Sicherheitswarnung zu ePA-App: BSI schlug frühzeitig Alarm

Die Digitalisierung des Gesundheitswesens gilt als Fortschrittsprojekt – doch aktuelle Entwicklungen zeigen, wie anfällig zentrale Anwendungen wie die elektronische Patientenakte (ePA) sein können. Eine schwerwiegende Sicherheitslücke in der Android-App zur ePA hat dazu geführt, dass unberechtigt auf Gesundheitsdaten zugegriffen werden konnte. Die Anwendung wurde inzwischen vorübergehend deaktiviert. Der Vorfall wirft grundlegende Fragen zur Absicherung digitaler Gesundheitsanwendungen auf.

Wie heise online zuerst berichtete, hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im März vor der konkreten Schwachstelle gewarnt. Damals informierte die Behörde die gematik, die für die Telematikinfrastruktur im Gesundheitswesen verantwortlich ist, über ein mögliches Angriffsszenario: Angreifer könnten sich mit falscher Identität Zugang zu ePA-Daten verschaffen. Die Reaktion folgte prompt – zumindest formal. Die betroffene App-Version wurde aus dem Verkehr gezogen, während die iOS-Variante offenbar nicht betroffen war.

Brisant: Die Sicherheitslücke konnte offenbar deshalb nicht früher entdeckt werden, weil die Sicherheitsprüfung erst nach Fertigstellung der App erfolgte. Das BSI betont, dass eine vollständige Bewertung der Schutzmechanismen erst mit der finalen Produktfassung möglich gewesen sei. Dieser Ablauf stößt nun auf Kritik – denn bei Anwendungen, die mit hochsensiblen Gesundheitsdaten arbeiten, sind frühe und tiefgehende Sicherheitsüberprüfungen unerlässlich.

Der Vorfall verdeutlicht erneut, wie hoch die Anforderungen an Sicherheit und Vertrauen im Kontext digitaler Gesundheitsdienste sind – und wie schnell das Vertrauen bei Schwächen verspielt werden kann. Die gematik arbeitet derzeit an einer überarbeiteten Version der App, ein konkreter Zeitpunkt für die Wiederveröffentlichung ist noch nicht bekannt.