Startseite 9 Digitalisierung 9 ePA: Fraun­ho­fer SIT hat Si­cher­heits­kon­zept der ge­ma­tik ge­prüft

ePA: Fraun­ho­fer SIT hat Si­cher­heits­kon­zept der ge­ma­tik ge­prüft

23.10.2024 | Digitalisierung

Ab dem kommenden Jahr wird die elektronische Patientenakte “ePA für alle” Teil der medizinischen Regelversorgung. Das heißt, dass für jede Patientin, jeden Patienten in Deutschland automatisch eine digitale Akte mit den individuellen medizinischen Daten angelegt wird. Dies soll Behandlungsdokumentationen, Therapiepläne, Medikamentenverschreibungen und Verwaltungsvorgänge vereinfachen und transparenter machen. Um die Sicherheit der sensiblen Patientendaten in der ePA zu gewährleisten, hat die gematik als Gesamtverantwortliche für die Telematikinfrastruktur (TI), die zentrale Plattform für digitale Anwendungen im deutschen Gesundheitswesen, ein ausführliches Schutzkonzept entwickelt. Dieses Konzept haben Forschende des Fraunhofer SIT gründlich auf Herz und Nieren untersucht.

So ist der Sicherheitscheck abgelaufen

Im Rahmen des Sicherheitschecks wurden verschiedene Testaktivitäten durchgeführt, die sowohl technische als auch organisatorische Aspekte der ePA umfassen. Die Ergebnisse zeigen, dass die Grundarchitektur der ePA Schutz gegen viele potenzielle Bedrohungen bietet

Für die Überprüfung haben die Forschenden des Fraunhofer SIT zunächst sämtliche Texte der Sicherheitsanforderungen aus dem Konzept in eine eigens dafür aufgesetzte Künstliche Intelligenz überführt und so ein gematik-GPT auf Open-Source-Basis entwickelt. Diese KI funktioniert wie eine spezielle Suchmaschine und erlaubte es den Forschenden, alle Inhalte des umfangreichen Konzepts schnell durchsuchen und abrufen zu können. In einem zweiten Schritt entwickelten die Forschenden verschiedene Angriffsszenarien und -methoden und prüften jedes Szenario mithilfe des gematik-GPT gegen das Sicherheitskonzept: Hat das Sicherheitskonzept ein mögliches Angriffsszenario berücksichtigt und Gegenmaßnahmen vorgesehen, zeigt das die KI automatisch an.

Das KI-Ergebnis musste dann noch einem Gegencheck durch die Fraunhofer-Experten standhalten. „Wir wollten hier nicht blind der KI vertrauen, sondern haben alle Ergebnisse der KI nachgeprüft. Das geht immer noch schneller, als alles manuell zu erledigen “, sagt Dr. Steven Arzt, Experte für Secure Software Engineering. „Die KI ist hier ein Werkzeug für die Datenverarbeitung, führt aber nicht die eigentliche Sicherheitsbewertung durch, das haben wir gemacht. Die KI hat uns jedoch dabei unterstützt, durch die riesige Menge an Maßnahmen zu navigieren.“ So haben die Forschenden das Sicherheitskonzept Schritt für Schritt gegen alle möglichen Angriffe durchgeprüft.

Ergebnisse des Sicherheitschecks

Laut des Abschlussberichtes der Fraunhofer-Experten wurden 21 Schwachstellen im Konzept identifiziert, darunter vier, die als “hoch” bewertet wurden, also ein hohes Sicherheitsrisiko im Rahmen eines Angriffs bedeuten. Die Systemarchitektur ist insgesamt angemessen, lässt sich jedoch noch verbessern. Zu den zusätzlichen Empfehlungen der Prüfer zählen etwa einige ergänzende Maßnahmen, die zum Beispiel vor Innentätern schützen. Ebenso wurden Verbesserungen an den Schnittstellen zu Krankenkassen und Leistungserbringern vorgeschlagen.

Die Sicherheitsanalyse war von der gematik in Auftrag gegeben worden. Die Schwachstellen sollen nunmehr behoben werden.

Der Abschlussbericht ist online einsehbar unter https://www.gematik.de/media/gematik/Medien/ePA_fuer_alle/Abschlussbericht_Sicherheitsanalyse_ePA_fuer_alle_Frauenhofer_SIT.pdf.

Die Sicherheitsbetrachtung des Fraunhofer SIT umfasst das neue Sicherheitskonzept der ePA für alle, das für die Opt-Out-Variante erstellt worden ist. Das Sicherheitskonzept der gematik ist online und für alle einsehbar unter: https://gemspec.gematik.de/docs/gemSpec/gemSpec_Aktensystem_ePAfueralle/latest/

Mehr Infos der gematik zur ePA für alle: https://www.gematik.de/anwendungen/epa/epa-fuer-alle

Mitschnitt der Infoveranstaltaltung “Die elektronische Patientenakte – Was ändert sich in der Praxis?” auf YouTube:
https://www.youtube.com/watch?v=skRd0muzKvk

Quelle: pi Fraunhofer SIT, 10.10.2024

Loading...