Neues zur Sicherheit der elektronischen PAtientenakte

Das neue Jahr hat kaum begonnen, da gerät die umstrittenen elektronische Patientenakte schon wieder in die Schlagzeilen. Ein IT-Fachmagazin will eine Sicherheitslücke aufgedeckt haben. In der ePA gespeicherte Dateien könnten Arztpraxen infizieren, lautet der Vorwurf.

Aktuell gibt es es drei Server-Backends der ePA. Ärzte können dort Befunde über ihre PVS einstellen und herunterladen. Patienten haben Zugriff über Apps ihrer Krankenkassen und können darüber ebenfalls Dateien hoch- und herunterladen.

©pandpstock001/ stock.adobe.com

Damit Ärztinnen und Ärzte in den elektronischen Akten ihrer Patienten Befunde hochladen und speichern können und um einen Mindestschutz gegen Viren und Trojaner zu gewährleisten, dürfen nur bestimmte Dateitypen in die ePA geladen werden – darunter so gängige Formate wie PDF, JPEG, PNG, text/plain oder XML. Nicht erlaubt seien indes sogenannte Zip-Container. Diese könnten nicht nur beliebige Dateien mit Schadcode infizieren, sondern auch sogenannte Dekompressionsbomben enthalten, berichtet das Computermagazin „c’t“: „Die schreiben beim Auspacken die gesamte Festplatte voll und legen den Rechner lahm.“

Genau eine solche Zip-Datei habe man in einer Version der „TK-App“ aber hochladen können. Die eigentlich vorgesehene Dateiprüfung habe in der Android-Version 3.15.0 der App offenbar nicht funktioniert. Der Gematik sei diese Sicherheitslücke nicht aufgefallen, als sie die App der Techniker zertifizert habe. Die Krankenkasse habe gegenüber c’t versichert, diese Sicherheitslücke in der neuesten Version der App mittlerweile geschlossen zu haben.