Angriff auf Bitmarck
Daten der E-Patientenakte besonders geschützt
Von: Annette Dönisch
Ein Cyberkrimineller stahl kürzlich Daten beim E-Patientenakten-Anbieter Bitmarck. Abgeflossen sind lediglich Unternehmensdaten. Doch wie sicher sind Gesundheitsdaten in solchen Akten?
Elektronische Patientenakte
Ein Cyberkrimineller griff kürzlich auf ein System des großen IT-Gesundheitsdienstleisters Bitmarck zu.
Bild: dpa
Berlin Ein Datendiebstahl beim IT-Gesundheitsdienstleister Bitmarck warf vergangene Woche eine Frage auf: Wie sicher sind die Daten der elektronischen Patientenakte (ePA)? Das Unternehmen stellt die ePA zusammen mit der Firma RISE für rund 80 gesetzliche Krankenkassen. Von den rund 600.000 Nutzern der ePA in Deutschland haben 80.000 eine Variante von Bitmarck/RISE.
Bitmarck meldete rasch, dass bei dem Angriff am 16. Januar lediglich Unternehmensdaten gestohlen wurden. Andreas Strausfeld, leitender Geschäftsführer bei Bitmarck, bestätigt dies noch einmal im Gespräch mit Handelsblatt Inside: „Die elektronische Patientenakte war nicht betroffen“, sagt er. „Die gestohlenen Daten stammen aus dem Kollaborationstool Jira, dass wir zur Projektarbeit mit unseren Kunden, den gesetzlichen Krankenkassen, nutzen.“
Der Angreifer hatte sich den Zugriff über gestohlene Zugangsdaten eines Bitmarck-Mitarbeiters verschafft. „Der Angriff war kein Hack“, betont Strausfeld. „Es wurden keine Systeme von Bitmarck manipuliert oder Daten verschlüsselt.” Der Angreifer habe sich die Unternehmensdaten lediglich angesehen, diese abgespeichert und ins Darknet gestellt. Bis heute habe es keine Lösegeldforderung und keinen Kontakt zum Angreifer gegeben.
Die Daten der Versicherten, die in den digitalen Akten liegen, könnten durch einen solchen Zugriff nicht gestohlen werden. „Die Daten der ePA sind über die Telematikinfrastruktur (TI) geschützt“, sagt Strausfeld mit Blick auf das Gesundheitsdatennetzwerk. Dabei seien viele Sicherheitsmechanismen verbaut. „Die Daten gelten deshalb zurecht als sehr gut gesichert.“
Daten in ePA zweistufig verschlüsselt
Der Wissenschaftler Christoph Saatjohann, der an der Fachhochschule Münster zur IT-Sicherheit in der Medizin forscht, stimmt dem zu. „Bei der ePA wurde bei der Sicherheitsarchitektur darauf geachtet, dass ein einzelner Angriff auf ein Unternehmen nicht die kompletten Daten der Patienten zum Vorschein bringt“, sagt er.
Saatjohann erklärt das Sicherheitskonzept: „Die Patientendaten in der ePA sind zweistufig verschlüsselt“, sagt er. „Ein Angreifer braucht daher zwei Passwörter, die von zwei unterschiedlichen Identitätsservern kommen.“ Er gelange nur an die Daten, wenn er beide Schlüssel gleichzeitig besitze. Ein Angriff auf einen einzelnen Server reiche nicht aus.
Die Sicherheitsvorgaben für die ePA machen die Gematik – eine staatliche beauftragte Gesellschaft zur Digitalisierung des Gesundheitswesens – und das Bundesamt für Sicherheit in der Informationstechnik. Hersteller wie Bitmarck müssen die ePA nach den Sicherheitsvorgaben bauen. Vor dem Marktstart muss die Gematik sie zulassen.
Holm Diening, Leiter der Abteilung Datenschutz und Informationssicherheit bei der Gematik, sagte in einem Gespräch, das von der Krankenkasse IKK classic veröffentlicht wurde, dass der laufende Betrieb der ePA überwacht werde. Die Gematik führe regelmäßig Untersuchungen zur Einhaltung der Richtlinien und technische Sicherheitsanalysen durch. Auch müssten die Hersteller der ePA spätestens alle drei Jahre Gutachten bei der Gematik einreichen.
Wie gefährlich der Diebstahl von Gesundheitsdaten ist, zeigte ein Datenleck im Jahr 2020 bei einer finnischen Psychotherapie-Klinik. Angreifer nutzten die erbeuteten Patientendaten, um die Betroffenen zu erpressen. „Das war damals ein einzelner Angriff auf ein Unternehmen, das einen einzigen schlecht geschützten Server verwendete“, sagt Sicherheitsforscher Saatjohann. Ein solches Szenario sei bei der ePA durch die Sicherheitsarchitektur ausgeschlossen.
Direkt vom Startbildschirm zu Handelsblatt.com
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×