Digitales Armageddon: APT bedroht die ePA
Die für den 15. Januar 2025 geplante Einführung der elektronischen Patientenakte (ePA) steht unter keinem guten Stern. Während das Bundesgesundheitsministerium (BMG) am ursprünglichen Zeitplan festhält, häufen sich die Bedenken von IT-Sicherheitsexperten und der Ärzteschaft. Nicht ohne Grund: Sogenannte Advanced Persistant Threat (APT) Angriffe und Fileless Attacks öffnen im Erfolgsfall die Tore zu rund 70 Millionen Patientendaten.
von Vlad Georgescu und Marita Vollborn
Schon der Chaos Computer Club (CCC) deckte auf seinem 38. Kongress gravierende Sicherheitsmängel im System auf. Die IT-Sicherheitsforscher demonstrierten, wie sie mit minimalem Aufwand an gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter gelangen konnten. Besonders pikant: Die neue Version der ePA verzichtet in Arztpraxen auf eine PIN-Eingabe, wodurch der bloße Besitz einer Karte für den Zugriff auf sensible Patientendaten ausreicht.
Eine noch schwerwiegendere Sicherheitslücke betrifft die Autorisierung beim Systemzugriff. Die Sicherheitsforscher zeigten, wie Mängel in der Spezifikation das Erstellen von Zugriffstokens für Akten beliebiger Versicherter ermöglichen – ohne dass eine Gesundheitskarte präsentiert werden muss. Dies könnte Kriminellen potenziell Zugriff auf mehr als 70 Millionen Patientenakten verschaffen.
Dabei ist das erst ein Risiko light. Hinter vorgehaltener Hand weisen nämlich ehemalige Angehörige der NATO-Cyberabwehr auf eine weitaus größere Gefahr hin – und die erblickte bereits 2019 das Licht der Welt. Denn einer Hackergruppe, die sich Fxmsp nannte, gelang es damals, ins Netz der amerikanischen IT-Cyberdefense Giganten einzudringen, wie das IT-Portal Bleepingcomputer berichtete. Damit gelangte unschätzbar wichtiger Quellcode, der auch hierzulande einen Großteil der kritischen Infrastrukturen schützte, in die Hände der gut betuchten organisierten Kriminalität.
Der damalige Fxmsp-Angriff ist für sich allein betrachtet ein Desaster, doch zur Kernschmelze der Cybersicherheit tragen seitdem mehrere Faktoren, und weitere aufgeflogene Cyberattacken bei.
So musste der deutsche Spezialist CITRIX zugeben, sechs Monate lang nicht den blassesten Schimmer davon gehabt zu haben, überhaupt angegriffen worden zu sein. Dass sich Angreifer ein halbes Jahr lang vollkommen unbemerkt im Firmennetzwerk bewegen, und ganz nebenbei personengebundene und Kundendaten absaugen konnten, zeigt vor allem eins: Die Republik steht in Sachen Cyberabwehr nicht erst seit der elektronischen Patientenakte vor einem digitalen Trümmerhaufen.
Schlimmer geht’s nimmer, möchte man meinen. Mitnichten. Auch Cyticomp, zu dessen Kunden Porsche und VW zählen, sah sich mit dem digitalen GAU konfrontiert – der deutsche IT-Spezialist musste einräumen, Kundendaten an die Angreifer verloren zu haben. Derartige Beispiele lassen sich bis 2025 durchgehend finden. Im BMG scheinen sie indes nie angekommen zu sein. Denn die ePA soll, so Bundesgesundheitsminister Karl-Lauterbach, bereits in wenigen Wochen gegen Hackerangriffe sicher sein.
Die Gematik jedenfalls, verantwortlich für die Umsetzung der ePA, reagierte nach der CCC Veröffentlichung mit einer Stellungnahme und kündigte technische Lösungen an. Für die Pilotphase soll der Zugriff zunächst auf teilnehmende Leistungserbringer in den Modellregionen beschränkt werden. Kritiker sehen darin jedoch nur eine temporäre Lösung, die die grundlegenden Sicherheitsprobleme nicht behebt.
Warum das so ist, liegt in der Natur eines APT-Angriffs selbst: Die eingeschleuste Malware kann über einen USB-Stick oder Email ins System eingeschleust werden – und bleibt dort mitunter sehr lange unerkannt. Dass die Server der Gematik sicher sind – kann sein. Dass aber die angeschlossenen Endpoints, die Rechner in den Tausenden Arztpraxen und Kliniken der Republik, ebenfalls gegen die schlichte Einführung eines Sticks durch Dritte geschützt bleiben, ist wenig wahrscheinlich.
Zudem erlauben sogenannte fileless attacks, bei denen keine Datei geöffnet werden muss, die Infektion des Endpoints. „Bei dateiloser Malware handelt es sich um eine Art von bösartiger Aktivität, bei der systemeigene, legitime Tools zur Ausführung eines Cyberangriffs verwendet werden“, heißt es dazu beim Cyberdefense-Spezialisten CrowdStrike, und: „Im Gegensatz zu herkömmlicher Malware, für die in der Regel eine Datei heruntergeladen und installiert werden muss, arbeitet dateilose Malware im Speicher oder manipuliert systemeigene Tools, wodurch sie schwerer zu erkennen und zu entfernen ist“
Kein Wunder also, dass sich die Ärzteschaft zunehmend skeptisch zeigt. Eine aktuelle Befragung des Iges-Instituts im Auftrag der Kassenärztlichen Bundesvereinigung offenbart erhebliche Vorbehalte. Ärzte befürchten nicht nur IT-Ausfälle, sondern auch einen erheblichen bürokratischen Mehraufwand. Hinzu kommt: Die fehlende Volltextsuche wird die Handhabung der ePA, besonders bei Patienten mit chronischen Erkrankungen und umfangreicher Dokumentation, deutlich erschweren.
Der fachübergreifende Ärzteverband MEDI kritisierte besonders die kurze Testphase von nur vier Wochen als „überambitioniert“. Dr. Norbert Smetak, Vorsitzender von MEDI Baden-Württemberg, warnte entsprechend: „Wir können uns gestörte Praxisabläufe in der aktuellen medizinischen Versorgungslage nicht leisten“.
Die Akzeptanz der ePA sinkt auch bei den Versicherten. Eine aktuelle Deloitte-Umfrage zeigt, dass nur noch 67 Prozent der Befragten der ePA nicht widersprechen würden – ein Rückgang um 5 Prozentpunkte gegenüber dem Vorjahr.
Während Bundesgesundheitsminister Karl Lauterbach die Sicherheit der ePA beteuert und von „enormen Vorteilen für den Patienten“ spricht, raten die Bundesärztekammer und der Berufsverband der Kinder- und Jugendärzte beim aktuellen Stand vom Einsatz der ePA ab. Die ungeklärten Rechtsfragen bei der Behandlung Minderjähriger und die Möglichkeiten der Einsichtnahme durch Sorgeberechtigte bereiten zusätzliche Bedenken.
Gibt es einen Ausweg? Für den Bevollmächtigten der DGKL, Jan Wolter, ist die Lage zwar ernst, aber prinzipiell lösbar: „Die Diskussion um die Sicherheit der ePA ist jedenfalls nicht neu. Dass hier noch eklatante Mängel bestehen, ist einerseits in hohem Maße ärgerlich, andererseits aber auch nicht wirklich überraschend. Gleichzeitig denke ich nicht, dass es in Deutschland an der nötigen Fachexpertise mangelt“.
Dass die jetzige Bundesregierung in der verbleibenden Zeit noch etwas stemmen kann, ist dennoch wenig wahrscheinlich. Auf die Frage, was das BMG unter einer neuen Bundesregierung tun sollte, hat Wolter eine klare Antwort:
„Machen! Wie gesagt, mangelt es in Deutschland ja nicht an Fachexpertise, man muss eben die richtigen Leute fragen.“
Weiterführende Informationen:
Elektronische Patientenakte (ePA) – Bundesärztekammer
Lesen Sie auch:
Cybersicherheit: Moderne Browser als Einfallstor für Hacker ausgemacht – MedLabPortal
Cyberangriffe auf das Gesundheitswesen bedrohen Leben der Patienten – MedLabPortal
Redaktion: X-Press Journalistenbüro GbR
Gender-Hinweis. Die in diesem Text verwendeten Personenbezeichnungen beziehen sich immer gleichermaßen auf weibliche, männliche und diverse Personen. Auf eine Doppel/Dreifachnennung und gegenderte Bezeichnungen wird zugunsten einer besseren Lesbarkeit verzichtet.