Im Zuge aktueller Attacken schieben Angreifer den Erpressungstrojaner Akira auf SonicWall-Firewalls. Dabei lassen sie sich nicht durch Multi-Faktor-Authentifizierung (MFA) aufhalten. Wie sie auf damit geschützte Systeme zugreifen können, ist bis jetzt nicht geklärt.

Hintergründe

Sicherheitsforscher von Artic Wolf haben ihre aktuellen Kenntnisse in einem Beitrag zusammengefasst. Die Attacken laufen schon seit August dieses Jahres und sie kochen seitdem immer wieder hoch. Ansatzpunkt ist eine „kritische“ Sicherheitslücke (CVE-2024-40766) in der SSL-VPN-Komponente, die die in einer Warnmeldung des Herstellers aufgelisteten Firewalls der Gen-5-, Gen-6- und Gen-7-Serie betrifft.

SonicWall versichert, dass die Ausgaben 5.9.2.14-13o, 6.5.2.8-2n (für SM9800, NSsp 12400, NSsp 12800), 6.5.4.15.116n (für andere Gen6-Firewall-Appliances) und 7.0.1-5035 abgesichert sind. Aber offensichtlich haben Admins die Sicherheitsupdates weiterhin nicht flächendeckend installiert, sodass Angreifer nach wie vor verwundbare Instanzen entdecken.

Aktuelle Attacken

Neben der Installation der Patches rät SonicWall dazu, Geräte außerdem mit MFA abzusichern. Zusätzlich zum Passwort benötigt man zum Einloggen noch ein One-Time-Password (OTP), das in der Regel durch eine Authenticator-App erzeugt wird. Nun führen die Sicherheitsforscher aus, dass die Angreifer Firewalls trotz aktiver MFA erfolgreich attackieren.

Zum jetzigen Zeitpunkt können sie sich nicht erklären, wie das vonstattengeht. In ihrem Bericht verweisen sie auf einen ähnlichen Vorfall, den die Google Threat Intelligence Group analysiert hat. In diesem Fall kommen sie zu dem Schluss, dass die Täter mit hoher Wahrscheinlichkeit im Besitz des Secrets sind, um selbst gültige OTPs zu erstellen.

Weil Artic Wolf eigenen Angaben zufolge keine Hinweise auf etwa Konfigurationsänderungen entdeckt hat, liegt es nahe, dass die Angreifer im aktuellen Fall sich ebenfalls auf eigene Faust gültige OTPs ausstellen. Bestätigt ist das aber bislang nicht.

Admins sollten dringend die Sicherheitsupdates installieren. Außerdem sollten sie nach verdächtigen Accounts Ausschau halten und Zugangsdaten aus Sicherheitsgründen zurücksetzen.

(des)

Die elektronische Patientenakte (ePA) erreicht einen neuen Meilenstein: Ab dem 1. Oktober sind alle Praxen, Krankenhäuser und Apotheken gesetzlich dazu verpflichtet, die ePA zu nutzen und dort Diagnosen, Behandlungen und Medikationen zu hinterlegen. Wer das nicht tut, muss schon bald mit Sanktionen wie Honorarkürzungen rechnen.

Während der Einführungsphase seit Jahresbeginn war die Nutzung der ePA für alle Leistungserbringer noch freiwillig. Seit Januar haben die Krankenkassen für alle gesetzlich Versicherten, die nicht widersprachen, eine digitale Akte angelegt. Zeitgleich startete in Hamburg, Franken und Teilen Nordrhein-Westfalens die Pilotphase, um die Anwendung zu testen. Ab Ende April wurde die ePA dann schrittweise bundesweit ausgerollt.

Trotz des mehrmonatigen Vorlaufs ist die digitale Patientenakte noch längst nicht im Alltag der medizinischen Versorgung angekommen. Unklar ist nicht nur, wie gut die ePA gegen Cyberangriffe geschützt ist, sondern auch die technische Umsetzung in vielen Praxen und Kliniken stockt. Zudem nutzt bislang nur ein Bruchteil der Versicherten die ePA aktiv, obwohl sie als patientenzentrierte Akte konzipiert ist.

Alles sicher?

Das Bundesgesundheitsministerium (BMG) hält dennoch am Fahrplan fest. Mit Blick auf die Sicherheit verweist das Ministerium auf Anfrage von netzpolitik.org auf das Maßnahmenpaket, das bereits zum Rollout im Mai umgesetzt worden sei. So seien unter anderem Sicherheitslücken geschlossen sowie „Monitoring und Anomalie-Erkennung“ ausgeweitet worden. Gezielte Angriffe auf einzelne Akten seien zwar nie ausgeschlossen, so das Ministerium weiter. „Ein solcher Angriff ist jedoch mehrschichtig und hat eine Vielzahl an Hürden.“ Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt das „verbleibende Restrisiko“ auf Nachfrage „nach wie vor als technisch beherrschbar ein“.

Die Sicherheitsforscherin Bianca Kastl zeigt sich hier allerdings deutlich skeptischer. Ihr reichen die bisherigen Maßnahmen nicht aus, um Vertrauen in die Sicherheit der ePA zu haben. Gegenüber netzpolitik.org kritisiert Kastl „intransparente Anpassungen im Hintergrund, keine Aufklärung über Restrisiken, nicht einmal ausreichende Kommunikation innerhalb der Gematik, speziell im Kontext der elektronischen Ersatzbescheinigung“. Diese Ersatzbescheinigung ist dann relevant, wenn Patient:innen ihre elektronische Gesundheitskarte nicht dabei haben oder diese nicht eingelesen werden kann.

Kastl, die bei netzpolitik.org regelmäßig eine Kolumne schreibt, verweist bei den Anpassungen auf ein Angriffsszenario, das sie gemeinsam mit Martin Tschirsich im Dezember vergangenen Jahres demonstriert hatte – nur zwei Wochen vor der Pilotphase. Zum bundesweiten Rollout der ePA wenige Monate darauf hatte der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) zwar versichert, dass die Patientenakte sicher sei. Doch prompt gelang es Kastl und Tschirsich erneut, den erweiterten Schutz der ePA auszuhebeln.

Kastl fordert, dass es „eine unabhängige und belastbare Bewertung der demonstrierten Sicherheitsrisiken, eine transparente Kommunikation von Risiken gegenüber Betroffenen sowie einen offenen Entwicklungsprozess über gesamten Lebenszyklus der ePA“ geben müsse.

Stockender Start in den Praxen

Darüber hinaus kämpfen viele Arztpraxen mit erheblichen technischen Problemen bei der ePA-Implementierung. Die Bundesvorsitzende des Hausärztinnen- und Hausärzteverbandes, Nicola Buhlinger-Göpfarth, sieht hier vor allem die Anbieter der Praxisverwaltungssysteme (PVS) in der Verantwortung. „Während manche von ihnen ihre Hausaufgaben gemacht haben, funktioniert bei anderen wenig bis nichts“, sagt Buhlinger-Göpfarth gegenüber netzpolitik.org. Ihr Verband vertritt die Interessen von bundesweit mehr als 32.000 Mitgliedern, die in der hausärztlichen Versorgung tätig sind.

Derzeit fehlen in einem Fünftel der Praxen bundesweit die erforderlichen Softwaremodule, sagt auch Sibylle Steiner. Sie gehört dem Vorstand der Kassenärztlichen Bundesvereinigung (KBV) an. Von einigen Anbietern für Praxisverwaltungssysteme wisse man, dass das ePA-Modul im vierten Quartal nachgeliefert werden solle, so Steiner, „von anderen Herstellern haben wir gar keine Rückmeldung“.

In einer Online-Umfrage der KBV gaben drei Viertel der Praxen, welche die digitale Patientenakte bereits nutzen, an, im August technische Probleme gehabt zu haben. Oft sei der Zugriff auf die ePA nicht möglich gewesen oder es konnten keine Dokumente hochgeladen werden. Auf der Vertreterversammlung der KBV Mitte September kritisierte Sibylle Steiner die „vollkommen inakzeptable Performance“ der TI-Betriebsstabilität.

Das BSI widerspricht dieser Darstellung und verweist auf die Zahlen der Gematik. Demnach habe die ePA im August einen Verfügbarkeitswert von 99,95 Prozent erreicht und damit eine Rate „im angestrebten Bereich“ erzielt. Das BSI verlangt für kritische Infrastrukturen Werte zwischen 99 bis 99,9 Prozent. Und auf Anfrage von netzpolitik.org schreibt die Gematik, dass eine ePA-Störung in der Regel nicht alle Versicherten und Einrichtungen gleichermaßen treffe. Vielmehr seien meist einzelne Komponenten gestört, die im Zusammenspiel mit der ePA wirken.

Krankenhäuser noch weiter abgeschlagen

Noch verfahrener ist die Lage offenbar in den Krankenhäusern. Die Deutsche Krankenhausgesellschaft (DKG) geht auf Anfrage von netzpolitik.org davon aus, dass „ein Großteil der Krankenhäuser zum 1. Oktober technisch noch nicht in der Lage sein wird, die ePA vollumfänglich zu nutzen“.

Nur gut ein Fünftel aller Kliniken hat laut einer Umfrage von Mitte August die ePA-Inbetriebnahme abgeschlossen oder plant dies bis zum Jahresende zu tun. Die Mehrheit von ihnen erwartet frühestens im ersten Quartal 2026 einen flächendeckenden Einsatz.

Als Gründe nennt die DKG die „hohe Komplexität der Inbetriebnahme“ sowie unausgereifte ePA-Module der IT-Hersteller. Krankenhausinformationssysteme (KIS) seien komplexer als etwa Systeme, die in kleineren Praxen eingesetzt werden, die Bereitstellung der Dokumente sei arbeitsaufwändig.

KIS führen unterschiedliche Funktionalitäten zusammen. Mit ihnen lassen sich Patient:innendaten verwalten, medizinische und pflegerische Prozesse dokumentieren und steuern sowie die Zusammenarbeit zwischen verschiedenen Fachabteilungen koordinieren.

Welche Sanktionen drohen?

Es ist unklar, wann Praxen und Krankenhäuser genau mit Sanktionen rechnen müssen, wenn sie nicht rechtzeitig über das ePA-Modul verfügen.

Grundsätzlich müssen Praxen ab dem vierten Quartal schrittweise Sanktionen befürchten, Krankenhäuser ab dem 1. März 2026. Dazu zählen Kürzungen beim gesetzlichen Krankenkassen-Honorar von einem Prozent und Einschnitte bei der TI-Pauschale. Allerdings können die zuständigen Kassenärztlichen Vereinigungen (KV) bei der Reduzierung der TI-Pauschale eine dreimonatige Übergangsphase gewähren.

Die TI-Pauschale ist ein monatlicher Zuschuss, mit dem die Kosten für Anschluss, Ausstattung und Betrieb der Telematikinfrastruktur (TI) gedeckt werden sollen. Die Höhe der Pauschale richtet sich nach der Praxisgröße.

Ab kommendem Jahr droht dann sogar ein kompletter Abrechnungsausschluss, wenn Arztpraxen und andere Leistungserbringer eine Praxissoftware ohne zertifiziertes ePA-Modul nutzen. Sie könnten dann keine Abrechnungen mit den gesetzlichen Krankenkassen mehr einreichen oder bewilligt bekommen.

Sybille Steiner vom KBV findet es „vollkommen inakzeptabel“, wenn die Praxen etwa für die Versäumnisse der Hersteller büßen. Die Kassenärztliche Vereinigung Nordrhein teilte uns auf Anfrage mit sie prüfe, Kürzungen auszusetzen, wenn „technische Probleme der Praxisverwaltungssysteme einen Einsatz des ePa-Moduls verhindern“. Die Details dazu würden derzeit noch erarbeitet. Die KV Nordrhein vertritt die Interessen von rund 24.000 niedergelassenen Vertragsärzten und -psychotherapeuten im Landesteil Nordrhein von Nordrhein-Westfalen.

Verwaiste Akten

Während viele Praxen noch darauf warten, die ePA einsetzen zu können, nutzt die überwiegende Mehrheit der Versicherten ihre Akte nicht aktiv.

Rund 70 Millionen der gut 74 Millionen gesetzlich Versicherten haben inzwischen eine ePA von ihrer Krankenkasse angelegt bekommen. Doch um auf die Patientenakte und die darin enthaltenen Dokumente zugreifen zu können, benötigen sie eine App, die in der Regel von den Krankenkassen bereitgestellt wird. Eine solche Applikation verwenden aktiv derzeit aber gerade einmal drei Prozent der Versicherten.

Dabei soll die ePA laut Sozialgesetzbuch „eine versichertengeführte elektronische Akte“ sein. Sie ist also so konzipiert, dass die Versicherten sie aktiv verwalten. Dass man derzeit meilenweit von diesem Ziel entfernt ist, weiß auch das Bundesgesundheitsministerium.

Ein Ministeriumssprecher äußert auf Anfrage von netzpolitik.org die Hoffnung, dass mit der Nutzungspflicht und Weiterentwicklung der ePA auch die Zahl aktiver Nutzer:innen zunehme. So soll etwa im Jahr 2027 die Funktion „Push-Benachrichtigung für Versicherte“ umgesetzt werden. „Aber auch ohne eine aktive Nutzung der App wird die ePA zu einer verbesserten Gesundheitsversorgung beitragen“, so der Sprecher.

ePA ohne Patient:innenkontrolle

Lutz Auer, Referent für Digitalisierung im Gesundheitswesen beim Verbraucherschutz Bundesverband, kritisiert, dass die ePA den Versicherten bislang nur wenig Mehrwert biete und auch deshalb das Interesse an ihr gering sei.

„Dafür braucht es jenseits der reinen Befüllung mit Daten seitens der Leistungserbringer Funktionen wie einen digitalen Impfpass, Zahnbonusheft oder Mutterpass“, sagt Auer. „Solche verbraucherorientierten Funktionen sollten im Zentrum des Weiterentwicklungsprozesses stehen, doch derzeit gibt es noch nicht mal einen verbindlichen Zeitplan dafür.“

Nicola Buhlinger-Göpfarth vom Hausärztinnen- und Hausärzteverband macht auch die Krankenkassen für das Desinteresse der Versicherten verantwortlich. „Die allermeisten Patientinnen und Patienten sind bis heute überhaupt nicht über die ePA informiert worden“, so Buhlinger-Göpfarth. Das sei eigentlich Aufgabe der Kassen, die hätten „aber weitestgehend die Hände in den Schoß gelegt“.

Auf die Folgen dieser Versäumnisse weist Manuel Hofmann, Referent für Digitalisierung bei der Deutschen Aidshilfe, hin. „Viele Menschen wissen überhaupt noch nicht, dass es da jetzt eine ePA im Hintergrund gibt, aus der sich viele sensible Informationen lesen lassen.“ Standardmäßig sind in der Patientenakte alle medizinischen Informationen für behandelnde Einrichtungen sichtbar.

Wer den Zugriff auf die eigenen Gesundheitsdaten einschränken möchte, hat es schwer: „Sensible Diagnosen gehen nicht nur aus eingestellten Dokumenten hervor, sondern auch aus der Medikationsliste und den Abrechnungsdaten, die beide automatisiert in die ePA fließen“, sagt Hofmann. Versicherte müssten daher immer auf mehrere Teilbereiche achten, wenn sie einzelne Diagnosen verbergen möchten.

Zurück auf Los?

Eine feingranulare Zugriffssteuerung sah die frühere ePA-Version 2.0 noch vor. Das Digital-Gesetz, das im März vergangenen Jahres in Kraft trat, schränkte die Optionen beim Berechtigungsmanagement jedoch deutlich ein.

Die Folgen sind nicht zuletzt für marginalisierte Patient:innengruppen spürbar, die auch im Gesundheitswesen Diskriminierungen ausgesetzt sind. Sie sollten ins Zentrum der Weiterentwicklung der ePA gestellt werden, fordert Manuel Hofmann. „Diskriminierung darf nicht weiterhin als verschmerzbare Nebenwirkung für eine vermeintlich ‚kleine Gruppe‘ in Kauf genommen werden.“

Bianca Kastl, die auch Vorsitzende vom Innovationsverbund Öffentliche Gesundheit e. V. ist, geht noch einen Schritt weiter. „Die Digitalisierung des Gesundheitswesens ist sehr stark getrieben von der Selbstverwaltung und Interessen von Krankenkassen und Industrie, weniger von den Interessen der Patient:innen“, sagt Kastl. Eine ePA, die die Souveränität der Versicherten stärkt, „müsste in einem Rahmen entstehen, der nicht von diesen Stakeholdern geprägt wird“.

Das klingt so, als müsste man zurück auf Los und ganz von vorne beginnen, um den selbst gesetzten Anspruch einer „versichertengeführten elektronischen Akte“ gerecht zu werden. Andernfalls bliebe die ePA vor allem eines: ein nicht eingelöstes Versprechen.

Als „größtes Digitalisierungsprojekt“ der bundesdeutschen Geschichte hatte Karl Lauterbach (SPD) sein Herzensprojekt beworben. Die elektronische Patientenakte (ePA) werde den Versicherten viele Vorteile bringen, versprach der ehemalige Bundesgesundheitsminister.

Inzwischen ist klar: Die ePA ist ein weiterer großer Fehlstart in der deutschen Digitalisierungsgeschichte. Es krankt bei der Sicherheit, die technische Implementierung in den Praxen und Krankenhäusern verläuft schleppend und nur ein Bruchteil der Versicherten nutzt die Patientenakte aktiv.

Die Misere kommt wenig überraschend – und sie ist hausgemacht. Von Anfang an stand bei der ePA Schnelligkeit statt Gründlichkeit im Mittelpunkt. Die Sicherheit geriet zur Nebensache, Datenschutz und Datensicherheit sollten beim Heben des „Datenschatzes“ nicht im Wege stehen. Das Nachsehen haben die Versicherten: Sie verlieren zunehmend die Kontrolle über ihre eigenen Gesundheitsdaten.

Politische Verantwortung? Fehlanzeige.

Das überstürzte Tempo gab der ehemalige Bundesgesundheitsminister Lauterbach vor. Offenkundig wollte er die ePA um jeden Preis in seiner Amtszeit einführen.

Obwohl Gesundheitsdaten zu den besonders sensiblen Daten zählen, wurden begründete Sicherheitsbedenken offenkundig mehrfach nicht ernst genug genommen. Bereits vor der Pilotphase zeigten Sicherheitsforschende des Chaos Computer Clubs, dass die ePA löchrig war wie ein Schweizer Käse. Lauterbach versprach daraufhin einen bundesweiten Start „ohne Restrisiko“. Doch pünktlich zum Rollout im Mai wiederholte sich das Spiel.

Statt Verantwortung für dieses Desaster zu übernehmen, tauchte der Minister ab. Und die Gematik, die für die technische Umsetzung der ePA zuständig ist, verharmlost die Risiken bis heute: Die Angriffsszenarien seien theoretischer Natur und hundertprozentige Sicherheit gebe es ohnehin nicht. Mit dieser Strategie kann es kein Vertrauen geben.

Vielerorts herrscht Chaos

Der immense Zeitdruck stellt auch die Praxen vor hohe Hürden. Wie schon bei der Einführung des E-Rezepts häuften sich in den vergangenen Monaten die Stör- und Ausfälle. Selbst die amtierende Bundesgesundheitsministerin Nina Warken (CDU) räumt ein, dass es mehr Stabilität brauche, „keine Frage“.

Weil unter anderem Software-Updates fehlen, kann ein Fünftel der Arztpraxen noch nicht mit der ePA arbeiten. Bei den Krankenhäusern ist es noch dramatischer: Nur ein Fünftel von ihnen wird die ePA wohl bis zum Jahresende einsetzen können. Sie fordern mehr Zeit für die anstehende „Herkulesaufgabe“.

Ein längerer Vorlauf und eine bessere Kommunikation der Verantwortlichen untereinander hätten dieses Chaos verhindern können. Nina Warken lässt sich indes nicht beirren, sie setzt den Kurs ihres Amtsvorgängers fort.

Widerspruchsmöglichkeiten wurden ausgehebelt

Und die Versicherten? 70 Millionen Menschen haben nun eine ePA. Doch gerade einmal drei Prozent von ihnen nutzen sie aktiv. Für die übergroße Mehrheit ist sie kein Thema. Damit ist die ePA meilenweit davon entfernt, eine versichertengeführte Akte zu sein.

Zumal die Kontrollmöglichkeiten der Versicherten zunehmend eingeschränkt wurden – ungeachtet der massiven Kritik von Patient:innenverbänden, Verbraucher- und Datenschützer:innen. Sämtliche Informationen, die in der ePA hinterlegt sind, können alle Behandelnden nun standardmäßig einsehen: von der Psychotherapeutin und dem Physiotherapeuten, vom Hausarzt über die Zahnärztin bis zum Kleinstadtapotheker.

Wer den Zugriff für bestimmte Behandelnde einschränken möchte, braucht sehr viel Geduld und darf keine Einstellung übersehen. Denn auch die Medikationsliste und die Abrechnungsdaten fließen automatisiert in die ePA und geben Sensibles preis.

Für die Wirtschaft, nicht für die Patient:innen

Damit zeigt sich immer deutlicher, wozu die ePA künftig vor allem dienen soll: als Datensilo für die Pharma-Forschung und -Industrie.

Erst vor wenigen Wochen pries Gematik-Geschäftsführerin Brenya Adjei die ePA als „state of the art“ und „KI-ready“. Karl Lauterbach spornte an, dass die ePA für „einen der größten Datensätze weltweit“ sorgen werde. Mit den Daten und viel KI könne Deutschland zum Vorreiter in der Digitalmedizin werden. Die großen Tech-Unternehmen seien ebenfalls an den Gesundheitsdaten der Deutschen interessiert, frohlockte der damalige Gesundheitsminister vor knapp einem Jahr.

In der EU laufen derweil die Vorbereitungen für den Europäischen Gesundheitsdatenraum (EHDS). Hier sollen in den kommenden Jahren die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen gesammelt und grenzüberschreitend ausgetauscht werden. Auch die Daten aus der ePA sollen dort hinein fließen.

Den Bürger:innen verspricht die EU-Kommission strengen Datenschutz, Datensicherheit und Kontrolle über die eigenen Gesundheitsdaten. Die zugrundeliegende Verordnung sieht jedoch etliche Ausnahmen bei deren Widerspruchsmöglichkeiten vor. Kritiker:innen warnen schon jetzt, dass der EHDS vor allem ein Datenraum für die Wirtschaft sein werde, nicht aber für die Patient:innen.