Die Gematik hat das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) beauftragt, die Sicherheitsanforderungen der neuen elektronischen Patientenakte (ePA) für alle zu prüfen. Die Gutachter weisen dabei auch auf potenzielle Risiken durch die mangelnde Sicherheit von Praxissystemen hin.

Insgesamt identifiziert der Abschlussbericht 21 potenzielle Schwachstellen im ePA-Konzept der Gematik, von denen vier als hoch, sechs als mittel und elf als gering eingestuft wurden.

Ein zentraler Punkt des Gutachtens ist die Sicherheit der Primärsysteme, die die Praxen nutzen, um auf die ePA zuzugreifen. Kritisch sehen es die Gutachten, dass es keine verpflichtenden Sicherheitsanforderungen für die Entwicklung dieser Systeme gebe. Dies könne dazu führen, dass Schwachstellen entstehen, die von Angreifern ausgenutzt werden könnten. Wörtlich heißt es dazu im Gutachten: „Die umfangreichen Zugriffsberechtigungen der Leistungserbringer, die prinzipiell Zugriff auf Akten erhalten können, solange kein Widerspruch des Betroffenen vorliegt (opt-out), stellen eine Herausforderung für das Gesamtsystem dar.“

Wenn ein Primärsystem unsicher ist, besteht das Risiko eines Datenverlustes oder unberechtigter Zugriffe, selbst wenn der Patient nie in dieser Praxis behandelt wurden.

Die Ärzte sollten nur aus einer vorgelagerten DMZ Anwendung und nicht aus dem Praxissystem auf die ePA zugreifen.

CROSSSOFT empfiehlt diese Anforderung über einen vorgeschalteten INFINITYQ MATRIX SERVER zu erfüllen

Vgl. auch SaaS-Lösungen für die TI3.0:

Bildquelle: CROSSSOFT

Sicherheitsanalyse des Gesamtsystems ePA

Hier finden Sie den Abschlussbericht des Gutachtens:

Konnektorenlösungen

2025 werden die Konnektoren durch Softwarelösungen ersetzt. Wir haben für Sie frühzeitig Alternativen getestet und bieten folgende Lösungen an: