News

Artikel merken

Elektronische Patientenakte: Infrastruktur hat Sicherheitslücken

Die elektronische Patientenakte soll im Januar starten. Aber die Infrastruktur in den Praxen, die mit Krankenhäusern und Apotheken vernetzt werden sollen, hat offenbar Sicherheitslücken.

1 Min. Lesezeit
Patientendaten sollen ab 2021 digital übertragen werden. (Foto: TippaPatt/ Shutterstock)

Im Januar startet die Testphase für die elektronische Patientenakte. Eine Recherche von BR und NDR hat jetzt ergeben, dass die zugrundeliegende Infrastruktur aber noch gravierende Sicherheitslücken aufweist.

Gegenüber der Ärzte Zeitung hat Christoph Saatjohann von der Fachhochschule Münster richtiggestellt, dass nicht die Konnektoren dafür verantwortlich sind, sondern fehlerhafte Internet-Anschlüsse der Praxen. Sie seien nicht gut genug abgesichert.

Patientendaten mit „trivialen Methoden“ abrufbar

Arztpraxen, Krankenhäuser und Apotheken werden über TI-Konnektoren an das System angeschlossen. Laut BR und NDR konnten Sicherheitsexperten die Konnektoren teils mit „trivialen Methoden“ offen über das Internet erreichen.

„Auch für nicht versierte Benutzer wäre es möglich gewesen, solche Konnektoren im Internet ausfindig zu machen“, so Saatjohann. Die Verantwortung sieht er bei den Arztpraxen. Sie müssten einen sicheren IT-Betrieb inklusive richtig konfiguriertem Internetzugang einrichten.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

30 Patientenakten frei zugänglich

In 200 Fällen waren die Konnektoren offen über das Internet erreichbar, in 30 Fällen hätten wegen fehlenden Passwortschutzes Patientendaten eingesehen werden können.

„Wir könnten Arztbriefe sehen, Diagnosebefunde, Röntgenbilder, quasi alle Daten, die dort in dieser elektronischen Patientenakte gespeichert sind“, so Saatjohann gegenüber BR und NDR.

Gematik weiß seit Monaten von Schwachstellen

Die Gematik teilte mit, von den Sicherheitsexperten bereits im Juli auf das Problem aufmerksam gemacht worden zu sein. Der Bundesdatenschutzbeauftragte hatte auch bereits Bedenken geäußert. Nach Informationen von NDR und BR waren die Konnektoren im Dezember aber immer noch erreichbar. Das Bundesgesundheitsministerium gab an, die elektronische Patientenakte planmäßig starten zu wollen.

Bei der Onlinekonferenz des Chaos Computer Clubs wollen die Forschenden ihre Ergebnisse vorstellen.

Hinweis:
Im Originalbericht über die Recherche von NDR und BR war von Sicherheitslücken bei den TI-Konnektoren die Rede. Per Twitter hat Christoph Saatjohann dem widersprochen. Gegenüber der Ärztezeitung erläuterte er, dass nicht die Konnektoren, sondern die IT-Infrastruktur in den Praxen für die Sicherheitslücke verantwortlich sind. Wir haben den Artikel dementsprechend korrigiert.

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Ein Kommentar
Uwe Doetzkies
Uwe Doetzkies

Ich halte den Bericht für nichtssagend. Was bedeutet „Konnektoren waren offen erreichbar“? Dass man sie anpingen kann? Oder dass man ihre internen Log-Dateien lesen kann? Oder sich gar ihnen gegenüber als (Un-) Berechtigter ausweisen kann, die TI-Infrastruktur zu betreten?
Ich denke, mehr als ersteres war nicht der Fall. Und dort, wo man Daten abgreifen konnte, lag es nicht an der Technik, sondern an den Nutzerinnen, die einfachste Sicherheitsaspekte ignorierten, wenn der Durchgriff möglich war.
Natürlich – das ist Usability und verbessert sich immer mehr. Möglich, dass die gematik eines Tages beschließt, dass zur Legitimation unbedingt ein elektronischer Personalausweis mit entsprechendem Fingerabdruckreader eingesetzt werden muss. Wünschenswert wäre das. – Nur einmal ist das für heute noch unrealistisch, weil die Technik das zwar theoretisch, aber noch nicht im Alltag hergibt, und zum zweiten wird es dann rechtzeitig genug Angriffsszenarien geben, auch diesen Legitimationsweg zu hacken.
Ein Satz wie „In 200 Fällen waren die Konnektoren offen über das Internet erreichbar“ relativiert sich schon dadurch, wenn man weiß, dass eine Handvoll Hersteller bisher jeweils zehntausende Konnektoren in Betrieb haben und auf dem aktuellen Stand halten.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder