Schadenfall der Woche

Hacker entdecken Schwachstelle kurz nach bundesweitem ePA-Start

Wenige Tage nach dem bundesweiten Start der elektronischen Patientenakte (ePA) ist eine neue Sicherheitslücke aufgedeckt worden. Ethische Hacker des Chaos Computer Clubs (CCC) überwanden eine zentrale, neu integrierte Schutzvorkehrung und informierten daraufhin Behörden und Betreiber.

Author_image
13:05 Uhr | 02. Mai | 2025
Schadenfall der Woche

Die ePA soll als zentrale Plattform für Gesundheitsdaten fungieren, auf die Versicherte, Ärzte und Apotheker zugreifen können.

| Quelle: procontra

Die Gematik reagierte noch am selben Tag mit einer Notfallmaßnahme. Die Schwachstelle sei damit zunächst behoben, bestätigte Bundesgesundheitsminister Karl Lauterbach auf der Plattform X. „In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen“, schrieb Lauterbach und verwies auf den „Spiegel“-Bericht zum Vorfall.

Was genau ist passiert?

Die ePA soll als zentrale Plattform für Gesundheitsdaten fungieren, auf die Versicherte, Ärzte und Apotheker zugreifen können. Vor dem Start wurden zusätzliche Sicherheitsmechanismen integriert – doch einer davon erwies sich als unzureichend. Laut dem „Spiegel“ war es ethischen Hackern möglich, diese neue Sicherheitsmaßnahme zu überwinden.

Die betroffenen Stellen wurden laut Ministerium umgehend informiert. Die Betreiber reagierten am Mittwochnachmittag mit einer technischen Notfallmaßnahme, um die Lücke zu schließen. Laut aktuellen Informationen wurde der Fehler isoliert, weitere Vorfälle sind bislang nicht bekannt.

Die elektronische Patientenakte

Die ePA für alle ist am 15. Januar 2025 planmäßig gestartet. Die Krankenkassen haben bis Mitte Februar 2025 allen Versicherten eine elektronische Patientenakte zur Verfügung gestellt, die nicht widersprochen haben. Parallel begann die Erprobungsphase der ePA in den Modellregionen Hamburg und Umland, Franken sowie in Teilen NRWs. Seit dem 29. April 2025 kann die ePA für alle bundesweit von Praxen, Krankenhäusern und Apotheken genutzt werden.