"Die elektronische Patientenakte startet trotz Sicherheitslücke in Teilen Deutschlands. Dokumente, die ZEIT ONLINE vorliegen, zeigen: Das Problem war schon länger bekannt. (…)

Die ePA läuft innerhalb eines geschlossenen Systems, der sogenannten Telematikinfrastruktur. In Arztpraxen und Krankenhäusern müssen Patienten ihre elektronische Gesundheitskarte in ein spezielles Lesegerät stecken, um der Praxis die Erlaubnis zu erteilen, auf die eigene ePA zugreifen zu dürfen. Dabei wird die Versichertennummer der jeweiligen Person ausgelesen und an einen Server geschickt. Allerdings – und das ist das Problem – wird sie dabei nicht verschlüsselt.

Ein Angreifer kann also beliebige Nummern an den zentralen Server schicken und bekommt die entsprechenden Akten zurück. Allerdings funktioniert das nur, wenn man bereits Zugriff auf die Telematikinfrastruktur hat. Dafür müssten sich Angreifer zum Beispiel eines der Terminals besorgen, die in Arztpraxen stehen, und eine spezielle Chipkarte, mit der sich eine Arztpraxis in der Telematikinfrastruktur anmeldet. (…)

Versichertenkarten und Arztausweise lassen sich einfach besorgen

Tatsächlich haben Tschirsich, Kastl und andere Fachleute in den vergangenen Jahren immer wieder öffentlich gezeigt, wie einfach man an Praxisausweise, Versichertenkarten und auch die benötigten sogenannten Konnektoren (also die Schnittstellen zur Telematikinfrastruktur) kommen kann. Mitunter genügte es, einer Versicherung eine E-Mail im Namen eines Versicherten zu schreiben, dass sich die eigene Adresse geändert habe, um eine Versichertenkarte an diese Adresse zugeschickt zu bekommen. Ähnlich funktionierte es mit Arztausweisen.

Gematik ignoriert Warnungen seit 2022 (…) "