nach „Spiegel“-Informationen mit einer „Sofortmaßnahme“: Das Verfahren wurde demnach „vorerst ausgesetzt“. Die elektronische Ersatzbescheinigung steht damit vorerst nicht mehr zur Verfügung. Es gebe „bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat“, hieß es bei der Gematik.