Sicherheitsexperten haben auf dem 38. Chaos Communication Congress (38C3) gravierende Sicherheitslücken in der elektronischen Patientenakte (ePA) 3.0 nachgewiesen[1]. Das berichtet das Fachmagazin Heiße Online.
Die Forscher Martin Tschirsich und Bianca Kastl zeigten, dass der Zugriff auf bis zu 70 Millionen Patientenakten durch mehrere Schwachstellen möglich ist[1].
Besonders kritisch ist die unkontrollierte Ausgabe von Gesundheitskarten. In nur 10 bis 20 Minuten konnten die Experten durch simple Telefonanrufe bei Krankenkassen elektronische Gesundheitskarten auf fremde Namen bestellen[1]. Da die neue Version der ePA keine PIN mehr für den Zugang in der Praxis erfordert, reicht der physische Besitz einer solchen Karte für den Zugriff[1].
Die Sicherheitsforscher konnten zudem durch SQL-Injection-Angriffe und gefälschten IT-Support Zugang zu den Systemen erlangen. Ein einziger kompromittierter Praxiszugang ermöglicht dabei den Zugriff auf bis zu 1.500 Patientenakten[1].
Die Experten fordern nun eine unabhängige Bewertung der Sicherheitsrisiken und eine transparentere Kommunikation gegenüber den Versicherten[1].
Quellen:
[1] 38C3-Weitere-Sicherheitsmaengel-in-elektronischer-Patientenakte-fuer-alle-10220617.html https://www.heise.de/news/38C3-Weitere-Sicherheitsmaengel-in-elektronischer-Patientenakte-fuer-alle-10220617.html
