zm115 Nr. 07, 01.04.2025, (564) 58 | PRAXIS DIE EPA IN DER PRAXIS (5) So steht es um die Datensicherheit Ende 2024 hat der Chaos Computer Club (CCC) Sicherheitslücken in der technischen Infrastruktur der ePA entdeckt. Lesen Sie hier, wie man diese Probleme vor dem bundesweiten Roll-out beheben will und was Zahnarztpraxen selbst zur Absicherung tun können. Die IT-Experten des CCC haben vor der Inbetriebnahme der ePA für alle gezeigt, dass es möglich gewesen wäre, auf die ePA von Versicherten zuzugreifen, ohne dass die zugehörige elektronische Gesundheitskarte (eGK) gesteckt wird. Grundlage des Angriffsszenarios war ein gültiger Praxisausweis (SMC-B) inklusive PIN, den sich die Sicherheitsforscher über den Kauf eines gebrauchten Kartenterminals beschaffen konnten. Alternativ sei es möglich gewesen, durch ein vorgetäuschtes Angebot von IT-Dienstleistungen Zugang auf die IT-Infrastruktur einer Praxis zu erlangen. Ausgerollt wird erst nach Absicherung Die gematik hat daraufhin in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Maßnahmen entwickelt, die die aufgezeigten Sicherheitslücken schließen sollen. Erste Sicherheitsfeatures wurden bereits für die Pilotphase eingebaut, weitere sollen bis zum flächendeckenden Roll-out folgen. Das Bundesgesundheitsministerium (BMG) hat zugesichert, dass die Lösung dieser Probleme eine Bedingung für den bundesweiten Start der ePA ist. Unabhängig von den technischen Maßnahmen, die die gematik in die Wege geleitet hat, können Zahnärzte und ihre Teams selbst etwas tun, um die TI, die ePA und ihre Praxis-IT vor illegalen Zugriffen zu schützen. Wichtig ist vor allem der sorgfältige Umgang mit den TI-Komponenten der Praxis, also Konnektor, Kartenterminals und vor allem der SMC-B. Die SMC-B ist der Identitätsnachweis der Praxis in der TI und gewährt ihr Zugriff auf die dort gespeicherten medizinischen Daten. Gelangt der Ausweis in falsche Hände, besteht die Gefahr, dass die SMC-B in krimineller Absicht verwendet wird, um unter der Identität der Praxis auf medizinische Daten zuzugreifen und damit Schaden anzurichten. Eine SMC-B und die dazugehörige PIN dürfen deshalb niemals leichtfertig an Dritte herausgegeben werden. So ist auch bei der Außerbetriebnahme oder beim Verkauf eines alten Kartenterminals darauf zu achten, dass die SMC-B vorab entfernt wird. Im Fall eines Diebstahls müssen betroffene SMC-Bs unverzüglich gesperrt werden. Und auch bei einer Praxisaufgabe ist die Sperrung der SMC-B zu veranlassen. Entscheidend für den Schutz der ITSysteme von Zahnarztpraxen ist dabei, ein Problembewusstsein für Betrugsversuche zu entwickeln. Bei dem demonstrierten Angriff auf die ePA war das Einfallstor der „Faktor Mensch“. Für den Zugang zur Praxis-IT hatten sich die IT-Experten des CCC als ITDienstleister ausgegeben und unter dem Vorwand, ein vermeintliches Sicherheitsproblem lösen zu wollen, Zugangsdaten und Passwörter erfragt. So wurde das Praxispersonal gezielt manipuliert. Dieses Social Engineering ist kein spezielles TI-Thema, sondern grundsätzlich im Kontext von digitalem Betrug im Internet zu beobachten. Die bekannteste Form ist das Phishing, also das Sammeln von Passwörtern durch echt wirkende E-Mails. Einfallstor war der „Faktor Mensch" Deshalb sollten Zahnarztpraxen immer sorgfältig prüfen, ob ein Absender oder Anrufer tatsächlich die Person ist, für die sie sich ausgibt. Grundsätzliche Awareness-Maßnahmen sind auch Bestandteil der IT-Sicherheitsrichtlinie der KZBV, die Maßnahmen zum Schutz der Praxis-IT beschreibt. Zahnarztpraxen sollten sich intensiv mit der IT-Sicherheitsrichtlinie auseinanderzusetzen. Die KZBV hat dazu eine Themenseite eingerichtet: https://www.kzbv. de/it-sicherheitsrichtlinie. KZBV – Abteilung Telematik Mehr Informationen finden Sie hier: www.kzbv.de/epa-fuer-alle. Weiter geht es im sechsten Teil mit aktuellen Erkenntnissen aus der Pilotierung. Foto: Andrea Gaitanides – stock.adobe.com
RkJQdWJsaXNoZXIy MjMxMzg=