· 

ePA für alle: Chaos Computer Club berichtet von erfolgreichen Hacks der "ePA für alle"

  • Im Umfeld des Kongresses des CCC, Ende Dezember 2024, veröffentlichte der Chaos Computer Club (größte europäische Hackervereinigung) Informationen zu erfolgreichen Hacks der „ePA für alle“: CCC | CCC fordert Ende der ePA-Experimente am lebenden Bürger
  • Dem CCC ist es gelungen, mittels am Graumarkt erhältlicher SMC-Bs ohne Vorliegen der eGK der Versicherten Zugriffe auf ePAs herzustellen
  • Der CCC hat gematik und BMG vorab informiert und ihnen weitergehende Informationen bereitgestellt.
  • Das BMG hat beschlossen, die Modellregionen (inkl. der zusätzlichen Tests in NRW) dennoch zu starten, die Tests in diesen Regionen jedoch technisch auf die offiziell akkreditierten Einrichtungen zu begrenzen 
  • Der Zugang zu den ePA-Diensten wird somit nur mit der TI-Identität dieser Einrichtungen möglich sein; Zugriffsversuche aller anderen Einrichtungen werden technisch ausgeschlossen
  • Parallel dazu entsteht derzeit eine Konzeption, wie die illegalen Zugriffe technisch verhindert werden können. 
  • Die gematik weist in einer Stellungnahme an Januar auf folgendes hin: Vor dem bundesweiten Rollout werden weitere technische Lösungen umgesetzt und abgeschlossen sein. Die zusätzlichen Sicherungsmaßnahmen sind bereits in Erarbeitung und haben folgenden Fokus: Verhinderung, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können
  • Schließung der Sicherheitslücke durch eine zusätzliche Verschlüsselung der Krankenversichertennummer
  • Sensibilisierung der Nutzerinnen und Nutzer der Telematikinfrastruktur im Umgang und Schutz der technischen Infrastruktur, Ausweisen und Karten
  • Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung

 

  • Grundsätzlich gilt weiterhin: Die ePA für alle wurde und wird mit höchsten und modernsten Sicherheitsstandards gebaut, welche die gematik zusammen mit den obersten Sicherheits- und Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickelt und abstimmt.
  • Zusätzlich schützt ein mehrstufiges Sicherheitskonzept die Telematikinfrastruktur (TI). Außerdem wird die Sicherheit der TI und aller Anwendungen fortlaufend geprüft - in enger Abstimmung mit den zuständigen Behörden und externen Expertinnen und Experten