Die elektronische Patientenakte (ePA) ist nicht sicher. Das hatte der Chaos Computer Club (CCC) im Dezember gezeigt. Mit wenig Aufwand konnten gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschafft und so auf Gesundheitsdaten zugegriffen werden. Dass die vom CCC aufgedeckten Sicherheitslücken tatsächlich ausgenutzt werden könnten, stuft die Gematik zwar als unwahrscheinlich ein. Dennoch soll ein Maßnahmenpaket die Sicherheitslücken schließen – auch Apotheken sind gefragt.
In Absprache mit den Gesellschaftern wurde ein Maßnahmenpaket, das technische und organisatorische Aspekte umfasst, beschlossen. Die technische Umsetzung liegt bei der Gematik, die organisatorischen Maßnahmen müssen dezentral von verschiedenen Parteien im Gesundheitssystem – auch von Apotheken – umgesetzt werden.
Keine Weitergabe von Hardware: Hardware wie beispielsweise Konnektor oder Kartenterminal, die für den Zugang zur TI benötigt wird, darf weder weitergegeben noch verkauft werden. Dies gilt vor allem für die SMC-B und die dazugehörige PIN.
Kontrolle von IT-Dienstleistern vor Ort: Gesundheitseinrichtungen müssen sicherstellen, dass Dienstleister vor Ort keinen unbefugten Zugriff auf die TI erhalten. So sollen nur vertrauenswürdige Personen unter Beaufsichtigung an den Systemen arbeiten. Zudem bestehe die Verpflichtung, dass nur dafür zugelassenen Personen der Zugang zur TI gewährt werden soll.
Updates: Alle Systeme mit TI-Zugriff müssen auf dem aktuellen Stand gehalten werden, um Sicherheitsrisiken durch veraltete Software zu minimieren.
Die Umsetzung der Maßnahmen ist laut Gematik essenziell für die Sicherheit der ePA und das Vertrauen in das System. Gesundheitseinrichtungen und IT-Dienstleister sind aufgefordert, die Vorgaben sorgfältig zu prüfen und umzusetzen.
APOTHEKE ADHOC Debatte