News
Bundesregierung hat wenig Sicherheitsbedenken bei ePA und TI
Die Bundesregierung sieht die elektronische Patientenakte (ePA) und die Telematikinfrastruktur (TI) im Gesundheitswesen grundsätzlich als sicher an. Das geht aus ihrer Antwort auf eine Kleine Anfrage der Linksfraktion hervor. Gleichwohl räumt sie ein, dass die Sicherheit der Systeme eine „dauerhafte Aufgabe“ bleibe – insbesondere mit Blick auf neue technologische Bedrohungen und geopolitische Risiken.
Der Zugriff auf die TI sei ausschließlich über Komponenten möglich, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert und von der gematik zugelassen wurden. Teil dieser Zertifizierung sei die Prüfung sicherer Lieferketten, heißt es in dem Papier. Namen und Hersteller zugelassener Geräte – etwa Kartenterminals und Konnektoren – werden auf dem Fachportal der gematik veröffentlicht.
Gleichzeitig verweist die Bundesregierung darauf, dass mit der Umstellung auf die „TI 2.0“ eine Entkopplung von spezifischer Hardware begonnen wurde. Das soll die Abhängigkeit von einzelnen Zulieferern verringern und die Resilienz gegenüber möglichen geopolitischen Spannungen stärken.
Schutz vor Quantenangriffen
Auch der Schutz vor künftigen Cyberbedrohungen, etwa durch Quantencomputer, spielt eine wachsende Rolle. Die gematik arbeite laut Bundesregierung eng mit dem BSI zusammen, um quantenresistente kryptografische Verfahren schrittweise einzuführen. Deutschland sei an einem EU-weiten Umsetzungsplan zur sogenannten Post-Quantum-Kryptografie federführend beteiligt und erarbeite derzeit einen nationalen Projektplan.
Auf die vom Chaos Computer Club (CCC) im Frühjahr 2025 gemeldete Sicherheitslücke reagierte das Bundesgesundheitsministerium mit sofortigen Korrekturen. Die Schwachstelle betraf die elektronische Ersatzbescheinigung (eEB), die nun datensparsamer ausgestellt wird. Zudem soll künftig auch die direkte Übermittlung der eEB über die TI-Anwendung KIM („Kommunikation im Medizinwesen“) möglich sein.
Im Rahmen der ePA-Spezifikation sei eine systematische Bedrohungsanalyse nach „anerkannten besten Praktiken“ durchgeführt worden, abgestimmt mit dem BSI und der Datenschutzbeauftragten. Architekturentscheidungen würden intern dokumentiert, Ergebnisse jedoch in Form von Fachkonzepten und Spezifikationen veröffentlicht, nicht aber in vollständiger Transparenz gegenüber der Öffentlichkeit oder dem Parlament.
Umsetzung des Europäischen Gesundheitsdatenraums
Mit Blick auf den Europäischen Gesundheitsdatenraum (EHDS) prüft das Bundesgesundheitsministerium derzeit rechtliche Anpassungsbedarfe, insbesondere bei der Zugangs- und Zugriffsverwaltung. Ziel sei es, die erforderlichen Änderungen bis zum Inkrafttreten der EHDS-Regelungen umzusetzen. Eine mögliche Verknüpfung mit der EU-Digital Identity Wallet nach der eIDAS-Verordnung werde ebenfalls geprüft – allerdings mit der Maßgabe, dass Patientinnen und Patienten keine Nachteile erleiden dürfen, wenn sie keine digitale Brieftasche nutzen.
Zur Zusammenarbeit zwischen gematik und Arvato Systems verweist die Bundesregierung auf Geschäftsgeheimnisse und nennt keine Vertragsdetails. Die gematik überprüfe die Leistungen regelmäßig anhand festgelegter Kriterien. Störungen der Telematikinfrastruktur würden in der Regel „zügig behoben“; eine Übersicht über aktuelle Beeinträchtigungen sei auf dem Fachportal abrufbar. (lon)
https://dserver.bundestag.de/btd/21/025/2102526.pdf
Bitte melden Sie sich an, um einen Kommentar zu verfassen.
Sie haben noch kein Konto?
Jetzt registrieren