Hacker entdecken Schwachstelle kurz nach bundesweitem ePA-Start

Die Gematik reagierte noch am selben Tag mit einer Notfallmaßnahme. Die Schwachstelle sei damit zunächst behoben, bestätigte Bundesgesundheitsminister Karl Lauterbach auf der Plattform X. „In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen“, schrieb Lauterbach und verwies auf den „Spiegel“-Bericht zum Vorfall.

Die ePA soll als zentrale Plattform für Gesundheitsdaten fungieren, auf die Versicherte, Ärzte und Apotheker zugreifen können. Vor dem Start wurden zusätzliche Sicherheitsmechanismen integriert – doch einer davon erwies sich als unzureichend. Laut dem „Spiegel“ war es ethischen Hackern möglich, diese neue Sicherheitsmaßnahme zu überwinden.

Die betroffenen Stellen wurden laut Ministerium umgehend informiert. Die Betreiber reagierten am Mittwochnachmittag mit einer technischen Notfallmaßnahme, um die Lücke zu schließen. Laut aktuellen Informationen wurde der Fehler isoliert, weitere Vorfälle sind bislang nicht bekannt.

Die ePA für alle ist am 15. Januar 2025 planmäßig gestartet. Die Krankenkassen haben bis Mitte Februar 2025 allen Versicherten eine elektronische Patientenakte zur Verfügung gestellt, die nicht widersprochen haben. Parallel begann die Erprobungsphase der ePA in den Modellregionen Hamburg und Umland, Franken sowie in Teilen NRWs. Seit dem 29. April 2025 kann die ePA für alle bundesweit von Praxen, Krankenhäusern und Apotheken genutzt werden.