Sicherheit der ePA vor Hackerangriffen

Ende Dezember haben IT-Experten und -Expertinnen des Chaos Computer Clubs (CCC) auf Sicherheitslücken bei der Verwendung der ePA aufmerksam gemacht. Sie demonstrierten mögliche Angriffsszenarien, ein tatsächlicher Hackerangriff fand nicht statt. Die gematik, die für die Umsetzung zuständige Organisation, nimmt diese Hinweise ernst und arbeitet an entsprechenden technischen Lösungen, um diese möglichen Angriffsszenarien für die Zukunft auszuschließen. Für die am 15. Januar gestartete Pilotphase wurden zudem zusätzliche Vorkehrungen getroffen, um die Daten der Versicherten zu schützen.

Seit dem 15. Januar 2025 stellt die AOK allen AOK-Versicherten, die nicht widersprochen haben, eine persönliche elektronischen Patientenakte (ePA) zur Verfügung. Bei über 27 Millionen Versicherten wird das voraussichtlich bis Ende Februar 2025 dauern. Zudem wird der Einsatz der ePA vor der bundesweiten Nutzung in einigen Regionen getestet:

• Modellregionen: Seit 15. Januar 2025 arbeiten ausgewählte Arztpraxen und Gesundheitseinrichtungen in Hamburg, Franken, Nordrhein und Westfalen-Lippe mit der ePA. Diese Regionen sammeln wichtige Erfahrungen mit der Technik und Organisation.
• Bundesweite Nutzung: Nach einer erfolgreichen Testphase starten Gesundheitseinrichtungen im gesamten Bundesgebiet voraussichtlich im 2. Quartal 2025. Alle Versicherten können dann ihre ePA in vollem Umfang nutzen.

Die ePA wird bundesweit erst dann eingeführt, wenn sichergestellt ist, dass alle technischen, organisatorischen und datenschutzrechtlichen Anforderungen vollständig erfüllt sind. Der Testbetrieb dient dazu, mögliche Herausforderungen frühzeitig zu identifizieren und zu lösen, um eine reibungslose und sichere Nutzung der ePA zu gewährleisten. Oberstes Ziel ist es, Sicherheit und Funktionalität vor dem Start auf höchstem Niveau zu garantieren.

Die Nutzung der ePA bringt Ihnen viele Vorteile wie eine bessere Vernetzung zwischen Ihren Ärzten und Ärztinnen und damit eine gezieltere Behandlung im Krankheitsfall. Gleichzeitig sollen Sie sich mit der Verwendung der ePA sicher fühlen und darauf vertrauen können, dass Ihre sensiblen Daten bestmöglich geschützt sind. Um das zu garantieren, werden die Daten Ihrer ePA in der „AOK Mein Leben“-App auf hochsicheren Servern in der Europäischen Union gespeichert. Zusätzlich sind die Daten in der App mit einem Sicherheitsschlüssel codiert, den nur Sie kennen. Sollte es Unbefugten dennoch gelingen, auf einen Server von „AOK Mein Leben“ zuzugreifen, bleiben Ihre Daten dadurch geschützt.

Durch die Verschlüsselung können nur Sie auf die Daten in Ihrer ePA zugreifen – und die Personen, die Sie dazu berechtigen. Mit dem Einlesen der elektronischen Gesundheitskarte gewähren Sie Arztpraxen und anderen medizinischen Einrichtungen automatisch den Zugang zu Ihrer ePA. Wünschen Sie das nicht, dann informieren Sie das Praxispersonal direkt bei der Anmeldung. Darüber hinaus können Sie mit der Protokollfunktion jederzeit überprüfen, wer Zugriff auf Ihre Patientenakte hat und welche Einrichtungen Ihre Daten gelesen, heruntergeladen oder geändert haben.

Zusätzlich ist es auch wichtig, Ihr Smartphone selbst vor unbefugten Zugriffen, Viren und Schadsoftware zu schützen. Das können Sie dafür tun:

• Lassen Sie Ihr Gerät niemals unbeaufsichtigt irgendwo liegen
• Sperren Sie Ihr Smartphone mit einer PIN oder einem anderen Zugangsschutz
• Halten Sie Ihr Smartphone und Ihre App-Version auf dem aktuellen Stand
• Öffnen und laden Sie nur Dateien von Absendern herunter, denen Sie vertrauen
• Klicken Sie nur auf vertrauenswürdige Links
• Verwenden Sie ein Antivirenprogramm

Die App „AOK Mein Leben“, mit der Sie Ihre elektronische Patientenakte verwalten, erfüllt alle gesetzlichen Vorgaben zum Datenschutz und zur Informationssicherheit. Für die App wurde ein Sicherheitskonzept entwickelt, wie es vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen wird. Dieses berücksichtigt alle bisher bekannten Angriffstechniken und sieht Sicherheitsmaßnahmen nach dem aktuellen Stand der Technik vor, sodass ein erfolgreicher Hackerangriff äußerst unwahrscheinlich ist.